Se ha observado que los actores de amenaza aprovechan la táctica engañosa de ingeniería social conocida como ClickFix para desplegar un versátil con el nombre de Cornflake Cornflake. V3.
Mandiant, propiedad de Google, describió la actividad, que rastrea como UNC5518, como parte de un esquema de acceso como servicio que emplea páginas Captcha falsas como señuelos para engañar a los usuarios para que proporcionen acceso inicial a sus sistemas, que luego está monetizado por otros grupos de amenazas.
«El vector de infección inicial, denominado ClickFix, implica atraer a los usuarios a los sitios web comprometidos para copiar un script de PowerShell malicioso y ejecutarlo a través del cuadro de diálogo Windows Run», dijo Google en un informe publicado hoy.
Se evalúa que el acceso proporcionado por UNC5518 está aprovechado por al menos dos grupos de piratería diferentes, UNC5774 y UNC4108, para iniciar un proceso de infección en varias etapas y eliminar cargas útiles adicionales –
- UNC5774, otro grupo motivado financieramente que ofrece Cornflake como una forma de implementar varias cargas útiles posteriores
- UNC4108, un actor de amenaza con motivación desconocida que usa PowerShell para implementar herramientas como Voltmarker y NetSupport Rat
La cadena de ataque probablemente comience con la víctima que aterriza una página de verificación Captcha falsa después de interactuar con los resultados de búsqueda que emplean envenenamiento de optimización de motores de búsqueda (SEO) o anuncios maliciosos.
Luego se engaña al usuario para ejecutar un comando Malicioso PowerShell al iniciar el cuadro de diálogo Run Windows, que luego ejecuta la carga útil de la próxima etapa desde un servidor remoto. El script recientemente descargado verifica si se ejecuta dentro de un entorno virtualizado y finalmente lanza Cornflake.v3.
Observado tanto en las versiones de JavaScript como en PHP, Cornflake.v3 es una puerta trasera que admite la ejecución de cargas útiles a través de HTTP, incluidos ejecutables, bibliotecas de enlace dinámico (DLL), archivos JavaScript, scripts de lotes y comandos de PowerShell. También puede recopilar información básica del sistema y transmitirla a un servidor externo. El tráfico se representa a través de los túneles de Cloudflare en un intento por evitar la detección.
«Cornflake.v3 es una versión actualizada de Cornflake.v2, que comparte una parte significativa de su base de código», dijo el investigador Mandiant Marco Galli. «A diferencia de V2, que funcionó únicamente como un descargador, V3 presenta persistencia del host a través de una clave de ejecución de registro y admite tipos de carga útil adicional».
Ambas generaciones son notablemente diferentes de su progenitor, un descargador basado en C que utiliza sockets TCP para comunicaciones de comando y control (C2) y solo tiene la capacidad de ejecutar cargas de DLL.
La persistencia en el host se logra mediante cambios en el registro de Windows. Al menos tres cargas útiles diferentes se entregan a través de Cornflake.v3. Esto comprende una utilidad de reconocimiento de Active Directory, un script para cosechar credenciales a través de Kerberoasting, y otra puerta trasera conocida como WindyTwist.SEA, una versión C de Windytwist que admite transmitir el tráfico TCP, proporcionando un shell inverso, comandos de ejecución y retirarse.
También se han observado versiones seleccionadas de WindyTwist.SEA que intentan moverse lateralmente en la red de la máquina infectada.
«Para mitigar la ejecución de malware a través de ClickFix, las organizaciones deben deshabilitar el cuadro de diálogo Windows Ejecutar siempre que sea posible», dijo Galli. «Los ejercicios de simulación regulares son cruciales para contrarrestar esta y otras tácticas de ingeniería social. Además, los sistemas robustos de registro y monitoreo son esenciales para detectar la ejecución de las cargas útiles posteriores, como las asociadas con Cornflake.v3».
Infección USB gotas Xmrig Miner
La divulgación se produce cuando la firma de inteligencia de amenazas detalló una campaña en curso que emplea unidades USB para infectar a otros anfitriones y desplegar mineros de criptomonedas desde septiembre de 2024.
«Esto demuestra la efectividad continua del acceso inicial a través de unidades USB infectadas», dijo Mandiant. «El bajo costo y la capacidad de evitar la seguridad de la red hacen que esta técnica sea una opción convincente para los atacantes».
La cadena de ataque comienza cuando se engaña a una víctima para ejecutar un atajo de Windows (LNK) en la unidad USB comprometida. El archivo LNK da como resultado la ejecución de un script Visual Basic también ubicado en la misma carpeta. El script, por su parte, lanza un script por lotes para iniciar la infección –
- Sucioun lanzador DLL C ++ para iniciar la ejecución de otros componentes maliciosos, como CutFail
- Cortadorun gotero de malware C ++ responsable de descifrar e instalar malware en un sistema, como High Reps y Bobbench, así como bibliotecas de tercera
- Ruidososun descargador que recupera archivos adicionales para garantizar la persistencia de Bobbench
- Bombauna puerta trasera de C ++ que facilita el reconocimiento, proporciona acceso remoto al comunicarse con un servidor de base de datos PostgreSQL y descargar XMRIG
- Xmrigun software de código abierto para minería de criptomonedas como Monero, Dero y Ravencoin
«Bacenchs se propaga al infectar las unidades USB», dijo Mandiant. «Escanea el sistema de unidades disponibles y luego crea un archivo por lotes, un archivo VBScript, un archivo de acceso directo y un archivo DAT».
