Ciberdelincuentes están distribuyendo instaladores maliciosos de Zoom, TeamViewer y Visual Studio
Ciberdelincuentes tienen en marcha una nueva campaña de manipulación de SEO. El objetivo de la campaña es distribuir el malware Batloader y Atera Agent en los sistemas de profesionales específicos que buscan descargas de herramientas de productividad, como Zoom, TeamViewer y Visual Studio.
Estas campañas se basan en comprometer los sitios web legítimos para plantar archivos maliciosos o URLs. Las URLs redirigen a los usuarios a sitios que alojan malware disfrazado de aplicaciones populares.
Al descargar y ejecutar los instaladores de software, las víctimas, sin saberlo, se infectan con malware y software de acceso remoto.
Resultados de búsqueda manipulados
Como parte de esta campaña, los ciberdelincuentes realizan técnicas de optimización de motores de búsqueda (SEO). Esto para legitimar los sitios comprometidos en los resultados de búsqueda de aplicaciones populares.
Las palabras clave específicas son para aplicaciones populares como Zoom, Microsoft Visual Studio 2015, TeamViewer y otras.
Cuando un usuario hace clic en el enlace del motor de búsqueda, es llevado al sitio comprometido que incluye un Sistema de Dirección de Tráfico (TDS). Los sistemas de dirección de tráfico son secuencias de comandos que verifican varios atributos de un visitante. El TDS usa esa información para decidir si se les debe mostrar la página web legítima o se les debe redirigir a otro sitio malicioso bajo el control del atacante.
En campañas similares en el pasado, el TDS solo redirigía a los visitantes si provenían de un resultado de motor de búsqueda. De lo contrario, el TDS le mostraba al visitante la publicación de blog normal y legítima.
Esta técnica ayuda a evitar el análisis por parte de los investigadores de seguridad. Esto porque sólo muestra el comportamiento malicioso a aquellos que llegaron desde un motor de búsqueda.
Si se redirige a un visitante, el sitio malicioso le muestra una discusión de foro falsa. En la discusión un usuario pregunta cómo obtener una aplicación en particular y otro usuario falso proporciona un enlace de descarga, como se muestra a continuación.
Al hacer clic en el enlace de descarga, el sitio crea un instalador de malware empaquetado con el nombre de la aplicación buscada. Como los paquetes de malware incluyen el software legítimo, muchos usuarios no se dan cuenta de que también han sido infectados con malware.
Algunos de los dominios maliciosos encontrados por los investigadores de Mandiant que están siendo utilizados en esta campaña son:
- cmdadminu[.]com
- zoomvideo-s[.]com
- cloudfiletehnology[.]com
- commandaadmin[.]com
- clouds222[.]com
- websekir[.]com
- team-viewer[.]site
- zoomvideo[.]site
- sweepcakesoffers[.]com
- pornofilmspremium[.]com
- kdsjdsadas[.]online
- bartmaaz[.]com
- firsone1[.]online
Instalación de un cóctel de malware
Cuando se ejecuta el programa descargado, éste realiza dos cadenas de infección diferentes que ejecutan payloads de malware en el dispositivo.
La primera cadena de infección comienza con la instalación del software falso incluido con el malware BATLOADER, obteniendo y ejecutando más payloads como Ursnif y Atera Agent.
La segunda cadena de infección instala ATERA Agent directamente, sin pasar por las etapas de carga del malware. Atera es una solución de gestión remota legítima de la que se abusa para el movimiento lateral y la infiltración más profunda.
En la primera cadena de infección, los ciberdelincuentes usan MSHTA para ejecutar una DLL legítima de Windows (AppResolver). Ellos las combinan con un script VBScript malicioso para cambiar la configuración de Microsoft Defender y agregar exclusiones específicas.
Curiosamente, la firma PE Authenticode en el archivo de Windows sigue siendo válida a pesar de que los ciberdelincuentes le agregaron su código malicioso. Este es un problema que Microsoft intentó abordar con la solución de CVE-2020-1599.
El informe de Mandiant describe la técnica de evasión de la siguiente manera:
Observamos que se agregaron datos de secuencias de comandos arbitrarias a la sección de la firma más allá del final del ASN.1 de un archivo de Windows PE legítimamente firmado. El archivo políglota resultante mantiene una firma válida siempre que el archivo tenga una extensión distinta de ‘.hta’. Este archivo políglota ejecuta con éxito el contenido del script si se ejecuta con Mshta.exe, ya que Mshta.exe evade los bytes del PE, ubica el script al final y lo ejecuta.
¿Campaña realizada por la banda Conti?
Los analistas de Mandiant subrayan que algunas de las técnicas vistas en esta campaña coinciden con el contenido de los documentos de procedimientos de Conti que un afiliado descontento filtró en agosto pasado.
Si bien la campaña podría ser replicada por ciberdelincuentes no relacionados, cargar el script VBScript desde un archivo de Windows firmado indica un operador hábil.
La implementación de payloads de ransomware a través de Atera Agent es bastante simple. Sin embargo, el alcance de orientación definido por los señuelos de SEO están enfocados a empresas.