PhantomBlue es el nombre dado a una nueva campaña de malware identificada por los investigadores de seguridad de Perception Point. Dirigida principalmente a organizaciones con sede en los Estados Unidos, esta campaña utiliza tácticas, técnicas y procedimientos (TTP) innovadores para eludir la detección y desplegar el conocido RAT NetSupport. Esta campaña demuestra una sofisticación en los métodos de ataque de malware al aprovechar las características legítimas de las herramientas de administración remota con propósitos maliciosos.
Capacidades de NetSupport RAT
NetSupport RAT es una herramienta maliciosa multifuncional que aprovecha la funcionalidad legítima de la administración remota para llevar a cabo una variedad de actividades maliciosas, desde la vigilancia hasta el robo de datos y el control remoto de sistemas, entre otras de sus capacidades destacan:
Fase inicial del ataque
Este ataque utiliza técnicas de ingeniería social y manipulación avanzada de documentos para desplegar el malware NetSupport RAT. Inicialmente los atacantes compran y obtienen desde la DDW (Deep Dark Web) cuentas de correos electrónicos de su objetivo, en este caso organizaciones de EE.UU. a quienes distribuyen correos electrónicos tipo phishing haciéndose pasar por un servicio de contabilidad. Este correo posee un archivo adjunto tipo Word (.docx) que supuestamente contiene un “informe salarial del mes”. El cuerpo del correo posee instrucciones detalladas para acceder al documento adjunto el cual está protegido por una contraseña proporcionada a las víctimas.
Ilustración 1: Correo recibido con adjunto e instrucciones
Fuente: Perception Point
Los investigadores descubrieron que se estarían utilizando servicios legítimos como el de SendInBlue para enviar estos correos maliciosos de phishing masivamente y así enmascarar sus intenciones.
Una vez que el destinatario descarga y abre el archivo (.docx) adjunto, se solicita que ingrese una contraseña proporcionada. Luego, se indica que habilite la edición del documento y haga clic en una imagen de la impresora incrustada en el documento.
Ilustración 2: Headers y solicitud de password
Fuente: Perception Point
La imagen de la impresora incrustada en realidad es un paquete OLE, una característica de Microsoft Windows que permite incrustar y vincular documentos y otros objetos. Al hacer clic en esta imagen, se ejecuta un código malicioso que está oculto en el documento, aprovechando una técnica avanzada de manipulación de plantillas OLE (Defense Evasion – T1221) para entregar el NetSupport RAT.
Al ejecutar el código malicioso, se abre un archivo .zip que contiene un archivo LNK, que es una forma común de infectar sistemas con malware. Este archivo LNK puede descargar e instalar el NetSupport RAT en el sistema de la víctima, permitiendo al atacante tomar el control remoto del dispositivo comprometido.
Ilustración 3: Icono impresora y descarga del zip malicioso
Fuente: Perception Point
Análisis del LNK malicioso
El archivo LNK actúa como un señuelo que, cuando se abre, ejecuta un script de PowerShell, este script, una vez ejecutado, obtiene otro script adicional desde una URL específica. Este script secundario está ofuscado para ocultar sus verdaderas intenciones y contiene elementos como otra URL, un archivo ZIP, un ejecutable para desplegar NetSupport RAT y una clave de registro diseñada para mantener vivo el RAT.
Después de desofuscar el script de PowerShell, se revelan sus operaciones. Este script organiza meticulosamente la creación de un archivo ZIP secundario a partir de una URL recuperada, lo descomprime y navega al directorio extraído para activar el NetSupport RAT. Además, establece una nueva clave de registro para garantizar el inicio automático del malware, asegurando su persistencia en el sistema comprometido.
Ilustración 4: Cuentagotas Powershell
Fuente: Perception Point
Modelo anti-evasión
PhantomBlu ha adoptado un enfoque innovador al entregar el NetSupport RAT, utilizando archivos (.docx) cifrados y técnicas de plantilla OLE e inyección de plantilla (T1221). Esta desviación de los TTP convencionales de entrega de NetSupport RAT, que históricamente se basaban en archivos ejecutables y tácticas de phishing más simples, resalta la sofisticación de PhantomBlu al combinar tácticas de evasión avanzadas con ingeniería social.
El modelo antievasión de los investigadores ha desglosado minuciosamente las complejas técnicas de evasión y ofuscación utilizadas por PhantomBlu, desde el correo electrónico inicial hasta la extracción del último archivo LNK oculto detrás de la manipulación de plantillas. Esto demuestra la capacidad de los ciber actores para ocultar y persuadir la detección de amenazas más avanzadas y sofisticadas.
Ilustración 5: Desglose anti-evasión del ataque
Fuente: Perception Point
Apreciación
La amenaza PhantomBlu representa un ejemplo destacado de la evolución constante y la sofisticación cada vez mayor de las tácticas utilizadas por los actores de amenazas en el ciberespacio. Al emplear técnicas avanzadas como el uso de archivos cifrados, plantillas OLE e inyección de plantillas, PhantomBlu demuestra la capacidad de adaptarse y evadir las defensas tradicionales de ciberseguridad.
Esta amenaza subraya la importancia crítica de contar con medidas de seguridad robustas y una estrategia integral de ciberseguridad. La detección y mitigación efectiva de amenazas como PhantomBlu requiere una combinación de soluciones tecnológicas avanzadas, como la inteligencia artificial y el análisis forense, junto con la capacitación y concienciación constante del personal para identificar y evitar ataques de ingeniería social.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
Tipo | Indicador |
---|---|
Campaña PhantomBlu | - |
hash | 16e6dfd67d5049ffedb8c55bee6... |
hash | 1abf56bc5fbf84805ed0fbf28e7... |
hash | 95898c9abce738ca53e44290f4d... |
hash | d07323226c7be1a38ffd8716bc7... |
hash | 94499196a62341b4f1cd10f3e1b... |
hash | 89f0c8f170fe9ea28b105651716... |
hash | 46f680c51592c5a61143008b007... |
hash | a2b46c59f6e7e395d479b09464e... |
url | yourownmart[.]com/solar[.]txt |
url | firstieragency[.]com/depbrn... |
dominio | yourownmart[.]com |
dominio | firstieragency[.]com |
dominio | parabmasale[.]com |
dominio | tapouttv28[.]com |