PhantomBlue utiliza técnicas innovadoras para propagar troyano NetSupport RAT

PhantomBlue es el nombre dado a una nueva campaña de malware identificada por los investigadores de seguridad de Perception Point. Dirigida principalmente a organizaciones con sede en los Estados Unidos, esta campaña utiliza tácticas, técnicas y procedimientos (TTP) innovadores para eludir la detección y desplegar el conocido RAT NetSupport. Esta campaña demuestra una sofisticación en los métodos de ataque de malware al aprovechar las características legítimas de las herramientas de administración remota con propósitos maliciosos.

Capacidades de NetSupport RAT

NetSupport RAT es una herramienta maliciosa multifuncional que aprovecha la funcionalidad legítima de la administración remota para llevar a cabo una variedad de actividades maliciosas, desde la vigilancia hasta el robo de datos y el control remoto de sistemas, entre otras de sus capacidades destacan:

• Transformación de la administración remota en una plataforma para ataques cibernéticos (Ex software legítimo NetSupport Manager)
• Movimiento a otros dispositivos dentro de la red
• Captura de pulsaciones del teclado (keylogger)
• Control de recursos del sistema
• Monitoreo del comportamiento
• Vigilancia y control sigilosos
• Transferencia de archivos
• Robo de datos

Fase inicial del ataque

Este ataque utiliza técnicas de ingeniería social y manipulación avanzada de documentos para desplegar el malware NetSupport RAT. Inicialmente los atacantes compran y obtienen desde la DDW (Deep Dark Web) cuentas de correos electrónicos de su objetivo, en este caso organizaciones de EE.UU. a quienes distribuyen correos electrónicos tipo phishing haciéndose pasar por un servicio de contabilidad. Este correo posee un archivo adjunto tipo Word (.docx) que supuestamente contiene un “informe salarial del mes”. El cuerpo del correo posee instrucciones detalladas para acceder al documento adjunto el cual está protegido por una contraseña proporcionada a las víctimas.

Ilustración 1: Correo recibido con adjunto e instrucciones
Fuente: Perception Point

 Los investigadores descubrieron que se estarían utilizando servicios legítimos como el de SendInBlue para enviar estos correos maliciosos de phishing masivamente y así enmascarar sus intenciones.

Una vez que el destinatario descarga y abre el archivo (.docx) adjunto, se solicita que ingrese una contraseña proporcionada. Luego, se indica que habilite la edición del documento y haga clic en una imagen de la impresora incrustada en el documento.

Ilustración 2: Headers y solicitud de password
Fuente: Perception Point

La imagen de la impresora incrustada en realidad es un paquete OLE, una característica de Microsoft Windows que permite incrustar y vincular documentos y otros objetos. Al hacer clic en esta imagen, se ejecuta un código malicioso que está oculto en el documento, aprovechando una técnica avanzada de manipulación de plantillas OLE (Defense Evasion – T1221) para entregar el NetSupport RAT.

Al ejecutar el código malicioso, se abre un archivo .zip que contiene un archivo LNK, que es una forma común de infectar sistemas con malware. Este archivo LNK puede descargar e instalar el NetSupport RAT en el sistema de la víctima, permitiendo al atacante tomar el control remoto del dispositivo comprometido.

Ilustración 3: Icono impresora y descarga del zip malicioso
Fuente: Perception Point

Análisis del LNK malicioso

El archivo LNK actúa como un señuelo que, cuando se abre, ejecuta un script de PowerShell, este script, una vez ejecutado, obtiene otro script adicional desde una URL específica. Este script secundario está ofuscado para ocultar sus verdaderas intenciones y contiene elementos como otra URL, un archivo ZIP, un ejecutable para desplegar NetSupport RAT y una clave de registro diseñada para mantener vivo el RAT.

Después de desofuscar el script de PowerShell, se revelan sus operaciones. Este script organiza meticulosamente la creación de un archivo ZIP secundario a partir de una URL recuperada, lo descomprime y navega al directorio extraído para activar el NetSupport RAT. Además, establece una nueva clave de registro para garantizar el inicio automático del malware, asegurando su persistencia en el sistema comprometido.

Ilustración 4: Cuentagotas Powershell
Fuente: Perception Point

Modelo anti-evasión

PhantomBlu ha adoptado un enfoque innovador al entregar el NetSupport RAT, utilizando archivos (.docx) cifrados y técnicas de plantilla OLE e inyección de plantilla (T1221). Esta desviación de los TTP convencionales de entrega de NetSupport RAT, que históricamente se basaban en archivos ejecutables y tácticas de phishing más simples, resalta la sofisticación de PhantomBlu al combinar tácticas de evasión avanzadas con ingeniería social.

El modelo antievasión de los investigadores ha desglosado minuciosamente las complejas técnicas de evasión y ofuscación utilizadas por PhantomBlu, desde el correo electrónico inicial hasta la extracción del último archivo LNK oculto detrás de la manipulación de plantillas. Esto demuestra la capacidad de los ciber actores para ocultar y persuadir la detección de amenazas más avanzadas y sofisticadas. 

Ilustración 5: Desglose anti-evasión del ataque
Fuente: Perception Point

Apreciación

La amenaza PhantomBlu representa un ejemplo destacado de la evolución constante y la sofisticación cada vez mayor de las tácticas utilizadas por los actores de amenazas en el ciberespacio. Al emplear técnicas avanzadas como el uso de archivos cifrados, plantillas OLE e inyección de plantillas, PhantomBlu demuestra la capacidad de adaptarse y evadir las defensas tradicionales de ciberseguridad.

Esta amenaza subraya la importancia crítica de contar con medidas de seguridad robustas y una estrategia integral de ciberseguridad. La detección y mitigación efectiva de amenazas como PhantomBlu requiere una combinación de soluciones tecnológicas avanzadas, como la inteligencia artificial y el análisis forense, junto con la capacitación y concienciación constante del personal para identificar y evitar ataques de ingeniería social.

 

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• No abrir archivos de Microsoft Office que contengan MACROS hasta obtener confirmación del remitente y verificar que el envío sea bajo estrictas políticas de seguridad como por ejemplo: archivo cifrado, contraseña enviada por otro medio, contacto directo con el remitente.
• Utilizar el principio de menor privilegio, que trata de dividir el uso del sistema en dos cuentas, una estándar para uso diario que incluya las mínimas funciones posibles y otra cuenta de administrador que permita acceder al núcleo de su dispositivo.
• Tener atención y evitar extensiones como “exe”, “vbs” y “scr”. Es necesario vigilar este tipo de archivos, ya que podrían ser peligrosos. Un atacante podría utilizar diversas extensiones para enmascarar archivos maliciosos como un vídeo, foto, o un documento como: (reporte-clientes.doc.scr).
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.