Investigadores de ciberseguridad han revelado detalles de una campaña de malware de varias etapas que utiliza secuencias de comandos por lotes como vía para entregar varias cargas útiles de troyanos de acceso remoto (RAT) cifrados que corresponden a XWorm, AsyncRAT y Xeno RAT.

La cadena de ataque sigiloso ha recibido un nombre en clave VACÍO#GEIST por Securonix Threat Research.

En un nivel alto, el script por lotes ofuscado se utiliza para implementar un segundo script por lotes, preparar un tiempo de ejecución de Python incorporado legítimo y descifrar blobs de código shell cifrados, que se ejecutan directamente en la memoria inyectándolos en instancias separadas de «explorer.exe» usando una técnica llamada Inyección de llamada de procedimiento asincrónico (APC) anticipada.

«Las campañas de malware modernas pasan cada vez más de ejecutables independientes a marcos de entrega complejos basados ​​en scripts que imitan fielmente la actividad legítima de los usuarios», afirman los investigadores Akshay Gaikwad, Shikha Sangwan y Aaron Beardslee. dicho en un informe técnico compartido con The Hacker News.

«En lugar de implementar binarios de PE tradicionales, los atacantes aprovechan canales modulares que comprenden secuencias de comandos por lotes para la orquestación, PowerShell para una puesta en escena sigilosa, tiempos de ejecución incorporados legítimos para la portabilidad y código shell sin procesar ejecutado directamente en la memoria para persistencia y control».

Este mecanismo de ejecución sin archivos minimiza las oportunidades de detección basadas en disco, lo que permite a los actores de amenazas operar dentro de sistemas comprometidos sin activar alertas de seguridad. Es más, este enfoque ofrece una ventaja adicional en el sentido de que estas etapas individuales parecen inofensivas de forma aislada y se asemejan a una actividad administrativa normal.

El punto de partida del ataque es un script por lotes que se obtiene de un dominio de TryCloudflare y se distribuye a través de correos electrónicos de phishing. Una vez lanzado, evita deliberadamente tomar medidas para escalar privilegios y aprovecha los derechos de permiso del usuario actualmente conectado para establecer un punto de apoyo inicial, mientras se mezcla con operaciones administrativas aparentemente inocuas.

La etapa inicial sirve como plataforma de lanzamiento para mostrar un PDF señuelo al iniciar Google Chrome en pantalla completa. El documento financiero o la factura mostrados sirven como distracción visual para ocultar lo que sucede detrás de escena. Esto incluye iniciar un comando de PowerShell para volver a ejecutar el script por lotes original, como usar el parámetro -WindowStyle Hidden, para evitar mostrar una ventana de consola.

Para garantizar la persistencia entre reinicios del sistema, se coloca un script por lotes auxiliar en el directorio de inicio del usuario de Windows para que se ejecute automáticamente cada vez que la víctima inicia sesión en el sistema. La ausencia de métodos de persistencia más intrusivos es intencionada, ya que reduce la huella forense.

«Técnicamente, este método de persistencia opera completamente dentro del contexto de privilegios del usuario actual. No modifica las claves de registro de todo el sistema, no crea tareas programadas ni instala servicios», dijeron los investigadores. «En cambio, se basa en un comportamiento de inicio estándar a nivel de usuario, que no requiere elevación y genera una fricción de seguridad mínima. Esta elección de diseño reduce la probabilidad de activar mensajes de escalada de privilegios o alertas de monitoreo de registro».

La siguiente fase comienza cuando el malware llega a un dominio de TryCloudflare para recuperar cargas útiles adicionales en forma de archivos ZIP que contienen varios archivos.

• runn.pyun script de carga basado en Python responsable de descifrar e inyectar módulos de carga útil de shellcode cifrados en la memoria
• nuevo.binuna carga útil de shellcode cifrada correspondiente a XWorm
• xn.binuna carga útil de shellcode cifrada correspondiente a Xeno RAT
• pul.binuna carga útil de shellcode cifrada correspondiente a AsyncRAT
• a.json, n.json, y p.jsonarchivos de claves que contienen las claves de descifrado requeridas por el cargador de Python para descifrar dinámicamente el código shell en tiempo de ejecución

Una vez que se extraen los archivos, la secuencia de ataque implementa un tiempo de ejecución de Python integrado legítimo directamente desde Python.[.]org. Este paso ofrece varias ventajas. Para empezar, elimina cualquier dependencia del sistema. Como resultado, el malware puede seguir funcionando incluso si el punto final infectado tiene Python instalado.

«Desde la perspectiva del atacante, los objetivos de esta etapa son la portabilidad, la confiabilidad y el sigilo», dijo Securonix. «Al incorporar un intérprete legítimo en el directorio de preparación, el malware se transforma en un entorno de ejecución totalmente autónomo capaz de descifrar e inyectar módulos de carga útil sin depender de componentes externos del sistema».

El objetivo principal del ataque es aprovechar el tiempo de ejecución de Python para iniciar «runn.py», que luego descifra y ejecuta la carga útil de XWorm mediante la inyección Early Bird APC. El malware también utiliza un binario legítimo de Microsoft, «AppInstallerPythonRedirector.exe», para invocar Python e iniciar Xeno RAT. En la última etapa, el cargador de Python utiliza el mismo mecanismo de inyección para iniciar AsyncRAT.

La cadena de infección culmina cuando el malware transmite una baliza HTTP mínima a la infraestructura C2 controlada por el atacante alojada en TryCloudflare para confirmar la irrupción digital. Actualmente no se sabe quiénes fueron los objetivos del ataque y si hubo algún compromiso exitoso.

«Este patrón de inyección repetida refuerza la arquitectura modular del marco. En lugar de entregar una única carga útil monolítica, el atacante implementa componentes de forma incremental, mejorando la flexibilidad y la resistencia», dijo Securonix. «Desde el punto de vista de la detección, la inyección repetida de procesos en explorer.exe en periodos cortos de tiempo es un fuerte indicador de comportamiento que se correlaciona entre las etapas del ataque».

Microsoft advirtió el lunes sobre campañas de phishing que emplean correos electrónicos de phishing y OAuth Mecanismos de redireccionamiento de URL para eludir las defensas de phishing convencionales implementadas en el correo electrónico y los navegadores.

La actividad, dijo la compañía, está dirigida a organizaciones gubernamentales y del sector público con el objetivo final de redirigir a las víctimas a la infraestructura controlada por los atacantes sin robar sus tokens. Describió los ataques de phishing como una amenaza basada en la identidad que aprovecha el comportamiento estándar y por diseño de OAuth en lugar de explotar las vulnerabilidades del software o robar credenciales.

«OAuth incluye una característica legítima que permite a los proveedores de identidad redirigir a los usuarios a una página de destino específica bajo ciertas condiciones, generalmente en escenarios de error u otros flujos definidos», dijo el equipo de investigación de seguridad de Microsoft Defender. dicho.

«Los atacantes pueden abusar de esta funcionalidad nativa creando URL con proveedores de identidad populares, como Entra ID o Google Workspace, que utilizan parámetros manipulados o aplicaciones maliciosas asociadas para redirigir a los usuarios a páginas de destino controladas por el atacante. Esta técnica permite la creación de URL que parecen benignas pero que en última instancia conducen a destinos maliciosos».

El punto de partida del ataque es una aplicación maliciosa creada por el actor de la amenaza en un inquilino bajo su control. La aplicación está configurada con una URL de redireccionamiento que apunta a un dominio fraudulento que aloja malware. Luego, los atacantes distribuyen un enlace de phishing OAuth que indica a los destinatarios que se autentiquen en la aplicación maliciosa utilizando un alcance intencionalmente no válido.

El resultado de esta redirección es que los usuarios descargan e infectan inadvertidamente sus propios dispositivos con malware. Las cargas útiles maliciosas se distribuyen en forma de archivos ZIP que, cuando se descomprimen, dan como resultado la ejecución de PowerShell, la carga lateral de DLL y la actividad previa al rescate o de uso del teclado, dijo Microsoft.

El archivo ZIP contiene un acceso directo de Windows (LNK) que ejecuta un comando de PowerShell tan pronto como se abre. La carga útil de PowerShell se utiliza para realizar un reconocimiento del host mediante la ejecución de comandos de descubrimiento. El archivo LNK extrae del archivo ZIP un instalador MSI, que luego suelta un documento señuelo para engañar a la víctima, mientras que una DLL maliciosa («crashhandler.dll») se descarga utilizando el binario legítimo «steam_monitor.exe».

La DLL procede a descifrar otro archivo llamado «crashlog.dat» y ejecuta la carga útil final en la memoria, lo que le permite establecer una conexión saliente a un servidor externo de comando y control (C2).

Microsoft dijo que los correos electrónicos utilizan solicitudes de firma electrónica, grabaciones de Teams, temas de seguridad social, financieros y políticos como señuelos para engañar a los usuarios para que hagan clic en el enlace. Se dice que los correos electrónicos se enviaron a través de herramientas de envío masivo y soluciones personalizadas desarrolladas en Python y Node.js. Los enlaces se incluyen directamente en el cuerpo del correo electrónico o se colocan dentro de un documento PDF.

«Para aumentar la credibilidad, los actores pasaron la dirección de correo electrónico de destino a través del parámetro de estado utilizando varias técnicas de codificación, lo que permitió que se completara automáticamente en la página de phishing», dijo Microsoft. «El parámetro de estado está destinado a generarse aleatoriamente y usarse para correlacionar los valores de solicitud y respuesta, pero en estos casos se reutilizó para llevar direcciones de correo electrónico codificadas».

Si bien se ha descubierto que algunas de las campañas aprovechan la técnica para distribuir malware, otras envían a los usuarios a páginas alojadas en marcos de phishing como EvilProxy, que actúan como un kit de adversario en el medio (AitM) para interceptar credenciales y cookies de sesión.

Desde entonces, Microsoft eliminó varias aplicaciones OAuth maliciosas que fueron identificadas como parte de la investigación. Se recomienda a las organizaciones que limiten el consentimiento del usuario, revisen periódicamente los permisos de las aplicaciones y eliminen las aplicaciones no utilizadas o con privilegios excesivos.