Los investigadores de ciberseguridad llaman la atención sobre una nueva campaña denominada JS#contrabandista Esto se ha observado aprovechando sitios web comprometidos como vector de distribución para un troyano de acceso remoto llamado NetSupport RAT.
La cadena de ataque, analizada por Securonix, involucra tres partes móviles principales: un cargador de JavaScript ofuscado inyectado en un sitio web, una aplicación HTML (HTA) que ejecuta etapas de PowerShell cifradas usando «mshta.exe» y una carga útil de PowerShell diseñada para descargar y ejecutar el malware principal.
«NetSupport RAT permite al atacante un control total sobre el host de la víctima, incluido el acceso al escritorio remoto, operaciones de archivos, ejecución de comandos, robo de datos y capacidades de proxy», dijeron los investigadores Akshay Gaikwad, Shikha Sangwan y Aaron Beardslee.
Hay poca evidencia en esta etapa para vincular la campaña con algún grupo o país amenazador conocido. Se ha descubierto que la actividad se dirige a usuarios empresariales a través de sitios web comprometidos, lo que indica un esfuerzo amplio.
La empresa de ciberseguridad lo describió como una operación de malware basada en web de varias etapas que emplea iframes ocultos, cargadores ofuscados y ejecución de scripts en capas para la implementación de malware y el control remoto.
En estos ataques, las redirecciones silenciosas integradas en los sitios web infectados actúan como un conducto para un cargador de JavaScript muy codificado («phone.js») recuperado de un dominio externo, que luego perfila el dispositivo para determinar si debe servir un iframe de pantalla completa (cuando se visita desde un teléfono móvil) o cargar otro script remoto de segunda etapa (cuando se visita desde un escritorio).
El iframe invisible está diseñado para dirigir a la víctima a una URL maliciosa. El cargador de JavaScript incorpora un mecanismo de seguimiento para garantizar que la lógica maliciosa se active solo una vez y durante la primera visita, minimizando así las posibilidades de detección.
«Esta ramificación con reconocimiento de dispositivo permite a los atacantes adaptar la ruta de infección, ocultar la actividad maliciosa de ciertos entornos y maximizar su tasa de éxito al entregar cargas útiles apropiadas para la plataforma y al mismo tiempo evitar una exposición innecesaria», dijeron los investigadores.
El script remoto descargado en la primera etapa del ataque sienta las bases al construir en tiempo de ejecución una URL desde la cual se descarga y ejecuta una carga útil HTA usando «mshta.exe». La carga útil HTA es otro cargador para un stager temporal de PowerShell, que se escribe en el disco, se descifra y se ejecuta directamente en la memoria para evadir la detección.
Además, el archivo HTA se ejecuta de forma sigilosa desactivando todos los elementos visibles de la ventana y minimizando la aplicación al inicio. Una vez que se ejecuta la carga útil descifrada, también toma medidas para eliminar el stager de PowerShell del disco y finaliza para evitar dejar tanto rastro forense como sea posible.
El objetivo principal de la carga útil descifrada de PowerShell es recuperar e implementar NetSupport RAT, otorgando al atacante control total sobre el host comprometido.
«La sofisticación y las técnicas de evasión en capas indican claramente un marco de malware de nivel profesional mantenido activamente», dijo Securonix. «Los defensores deben implementar una fuerte aplicación de CSP, monitoreo de scripts, registro de PowerShell, restricciones de mshta.exe y análisis de comportamiento para detectar dichos ataques de manera efectiva».
CHAMELEON#NET ofrece malware Formbook
La divulgación se produce semanas después de que la compañía también detallara otra campaña de malspam de varias etapas denominada CHAMELEON#NET que utiliza correos electrónicos de phishing para entregar Formbook, un registrador de pulsaciones y ladrón de información. Los mensajes de correo electrónico tienen como objetivo atraer a las víctimas del Sector Nacional de la Seguridad Social para que descarguen un archivo aparentemente inofensivo después de sus credenciales en un portal de correo web falso diseñado para este propósito.
«Esta campaña comienza con un correo electrónico de phishing que engaña a los usuarios para que descarguen un archivo .BZ2, iniciando una cadena de infección de varias etapas», dijo Sangwan. «La carga útil inicial es un archivo JavaScript muy ofuscado que actúa como un cuentagotas, lo que lleva a la ejecución de un cargador VB.NET complejo. Este cargador utiliza reflexión avanzada y un cifrado XOR condicional personalizado para descifrar y ejecutar su carga útil final, el Formbook RAT, completamente en la memoria».
Específicamente, el cuentagotas de JavaScript decodifica y escribe en el disco en el directorio %TEMP% dos archivos JavaScript adicionales:
- svchost.js, que descarga un ejecutable del cargador .NET denominado DarkTortilla («QNaZg.exe»), un cifrador que se utiliza a menudo para distribuir cargas útiles de la siguiente etapa.
- adobe.js, que coloca un archivo llamado «PHat.jar», un paquete de instalación MSI que muestra un comportamiento similar al de «svchost.js».
En esta campaña, el cargador está configurado para descifrar y ejecutar una DLL integrada, el malware Formbook. La persistencia se logra agregándolo a la carpeta de inicio de Windows para garantizar que se inicie automáticamente al reiniciar el sistema. Alternativamente, también gestiona la persistencia a través del Registro de Windows.
«Los actores de amenazas combinan ingeniería social, gran ofuscación de scripts y técnicas avanzadas de evasión de .NET para comprometer objetivos con éxito», dijo Securonix. «El uso de una rutina de descifrado personalizada seguida de una carga reflectante permite que la carga útil final se ejecute sin archivos, lo que complica significativamente la detección y el análisis forense».
