Investigadores de ciber amenazas han descubierto un nuevo malware que posee motivaciones financieras y está afectando a usuarios de habla portuguesa e hispana, su principal objetivo es el robo de credenciales e información bancaria en línea.
Ya se han reportado víctimas en Perú, Portugal y México. Para llevar a cabo sus actividades maliciosas, este ciber actor está empleando tácticas de scripting basados en CMD y LOLBaS (Living Off the Binaries and Scripts).
Análisis de la amenaza
Objetivo : Información Bancaria y Financiera
Carga útil utilizada : Ejecutables PE
Técnicas utilizadas : Scripts VBE, Imágenes ISO, paquetes MSI
Script utilizados : CMD, Autoit, LOLBaS
Geolocalización de ataques : Perú, Portugal, México
Índice de detección : Bajo
Modus Operandi
Inicialmente las víctimas reciben un correo electrónico tipo phishing con contenido alarmante con el objeto de llamar la atención de las víctimas, entre los asuntos detectados por esta campaña figuran las típicas multas de tránsito, infracciones y facturas impagas.
Estos correos contienen un adjunto HTML como se puede apreciar en la siguiente imagen.
Ilustración 1: Correo alarmante con adjunto HTML malicioso
Tanto el asunto como el contenido del correo intentan llamar la atención de la víctima y conducirla a descargar el supuesto PDF enunciado para visualizar más detalles.
Contenido del archivo HTML adjunto:
Enmarcado en rojo se visualiza una instrucción de datos codificada que al ser decodificada redirige hacia una URL levemente ofuscada que finalmente se traduce en hxxps[:]//multa-ansr-pt[.]fun/?hcBViJAi9EZSc3YQwxpEwfmD7xdG0IF34EWGHj6Q, esta URL claramente maliciosa se resuelve bajo la IP 162.0.232[.]115, activándose la descarga de un archivo tipo RAR.
Ilustración 2: Contenido adjunto HTML malicioso
Algunos nombres con los que se descargan estos archivos maliciosos son:
También fueron detectados archivos de tipo CMD bajo los siguientes nombres:
Según análisis realizados por SANS, los archivos CMD son grandes, oscilan entre 1,34 y 1,37 MB y poseen datos codificados en base 64 e instrucciones de código para su ejecución.
Estos archivos poseen instrucciones compiladas en Autoit para enumerar host y descargar otros archivos maliciosos de VBS estos archivos a su vez ejecutan “SHELLEXECUTE” invocando funciones de “_OUTRECOVERY() ” para extraer datos del servidor de Outlook como usuarios, contraseñas de registro POP3, SMTP e IMAP. Otras funciones implementadas en este malware también extraen información de Chrome como las contraseñas almacenadas por el navegador esto lo hace invocando la función “_CHROMERECOVERY() ”.
Finalmente este malware se comunica con su C2 a través del método “HTTP POST” y extrae la información robada desde la víctima, entre estos datos figuran:
Este malware es capaz de mantener persistencia en el sistema afectado.
En una de las muestras analizadas en México, fue posible detectar dentro de los scripts de Autoit, la enumeración de bancos mexicanos, esto se puede visualizar en la siguiente imagen:
Ilustración 3: Script Autoit con enumeración de bancos mexicanos
Tácticas MITRE ATT&CK empleadas por CMDStealer:
Ilustración 4: Tácticas MITRE ATT&CK empleadas por CMDStealer
Apreciación
Los ciber actores se mantienen presentes en el panorama de ciber amenazas en LATAM, en este caso afectando a los clientes de sistemas bancarios y financieros a través de masivas campañas de phishing con adjuntos maliciosos, cada vez más indetectables.
Las organizaciones debemos implementar soluciones robustas de seguridad en puntos finales para detectar y bloquear a tiempo este tipo de comportamientos sospechosos, administrar correctamente los permisos necesarios para el buen uso de las estaciones de trabajo, limitando la ejecución de herramientas o procesos innecesarios para tareas diarias que realizan los usuarios, junto a esto, efectuar capacitaciones constantes para que sean ellos la primera voz de alerta ante estas situaciones sospechosas.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
https://blogs.blackberry.com/en/2023/05/cm... |
Tipo | Indicador |
---|---|
CMDStealer | - |
hash | f6e84e43323ed9d8531fa2aeeb3... |
hash | 0a277e51598ef364d5e0006817d... |
hash | 2d87b9b071ace9f2ebfa33c1c0c... |
hash | 40017793f40a192b1dfdfc96074... |
hash | cb1d1f039c07bd03b6eb14248a8... |
MD5 | e64f28174f646e26199d6b7735c... |
MD5 | f7f602f9b7fd04b64fbafe4dbfe... |
MD5 | fdcc1e1e3ccf30c63660e1f7504... |
MD5 | e212e8d740310cc565bc89c3b79... |
MD5 | 2a29ff610cd792ec28f40f77cf3... |
dominio | http://publicpressmagazine[... |
dominio | http://websylvania[.]com |
dominio | https://multa-ansr-pt[.]fun |
dominio | https://factura61[.]click |
dominio | https://sunat-pe[.]fun |