Trellix detectó una campaña en curso que usaba actualizaciones falsas del navegador Chrome para atraer a las víctimas para que instalaran una herramienta de software de administración remota (RAT) llamada NetSupport Manager. Los actores maliciosos abusan de este software para robar información y tomar el control de las computadoras de las víctimas. La campaña detectada tiene similitud con la campaña SocGholish informada anteriormente, que fue dirigida por un presunto actor de amenazas ruso. Sin embargo, no es concluyente que esté ligado a SocGholish y existen diferencias en las herramientas utilizadas. En este documento se muestra la campaña detectada y las tácticas utilizadas para entregar la carga útil final a las víctimas, las similitudes y diferencias con las campañas anteriores.
Descripción general de la campaña
A fines de junio de 2023, el Centro de Investigación Avanzada de Trellix detectó una campaña de actualización de navegador falsa a través de la detección del descargador de JavaScript de primera etapa. La campaña utiliza sitios comprometidos para presentar una actualización falsa del navegador Chrome para atraer a las víctimas, lo que las lleva a instalar una herramienta de software de administración remota (RAT) llamada NetSupport Manager. Los sitios web comprometidos se inyectan con una etiqueta de secuencia de comandos HTML simple que carga contenido de JavaScript desde el servidor de comando y control del actor de amenazas. Es probable que la inyección de secuencias de comandos maliciosas esté automatizada y siga una determinada estructura de directorios. Los sitios comprometidos pueden identificarse buscando la ruta, ‘/cdn-js/wds.min.php’. El éxito de esta campaña depende del alcance del sitio web comprometido. En la telemetría de Trellix, encontramos un compromiso reciente de un sitio web de la Cámara de Comercio de EE.UU., que tiene tráfico del gobierno federal, instituciones financieras y servicios de consultoría. El sitio ya está limpio del script inyectado y estuvo comprometido durante al menos un día. La secuencia de comandos inyectada en el sitio web comprometido conduce a una página de actualización de navegador falsa. Este tema de actualización de navegador falsa que conduce a una RAT de NetSupport no es nuevo y se informó hace años. Este señuelo también fue utilizado por SocGholish, donde también conduce a la instalación de NetSupport RAT. Sin embargo, no se encontró evidencia concluyente para conectar esta campaña actual con SocGholish. La diferencia notable entre la campaña SocGholish informada y la actual está en las herramientas utilizadas. SocGholish usó PowerShell con funcionalidad WMI para descargar e instalar RAT. Por el contrario, esta campaña actual utiliza archivos por lotes (.BAT), secuencias de comandos de VB y la herramienta Curl en lugar de secuencias de comandos de PowerShell para descargar componentes y la carga útil de RAT. Esto se describe en detalle en la siguiente sección.
Detalles técnicos
Al hacer clic en el enlace Actualizar Chrome que se encuentra en la página de actualización falsa del navegador, se descarga un archivo ZIP, «UpdateInstall.zip», que tiene un archivo JavaScript malicioso incrustado. El script malicioso llamado «Browser_portable.js», es un descargador de la siguiente etapa. El «Browser_portable.js» envía una solicitud al C2 para recuperar y ejecutar otro código JavaScript malicioso. El JavaScript de la segunda etapa, «Chrome_update.js», usa cierta ofuscación y está muy lleno de cadenas de comentarios no deseados. El script de la segunda etapa llamado «Chrome_update.js», es un programa de descarga. Descarga un archivo por grupos, «1.bat», en la carpeta local ‘C://ProgramData’ y lo ejecuta. El archivo por grupos «1.bat» elimina los archivos VBScript y por grupos. Los archivos VBScript todavía están en desarrollo o actúan como un maniquí, ya que se observa que «Wscrit.Arguments» está mal escrito y los scripts no se ejecutan. Por el contrario, los archivos por lotes se ejecutan y usan «Curl» para descargar más componentes. Estos componentes son el archivador de archivos 7-zip portátil, el paquete de software RAT de NetSupport Manager y, finalmente, el archivo por lotes, «2.bat», para instalar y ejecutar la RAT. La RAT de NetSupport Manager se extrae con la utilidad 7-zip descargada y se ejecuta a través de tareas programadas en la computadora de la víctima mediante el archivo «2.bat» descargado. Este archivo por lotes también es responsable de crear el mecanismo de persistencia de la RAT que se ejecutará al iniciar el sistema. Mirando el archivo de configuración de la RAT, «client32.ini», la dirección de la puerta de enlace se establece en 5.252.178.48. En este punto, en el que la RAT se descarga e instala en la computadora de la víctima, los actores de amenazas han obtenido el control casi completo de la máquina de la víctima. Ahora pueden instalar más malware, filtrar datos, escanear la red y moverse lateralmente.
Conclusión
Varios actores de amenazas pueden emplear técnicas casi similares en sus ataques si esas técnicas funcionan y resultan efectivas. En esta campaña, hemos observado que los actores de amenazas continúan utilizando activamente el atractivo de una actualización de navegador falsa, que se ha utilizado en diferentes ataques. El abuso de las RAT fácilmente disponibles continúa, ya que estas son herramientas poderosas capaces de satisfacer las necesidades de los adversarios para llevar a cabo sus ataques y lograr sus objetivos. Si bien es posible que estas RAT no se actualicen constantemente, las herramientas y técnicas para entregar estas cargas útiles a las víctimas potenciales seguirán evolucionando. Los actores de amenazas actualizan continuamente sus TTP para evadir la detección. Utilizan las herramientas disponibles en el entorno de destino para evitar la descarga innecesaria y la creación de componentes personalizados. También utilizan lenguajes de secuencias de comandos o basados en texto que se pueden ofuscar de diferentes maneras, lo que plantea un desafío en la creación de detección estática. En esta campaña, se utilizó una combinación de lenguajes de secuencias de comandos nativos del sistema operativo Windows, como VBScript y Batch script, junto con la popular herramienta de transferencia de datos, curl, que está disponible en Windows desde 2017.
————————
Este documento y la información que contiene describen la investigación de seguridad informática únicamente con fines educativos y para comodidad de los clientes de Trellix.
Acerca de Trellix
Trellix es una empresa global que redefine el futuro de la ciberseguridad y el trabajo apasionado. La plataforma abierta y nativa de detección y respuesta extendida (XDR) de la empresa, ayuda a las organizaciones que se enfrentan a las amenazas más avanzadas de la actualidad a ganar confianza en la protección y resiliencia de sus operaciones. Trellix, junto con un extenso ecosistema de socios, acelera la innovación tecnológica a través del aprendizaje automático y la automatización para empoderar a más de 40,000 clientes empresariales y gubernamentales con seguridad viva.
Conozca más en https://trellix.com .
