🔥Adquiere tu membresía:  acceso a todos los cursos, videos eliminados, contenidos protegidos, manuales y más. >> Ver Más

Hackers están utilizando una nueva y sigilosa puerta trasera para atacar diversas entidades

Un grupo de ciberdelincuentes que se ha dirigido a al menos 69 entidades está utilizando activamente una puerta trasera de PowerShell completamente indetectable y previamente no documentada.

En función de sus características, el malware está diseñado para el ciberespionaje, y se dedica principalmente a la exfiltración de datos del sistema comprometido.

Cuando se detectó por primera vez, ningún proveedor del servicio de análisis VirusTotal consideró que la puerta trasera de PowerShell fuese maliciosa.

Sin embargo,  fue descubierta debido a errores operativos de los ciberdelincuentes. Esto permitió a los analistas de SafeBreach acceder y descifrar los comandos enviados por los atacantes para ejecutarlos en los dispositivos infectados.

De la solicitud de empleo a la puerta trasera de PowerShell

El ataque comienza con la llegada de un correo electrónico de phishing con un documento malicioso adjunto llamado “Apply Form.docm“. Según el contenido del archivo y los metadatos, es probable que tenga el tema de una solicitud de empleo basada en LinkedIn.

El señuelo del documento que contiene la macro

El documento contiene macros maliciosos que colocan y ejecutan un script llamado ‘updater.vbs‘. Este script crea una tarea programada para hacerse pasar por una actualización de rutina de Windows. El archivo se ejecuta desde una carpeta de actualización falsa en “%appdata%\local\Microsoft\Windows.

Antes de ejecutar la tarea programada, crea dos scripts de PowerShell, llamados Script.ps1 y Temp.ps1. El contenido de los scripts de PowerShell se almacena en cuadros de texto dentro del documento de Word y se guardan en el mismo directorio de actualización falso de %AppData%\Local\Microsoft\Windows\Update.

Cuando SafeBreach descubrió por primera vez los scripts, ninguno de los proveedores de antivirus en VirusTotal detectó los scripts de PowerShell como maliciosos.

VirusTotal devuelve escaneos limpios en ambos scripts

“Script.ps1” se conecta a los servidores de comando y control del atacante (C2), envía una identificación de víctima a los operadores y luego espera un comando recibido en forma cifrada AES-256 CBC.

Según el recuento de ID, los analistas de SafeBreach concluyeron que el C2 del ciberdelincuente había registrado 69 IDs antes que ellos. Este es probablemente el número aproximado de computadoras vulneradas.

El script “Temp.ps1” descodifica el comando en la respuesta, lo ejecuta y luego cifra y carga el resultado a través de una solicitud POST al C2.

SafeBreach aprovechó la predecible identificación de víctimas y creó un script que podía descifrar los comandos enviados a cada una de ellas.

Comandos

Por ejemplo, el comando

comienza con un número que se muestra en rojo. Hay 3 valores posibles: 0, 1 o 2, que explicaremos más adelante. El valor de tipo 0 en este caso indica que se espera que ejecute el comando de PowerShell. La sección azul es un separador, la sección verde es la expresión de comando a ejecutar, la sección marrón es un separador entre comandos y el “:” morado final significa que no hay otros comandos para ejecutar.

El script analiza los comandos y ejecuta el script Temp.ps1 para cada comando con el parámetro denominado c:

Si el comando comienza con 2, guarda el comando recibido de la respuesta de C2 en una ruta de archivo también proporcionada por C2. Luego ejecuta Temp.ps1 con un parámetro en esta fórmula:

‘RES!#%’ + $<comando convertido a base64

El script Temp.ps1 decodifica el comando base64 y verifica el tipo de comando. 

  • Si el valor es 0, lo ejecuta mediante la expresión de invocación, cifra la salida del comando mediante la misma clave de cifrado y la carga mediante una solicitud HTTP POST a hxxp://45.89.125.189/put .
  • Si el valor es 1, lee el comando a ejecutar desde la ruta recibida dentro de la respuesta C2 y lo ejecuta.
  • Finalmente, si el valor es 2, escribe el comando a ejecutar en la ruta y ejecuta el comando.

SafeBreach ejecutó el comando para cada víctima y encontró el siguiente porcentaje de cada tipo de comando esperando a las víctimas:

  • 66%: Comandos para procesos de exfiltración
  • 23%: Comandos vacíos – Inactivo (el comando comienza con “:”)
  • 7%: Enumeraciones de usuarios locales – whoami y whoami /all + lista de procesos
  • 2%: Eliminar archivos de carpeta pública + cuentas de red + nombre de equipo, configuraciones IP…
  • 1%: Lista de archivos en carpetas especiales: archivos de programa, descargas, escritorio, documentos, datos de aplicaciones
  • 1%: secuencia de comandos completa para enumeraciones de usuarios de AD y enumeraciones de clientes RDP.

En resumen, los analistas descubrieron que dos tercios de los comandos eran para filtrar datos, y los otros se usaban para enumeraciones de usuarios, listados de archivos, eliminación de archivos y cuentas, y enumeraciones de clientes RDP.

Script enviado como comando desde el C2 para consultar el controlador de dominio para usuarios administradores

Amenazas sigilosas desconocidas

Esta puerta trasera de PowerShell es un ejemplo característico de amenazas sigilosas desconocidas utilizadas en ataques a sistemas gubernamentales, corporativos y de usuarios privados.

Los defensores no solo necesitan estar informados sobre las amenazas conocidas o emergentes. También deben tener en cuenta los vectores desconocidos que pueden ser capaces de eludir las medidas de seguridad y los análisis antivirus.

Si bien algunos motores antivirus pueden detectar heurísticamente comportamientos maliciosos en los scripts de PowerShell, los ciberdelincuentes evolucionan constantemente su código para evitar estas detecciones.

La mejor manera de lograr esto es aplicando actualizaciones de seguridad lo más rápido posible y limitando el acceso remoto a los puntos finales. Asimismo, deben seguir el principio de privilegios mínimos y monitorear el tráfico de la red con regularidad.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información