Campaña de phishing infecta con Malware IceXLoader a dispositivos domésticos y corporativos

11 Noviembre 2022
Alto

Una campaña de phishing en curso ha infectado a miles de usuarios domésticos y corporativos con una nueva versión del malware 'IceXLoader'. un cargador de malware descubierto por primera vez en junio pasado por FortiGuard Labs, que se vende por $118 en foros clandestinos por una licencia de por vida. Se emplea principalmente para descargar y ejecutar malware adicional en los hosts infectados.

 

IceXLoader

Los autores de IceXLoader, lanzaron la versión 3.3.3, mejorando la funcionalidad de la herramienta e introduciendo una cadena de entrega de varias etapas.

Para un cargador de malware que se promociona de manera tan agresiva en el cibercrimen, cualquier desarrollo de este tipo es significativo y podría conducir a un repunte repentino en su despliegue.

Es un malware comercial que se utiliza para descargar e implementar malware adicional en las máquinas infectadas. Si bien la versión descubierta en junio (v3.0) parecía un trabajo en progreso, recientemente se observó un nuevo cargador v3.3.3 que ha resultado completamente funcional e incluye una cadena de entrega de varias etapas.

 

 

IceXLoader v3.3.3

La versión 3.3.3 de IceXLoader está escrita en lenguaje Nim. “El lenguaje de programación Nim es un lenguaje de programación conciso y rápido que compila en C, C++ y JavaScript” . Últimamente, el uso de este lenguaje se ha vuelto cada vez más popular entre los actores de amenazas, utilizado también por el actor de amenazas chino en Nimbda loader y el actor de amenazas TA800 en Nimza loader.

El malware recopila la siguiente información sobre la víctima y la envía al servidor C&C:

  1. Apodo: el apodo establecido por el autor del malware y codificado en binario
  2. Dirección IP. UUID
  3. Nombre de usuario y nombre de la máquina
  4. Versión del sistema operativo Windows
  5. Productos de seguridad instalados
  6. Presencia de .NET Framework v2.0 y/o v4.0
  7. Versión del malware
  8. Información de memoria RAM
  9. Información de la CPU
  10. Información de la GPU
  11. Registro de fecha

 

En la imagen podemos observar el comportamiento del malware al momento de recopilar la información de los equipos infectados a través de las diferentes peticiones GET.

Mientras se ejecuta por primera vez, IceXLoader se copia a sí mismo en dos directorios:

 

Ambas técnicas anteriores se utilizan para proporcionar persistencia.

Después de crear la persistencia, el cargador ejecuta una instancia recién copiada de sí mismo retrasando la ejecución en dos segundos y eliminando el archivo que se está ejecutando actualmente. 

Cuando se ejecuta de nuevo, el cargador omite la protección AMSI (interfaz de escaneo antimalware) al sobrescribir (parchar) la API AmsiScanBuffer (que escanea la entrada del usuario) en la memoria. El AMSI es un conjunto de API de Windows que permite que cualquier aplicación se integre con un producto antivirus (suponiendo que el producto actúe como proveedor de AMSI). Windows Defender, naturalmente, actúa como un proveedor AMSI al igual que muchas soluciones AV de terceros.

El cargador también crea y ejecuta un archivo .bat que desactiva el análisis en tiempo real de Windows Defender y también agrega exclusiones a Windows Defender para evitar que analice el directorio en el que se copió IceXLoader.  

La lista de comandos compatibles con la versión 3.3.3 es la misma que describe FortiGuard Labs.  

IceXLoader intenta descargar un ejecutable adicional de su servidor C&C. Este archivo se guarda como medianupdate.exe en la carpeta temporal del usuario. 

Durante un tiempo el servidor C & C estuvo disponible, pero se eliminaron todos los archivos, excepto las bases de datos de las víctimas.

 

Bases de datos de víctimas

Estas BDD se encuentran en un directorio expuesto públicamente, que contiene miles de registros de víctimas, compuesto por una combinación de PC privadas domésticas y PC corporativas. Además según las fechas de modificación se puede observar que la base de datos está en constante actualización siendo la última a principios de este mes. 

 

Vector de Ataque

La infección comienza con la llegada de un archivo ZIP a través de un correo electrónico de phishing que contiene el extractor de primera etapa.

El extractor crea una nueva carpeta oculta (.tmp) en “C - Users - <username> - AppData - Local - Temp” y suelta el ejecutable de la siguiente etapa, 'STOREM~2[.]exe.'

Luego, dependiendo de la configuración de extracción seleccionada por el operador, el sistema infectado puede reiniciarse y se agregará una nueva clave de registro para eliminar la carpeta temporal cuando la computadora se reinicie.

El ejecutable eliminado es un downloader que obtiene un archivo PNG de una URL codificada y lo convierte en un archivo DLL ofuscado, que corresponde a la carga útil de IceXLoader.

Después de descifrar la carga útil, el dropper realiza comprobaciones para asegurarse de que no se esté ejecutando dentro de un emulador y espera 35 segundos antes de ejecutar el cargador de malware para evadir las zonas de pruebas.

Finalmente, IceXLoader se inyecta en el proceso STOREM~2.exe mediante el vaciado de procesos.

 

TTP´s MITRE ATT&CK

  • T1105 – Transferencia de herramienta de ingreso 
  • T1140 – Desofuscar/Decodificar archivos o información 
  • T1620 – Carga de código reflectante 
  • T1497 – Virtualización/evasión de sandbox 
  • T1055.012 – Proceso de Inyección: Proceso de Vaciado 
  • T1592 – Recopilar información del anfitrión de la víctima 
  • T1590.005 – Recopilar información de la red de la víctima: direcciones IP 
  • T1547.001 – Ejecución de inicio automático de inicio o inicio de sesión: claves de ejecución del registro/carpeta de inicio 
  • T1059.001 – Intérprete de comandos y secuencias de comandos: PowerShell 
  • T1562.001 – Debilitar defensas: deshabilitar o modificar herramientas

 

Apreciación

La evolución del malware a todas luces parece no detenerse, en este caso IceXLoader que que ha estado en constante desarrollo el cual además tiene la capacidad de actualizarse. La motivación de los distribuidores del malware aún no está clara debido a que estos no están interesados en proteger los datos robados dejándolos públicos. IceXLoader es otro ejemplo de que el phishing sigue siendo uno de los vectores de apoyo más usados por los actores de amenaza para distribuir diferentes malwares por lo que es necesario aplicar todas las medidas de seguridad necesarias para evitar caer en este tipo de ataque.

 

 

ENTEL Weekly Threat Intelligence Brief del 14 al 20 de noviembre de 2022

Jenkins publica nuevo aviso de seguridad con múltiples vulnerabilidades

StrelaStealer, nueva familia de InfoStealer

 

 

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
  • Verificar que su equipamiento de detección de amenazas esté con sus firmas actualizadas y operando de forma correcta.
  • Realizar Backup (respaldo) de todos los sistemas que posea dentro de su organización.
  • Bajo ningún motivo almacenar los Backup dentro del mismo servidor, equipo o red local.
  • Comprobar que las copias de seguridad y los mecanismos de restauración funcionan.
  • Asegúrese de que los productos integrados existentes de filtrado y detección, están habilitados y operando de manera correcta.
  • Asegurar que los softwares de su organización se encuentren actualizados, priorizando las que parchan las vulnerabilidades informadas en el “Catalogo de vulnerabilidades explotadas conocidas” - informado por US-CISA (https://www.cisa.gov/known-exploited-vulnerabilities-catalog).
  • Validar que el personal TI de su organización haya deshabilitado todos los puertos y protocolos que no sean esenciales para el cumplimiento de sus operaciones.
  • Validar que todos los accesos remotos a la red de su organización cuentan con “Multi factor de autenticación” (MFA) - recordando que US-CISA agregó la autenticación de un solo factor a la lista de malas prácticas de ciberseguridad "excepcionalmente riesgosas"  (https://www.cisa.gov/uscert/ncas/current-activity/2021/08/30/cisa-adds-single-factor-authentication-list-bad-practices).
  • Proteger el protocolo RDP:
    • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
    • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
    • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
    • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
    • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
    • Habilitar la autenticación de nivel de red (NLA).
  • Si su organización utiliza Microsoft Office 365 (M365), considere los siguientes pasos:
  • Asigne algunos (no más de tres) usuarios de confianza como administradores de descubrimiento electrónico (eDiscovery) para realizar búsquedas de contenido forense en todo el entorno de M365 (buzones, equipos, SharePoint y OneDrive) en busca de evidencia de actividad maliciosa.
  • Deshabilite la comunicación remota de PowerShell en Exchange Online para los usuarios habituales de M365. 
  • No permita una cantidad ilimitada de intentos fallidos de inicio de sesión. Para configurar estos ajustes, consulte la configuración de bloqueo inteligente de contraseñas (https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-password-smart-lockout).
  • Considere usar una herramienta como Sparrow o Hawk, herramientas de código abierto basadas en PowerShell usadas para recopilar información relacionada con M365, para investigar y auditar intrusiones y posibles filtraciones.
  • Si su organización utiliza servicios en la nube, asegúrese de que el personal TI haya revisado e implementado controles de seguridad estrictos, como los que se indican a continuación:
  • Implemente políticas de acceso restrictivo, según las necesidades de su organización.
  • Establezca una línea de base (Baseline) para la actividad normal de la red dentro de su entorno.
  • Revise periódicamente los registros de inicio de sesión de Active Directory (AD) y los registros de auditoría unificados para detectar actividades anómalas.
  • Implemente Multi Factor de Autenticación (MFA) para todos los usuarios, sin excepción.
  • Hacer cumplir el uso del Multi Factor de Autenticación (MFA).
  • Revise en forma regular las reglas y alertas de reenvío de correo electrónico creadas por el usuario o restrinja el reenvío.
  • Implemente un plan o procedimientos de mitigación; objeto comprender cuándo, cómo y por qué se deben restablecer contraseñas y revocar tokens de sesión.
  • Siga la guía recomendada sobre cómo asegurar el acceso privilegiado .
  • Considere una política que no permita a los colaboradores usar dispositivos personales para el trabajo. Como mínimo, utilice una solución de gestión de dispositivos móviles de confianza.
  • Considere restringir que los usuarios reenvíen correos electrónicos a cuentas fuera de su dominio.
  • Permita que los usuarios den su consentimiento sólo a las integraciones de aplicaciones que hayan sido aprobadas previamente por un administrador.
  • Audite las reglas de correo electrónico con alertas exigibles a través del Centro de seguridad y cumplimiento u otras herramientas que usan Graph API para advertir a los administradores sobre actividades anormales.
  • El acceso condicional debe entenderse e implementarse con una mentalidad de “cero confianza”.
  • Asegúrese de que el registro de acceso de usuarios esté habilitado. Reenvíe los registros a un dispositivo de administración de eventos e información de seguridad (Por ej.: un SIEM), para agregarlos y monitorearlos a fin de no perder la visibilidad de los registros fuera de los períodos de registro.
  • Verifique que todas las instancias de máquinas virtuales basadas en la nube con una IP pública no tengan puertos de Protocolo de escritorio remoto (RDP) abiertos. Coloque cualquier sistema con un puerto RDP abierto detrás de un firewall y solicite a los usuarios que usen una VPN para acceder a él a través del firewall.
  • Centrarse en la concientización y la formación. Informe a los colaboradores sobre las amenazas, como las estafas de phishing, y cómo se entregan. Capacitar a los usuarios sobre los principios y técnicas de seguridad de la información, así como sobre los riesgos y vulnerabilidades generales de ciberseguridad emergentes.
  • Asegúrese de que los colaboradores sepan a quién contactar cuando ven actividad sospechosa o cuando creen que han sido víctimas de un ataque cibernético. Esto asegurará que la estrategia de mitigación adecuada establecida pueda emplearse de manera rápida y eficiente.

Tags: #IceXLoader #Opus #Malware


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.