wmtech logo

Los hackers están utilizando el furtivo contrabando de HTML para distribuir malware a través de sitios falsos de Google

Luis Quiles
Luis Quiles
sites
Criptomonedas, Malspam

Los investigadores de ciberseguridad han descubierto una nueva campaña de malware que utiliza páginas falsas de Google Sites y contrabando de HTML para distribuir un malware comercial llamado AZORult con el fin de facilitar el robo de información.

«Utiliza una técnica de contrabando de HTML poco ortodoxa donde la carga maliciosa está incrustada en un archivo JSON separado alojado en un sitio web externo», dijo el investigador de Netskope Threat Labs, Jan Michael Alcantara, en un informe publicado la semana pasada.

La campaña de phishing no ha sido atribuida a un actor o grupo de amenazas específicos. La empresa de ciberseguridad la describió como de naturaleza amplia, realizada con la intención de recopilar datos sensibles para venderlos en foros clandestinos.

AZORult, también conocido como PuffStealer y Ruzalto, es un ladrón de información detectado por primera vez alrededor de 2016. Normalmente se distribuye a través de campañas de phishing y malspam, instaladores troyanizados de software o medios pirateados y malvertising.

Una vez instalado, AZORult es capaz de recopilar credenciales, cookies e historial de navegadores web, capturas de pantalla, documentos que coinciden con una lista de extensiones específicas (.TXT, .DOC, .XLS, .DOCX, .XLSX, .AXX y .KDBX), y datos de 137 carteras de criptomonedas. Los archivos AXX son archivos encriptados creados por AxCrypt, mientras que KDBX se refiere a una base de datos de contraseñas creada por el administrador de contraseñas KeePass.

La actividad de ataque más reciente implica que el actor de amenazas crea páginas falsas de Google Docs en Google Sites que posteriormente utilizan contrabando de HTML para entregar la carga útil.

El contrabando de HTML es el nombre dado a una técnica sigilosa en la que se abusan de funciones HTML5 y JavaScript legítimas para ensamblar y lanzar el malware mediante el «contrabando» de un script malicioso codificado.

Así, cuando un visitante es engañado para abrir la página falsa desde un correo electrónico de phishing, el navegador descodifica el script y extrae la carga útil en el dispositivo hospedado, evitando efectivamente los controles de seguridad típicos como las puertas de enlace de correo electrónico que solo inspeccionan archivos adjuntos sospechosos.

La campaña de AZORult lleva este enfoque un paso más allá al agregar una barrera de CAPTCHA, un enfoque que no solo da una apariencia de legitimidad, sino que también sirve como una capa adicional de protección contra los escáneres de URL.

El archivo descargado es un archivo de acceso directo (.LNK) que se disfraza como un extracto bancario en PDF, y al iniciarlo se inicia una serie de acciones para ejecutar una serie de scripts intermedios por lotes y PowerShell desde un dominio ya comprometido.

code 3

Uno de los scripts de PowerShell («agent3.ps1») está diseñado para obtener el cargador de AZORult («service.exe»), que, a su vez, descarga y ejecuta otro script de PowerShell («sd2.ps1») que contiene el malware ladrón.

«Ejecuta el ladrón de información AZORult sin archivos de forma sigilosa utilizando la carga de código reflexivo, evitando la detección basada en disco y minimizando los artefactos», dijo Michael Alcantara. «Utiliza una técnica de bypass de AMSI para evadir la detección por parte de una variedad de productos anti-malware basados en host, incluido Windows Defender.»

«A diferencia de los archivos de contrabando comunes donde el blob ya está dentro del código HTML, esta campaña copia una carga útil codificada desde un sitio comprometido separado. El uso de dominios legítimos como Google Sites puede ayudar a engañar a la víctima haciéndola creer que el enlace es legítimo.»

Estos hallazgos coinciden con la revelación de Cofense sobre el uso de archivos SVG maliciosos por parte de actores de amenazas en campañas recientes para difundir Agent Tesla y XWorm utilizando un programa de código abierto llamado AutoSmuggle que simplifica el proceso de creación de archivos de contrabando HTML o SVG.

AutoSmuggle «toma un archivo como un ejecutable o un archivo comprimido y lo ‘contrabandea’ en el archivo SVG o HTML para que cuando se abra el archivo SVG o HTML, el archivo ‘contrabandeado’ se entregue», explicó la empresa.

También se han observado campañas de phishing empleando archivos de acceso directo empaquetados dentro de archivos de archivo para propagar LokiBot, un ladrón de información análogo a AZORult con funciones para recopilar datos de navegadores web y carteras de criptomonedas.

«El archivo LNK ejecuta un script de PowerShell para descargar y ejecutar el ejecutable del cargador de LokiBot desde una URL. El malware LokiBot ha sido observado utilizando esteganografía de imágenes, empaquetado en capas múltiples y técnicas de living-off-the-land (LotL) en campañas anteriores», reveló SonicWall la semana pasada.

En otro caso destacado por Docguard, se han encontrado archivos de acceso directo maliciosos que inician una serie de descargas de carga útil y, en última instancia, despliegan malware basado en AutoIt.

Eso no es todo. Los usuarios en la región de América Latina están siendo objetivo como parte de una campaña en curso en la que los atacantes se hacen pasar por agencias gubernamentales colombianas para enviar correos electrónicos con documentos PDF trampa que acusan a los destinatarios de infringir normas de tráfico.

Dentro del archivo PDF hay un enlace que, al hacer clic, resulta en la descarga de un archivo ZIP que contiene un VBScript. Cuando se ejecuta, el VBScript suelta un script de PowerShell responsable de obtener uno de los troyanos de acceso remoto como AsyncRAT, njRAT y Remcos.

Share this article :

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Descubre los últimos artículos del blog sobre seguridad cibernética.