Actualizaciones en navegadores web falsas, inyectan BitRAT y LummaC2

En un reciente incidente, la Unidad de Respuesta a Amenazas de eSentire descubrió que existen actualizaciones falsas de navegadores web, las cuales están siendo utilizadas para diseminar los malware BitRAT y Lumma Stealer. Este método de ataque, que ha sido empleado en otras infecciones significativas como SocGholish y FakeBat, comienza cuando los usuarios acceden a sitios web infectados con código JavaScript malicioso.

Compromiso inicial

Al cargar una página web comprometida, se activa el código JS malicioso inyectado, el cual a su vez redirige a otra página de actualización falsa llamada chatgpt-app[.]cloud, esta a su vez contiene un archivo Zip malicioso llamado Update[.]zip. Este archivo estaría alojado en un CDN de Discord.

Ilustración 1: Direccionamiento malicioso para descarga de archivo ZIP
Fuente: Esentire

Actualización falsa

Cada vez más los atacantes están utilizando el señuelo de actualización falsa, en este caso el Zip malicioso actúa como descargador inicial para luego obtener los datos importantes de la víctima por medio de varios scripts de powershell, los cuales descargan y ejecutan otras cargas maliciosas desde 77.221.151[.]31.

La ip detectada en el script de PowerShell es conocida por alojar las cargas útiles de BitRAT y Lumma Stealer.- Los 4 archivos maliciosos poseen la extensión .png según la siguiente tabla:

Ilustración 2: Archivos PNG maliciosos
Fuente: Esentire

Troyano BitRAT

BitRAT es una herramienta avanzada de acceso remoto que proporciona dos modos de conexión (conexión inversa directa y Tor) y permite administrar más de 10,000 clientes de manera eficiente. Sus características incluyen la explotación de UAC para obtener privilegios elevados, protección de procesos, vinculación de hasta 5 archivos en una carpeta, y un navegador remoto compatible con Chrome. Además, ofrece recuperación de contraseñas, minería de criptomonedas con XMR, proxy inverso mediante SOCKS4, acceso a escritorio remoto, transmisión en vivo de cámara web y audio, administración de archivos con compresión zip, y funciones de keylogger, junto con compatibilidad con proxy SOCKS5. La muestra de BitRAT analizada en este caso estaba empaquetada en UPX y contenía una configuración cifrada.

Ilustración 3: Telegram BitRAT
Fuente: Telegram

Lumma Stealer

Lumma Stealer, o LummaC2 Stealer, es un malware de robo de información escrito en C y operado como malware como servicio en foros rusos desde agosto de 2022. Creado por el actor de amenazas "Shamel" bajo el alias "Lumma", este malware apunta a billeteras de criptomonedas, extensiones de navegador 2FA y otros datos sensibles. Envía los datos robados a un servidor C2 mediante solicitudes HTTP POST con un agente de usuario que empieza con "Mozilla/5.0". Además, incluye un cargador no residente que puede desplegar más cargas maliciosas en formatos EXE, DLL y PowerShell.

Ilustración 4: Telegram LummaC2 Stealer
Fuente: Telegram

Apreciación

Los ciberactores de amenaza están empleando técnicas ya conocidas, como en este caso, utilizando las actualizaciones de navegadores web falsos para implementar malware BitRAT y Lumma Stealer. El uso de powershell para ejecutar comandos script es una herramienta de sistema nativa de windows que permite pasar desapercibida a favor de los ciberactores, con ella exfiltran información del sistema víctima. El uso de archivos con extensión .png intenta ocultar la actividad maliciosa desplegada por los atacantes frente al usuario víctima. Cabe destacar que estas amenazas no son nuevas, pero siempre están en constante evolución y modificando el código de las muestras de malware para pasar desapercibidos y tener éxito con usuarios desprevenidos. 

Es crucial que la organización posea un buen plan de capacitación y constante entrenamiento con los colaboradores a fin de mitigar el impacto de este tipo de amenazas informáticas.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Mantener firewall perimetral y antivirus actualizados a fin de proteger la infraestructura y detectar amenazas en evolución.
• Ingresar solo a sitios web que garanticen una navegación segura.
• Cerrar sesión en los dispositivos cuando no están siendo utilizados.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.