wmtech logo

Atacantes Utilizan Herramientas de Ofuscación para Distribuir Malware de Varias Etapas a Través de Phishing de Facturas

Luis Quiles
Luis Quiles
phishing
Malware

Investigadores de ciberseguridad han descubierto un intrincado ataque de varias etapas que aprovecha señuelos de phishing temáticos de facturas para entregar una amplia gama de malware como Venom RAT, Remcos RAT, XWorm, NanoCore RAT y un ladrón que apunta a carteras de criptomonedas.

Los mensajes de correo electrónico vienen con archivos adjuntos de archivos Scalable Vector Graphics (SVG) que, al hacer clic, activan la secuencia de infección, según un informe técnico de Fortinet FortiGuard Labs.

El modus operandi es notable por el uso del motor de obfuscación de malware BatCloak y ScrubCrypt para entregar el malware en forma de scripts por lotes obfuscados.

BatCloak, ofrecido para la venta a otros actores de amenazas desde finales de 2022, tiene sus fundamentos en otra herramienta llamada Jlaive. Su característica principal es cargar una carga útil de próxima etapa de manera que evita los mecanismos de detección tradicionales.

ScrubCrypt, un crypter que fue documentado por primera vez por Fortinet en marzo de 2023 en relación con una campaña de cryptojacking orquestada por la banda 8220, se evalúa como una de las iteraciones de BatCloak, según una investigación de Trend Micro del año pasado.

En la última campaña analizada por la firma de ciberseguridad, el archivo SVG sirve como conducto para descargar un archivo ZIP que contiene un script por lotes probablemente creado usando BatCloak, el cual luego desempaqueta el archivo por lotes de ScrubCrypt para ejecutar finalmente Venom RAT, pero no antes de configurar la persistencia en el host y tomar medidas para evitar las protecciones de AMSI y ETW.

email

Una bifurcación de Quasar RAT, Venom RAT permite a los atacantes tomar el control de los sistemas comprometidos, recopilar información sensible y ejecutar comandos recibidos desde un servidor de comando y control (C2).

«Aunque el programa principal de Venom RAT pueda parecer sencillo, mantiene canales de comunicación con el servidor C2 para adquirir complementos adicionales para diversas actividades», dijo la investigadora de seguridad Cara Lin. Esto incluye Venom RAT v6.0.3 con capacidades de keylogger, NanoCore RAT, XWorm y Remcos RAT.

«Este complemento [Remcos RAT] fue distribuido desde el C2 de VenomRAT utilizando tres métodos: un script VBS obfuscado llamado ‘remcos.vbs’, ScrubCrypt y GuLoader PowerShell«, agregó Lin.

También entregado utilizando el sistema de complementos está un ladrón que recopila información sobre el sistema y exfiltra datos de carpetas asociadas con billeteras y aplicaciones como Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (retirado a partir de marzo de 2023), Zcash, Foxmail y Telegram a un servidor remoto.

«Este análisis revela un ataque sofisticado que aprovecha múltiples capas de técnicas de obfuscación y evasión para distribuir y ejecutar VenomRAT a través de ScrubCrypt», dijo Lin.

«Los atacantes emplean una variedad de métodos, incluidos correos electrónicos de phishing con archivos adjuntos maliciosos, archivos de script obfuscados y Guloader PowerShell, para infiltrar y comprometer sistemas de víctimas. Además, desplegar complementos a través de diferentes cargas útiles resalta la versatilidad y adaptabilidad de la campaña de ataque».

Share this article :

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Descubre los últimos artículos del blog sobre seguridad cibernética.