Ataques de peligroso troyano bancario deshabilitan Windows Defender para evadir la detección
Una campaña dirigida que promueve el peligroso troyano bancario ZLoader se está difundiendo a través de Google AdWords. Pero eso no es todo, está utilizando un mecanismo para deshabilitar todos los módulos de Windows Defender en las máquinas víctimas para evitar la detección.
Según los investigadores de SentinelLabs, para reducir las tasas de detección, la cadena de infección de la campaña también incluye el uso de un dropper firmado. Adicionalmente, están utilizando una versión con puerta trasera de la utilidad de Windows wextract.exe para incrustar el payload de ZLoader.
ZLoader es un peligroso troyano bancario que ha existido durante un buen tiempo. Es una de las muchas bifurcaciones de malware que surgieron de las cenizas del troyano bancario Zeus después de que se publicara su código fuente hace casi 10 años.
ZLoader es un troyano bancario típico que implementa la inyección web para robar cookies, contraseñas y cualquier información confidencial, según afirmaron los investigadores de SentinelLabs. El troyano aAtaca a usuarios de instituciones financieras de todo el mundo y también se ha utilizado para distribuir familias de ransomware como Egregor y Ryuk. También proporciona capacidades de puerta trasera y actúa como un cargador genérico para enviar otras formas de malware.
La cadena de infección sigilosa de ZLoader comienza con Google AdWords
Para apuntar a las víctimas, el malware se propaga a partir de un anuncio falso de Google (publicado a través de Google AdWords) para varios software. Esta es una alternativa indirecta a las tácticas de ingeniería social como los correos electrónicos de phishing. Los señuelos incluyen Discord, complementos de Java, TeamViewer y Zoom.
Por ejemplo, cuando alguien busca en Google, “Descargar Team Viewer”, un anuncio mostrado por Google redirige a la persona a un sitio falso de TeamViewer. A partir de ahí, se puede engañar al usuario para que descargue un instalador falso en un formato MSI firmado. Según el registro de tiempo, el falso instalador fue firmado el 23 de agosto.
Según los investigadores, “parece que los ciberdelincuentes lograron obtener un certificado válido emitido por Flyintellect, una empresa de software en Brampton, Canadá”. La empresa se registró el 29 de junio de 2021, lo que sugiere que el atacante posiblemente registró la empresa con el fin de obtener esos certificados.
Deshabilitar Windows Defender
El archivo .MSI firmado, por supuesto, no es un instalador de software legítimo en absoluto, sino que es el instalador de primera etapa para el malware.
Una vez descargado, ejecuta un asistente de instalación que crea el siguiente directorio: C:\Program Files (x86)\Sun Technology Network\Oracle Java SE, e instala un archivo .BAT llamado apropiadamente “setup.bat”.
Después de eso, la función cmd.exe incorporada de Windows se usa para ejecutar ese archivo, que a su vez descarga un instalador de segunda etapa. Este instalador luego inicia una tercera etapa de infección mediante la ejecución de un script llamado “updatescript.bat”.
Este script de tercera etapa realiza la mayor parte del trabajo sucio que desactiva a Windows Defender.
El instalador de la tercera etapa contiene la mayor parte de la lógica para dañar las defensas de la máquina. Al principio, deshabilita todos los módulos de Windows Defender a través del cmdlet Set-MpPreference de PowerShell. Luego agrega exclusiones, como regsvr32, *.exe, *.dll, con el cmdlet Add-MpPreference para ocultar todos los componentes del malware de Windows Defender”.
Cuarta etapa
En este punto, descarga un instalador de cuarta etapa de la URL “hxxps: //pornofilmspremium.com/tim[punto]exe”, que se guarda como “tim.exe” y se ejecuta a través de la función legítima explorer.exe de Windows.
Esto permite al atacante romper la correlación padre/hijo que a menudo se utiliza en la detección y respuesta de puntos finales (EDR) para la detección.
Los investigadores agregaron que el binario tim.exe es en realidad una versión con puerta trasera de la utilidad legítima de Windows wextract.exe. Este contiene código adicional para crear un nuevo archivo batch malicioso con el nombre “tim.bat”.
El archivo tim.bat es un script muy corto que descarga el payload final de la DLL de ZLoader con el nombre tim.dll. Este payload final se ejecuta utilizando la función legítima de Windows conocida como regsvr32, que permite a los atacantes utilizar un proxy para la ejecución de la DLL a través de un binario firmado por Microsoft.
El uso intensivo de utilidades y funciones legítimas de Windows sirve para ayudar al malware a evadir las defensas y ocultarse.
Más evasión defensiva
Tim.bat tiene un truco más bajo la manga: descarga otro script, llamado “nsudo.bat”, que realiza múltiples operaciones con el objetivo de elevar los privilegios en el sistema y afectar las defensas:
- Comprueba si el contexto actual de ejecución tiene privilegios al verificar el acceso a SYSTEM.
- Implementa un VBScript de elevación automática que tiene como objetivo ejecutar un proceso elevado para realizar cambios en el sistema.
- Una vez que se produce la elevación, el script se ejecuta con privilegios elevados.
- El script realiza los pasos para deshabilitar Windows Defender de forma persistente asegurándose de que el servicio “WinDefend” se elimine en el próximo arranque a través de la utilidad NSudo.
- El script nsudo.bat también deshabilita completamente la seguridad del Control de cuentas de usuario (UAC) de Microsoft.
- Obliga a la computadora a reiniciarse para que se puedan realizar los cambios.
La red de bots de Tim
Como sugieren algunos de los nombres de archivos maliciosos, la infraestructura del ciberdelincuente incluye la botnet Tim, según el análisis. La estructura de la botnet incluye al menos 350 dominios web diferentes.
Algunos dominios implementan el componente gate.php, que es una huella digital de la botnet ZLoader. Durante la investigación se descubrió que todos los dominios se registraron desde abril hasta agosto de 2021, y cambiaron a la nueva IP (195.24.66[punto]70) el 26 de agosto”.
Esta es la primera vez que los investigadores han observado esta cadena de ataque en particular en una campaña de ZLoader, que por ahora está dirigida a clientes de instituciones bancarias australianas y alemanas. Si esta campaña tiene éxito, una rutina de ataque más sigilosa podría aparecer en otros lugares.
La cadena de ataque … muestra cómo ha crecido la complejidad del ataque para alcanzar un mayor nivel de sigilo. El instalador de la primera etapa se ha cambiado del clásico documento malicioso a un payload MSI sigiloso y firmado. Utiliza archivos binarios con puerta trasera y una serie de [utilidades living off the land] para dañar las defensas y lograr la ejecución de sus payloads.