En un reciente incidente, la Unidad de Respuesta a Amenazas de eSentire descubrió que existen actualizaciones falsas de navegadores web, las cuales están siendo utilizadas para diseminar los malware BitRAT y Lumma Stealer. Este método de ataque, que ha sido empleado en otras infecciones significativas como SocGholish y FakeBat, comienza cuando los usuarios acceden a sitios web infectados con código JavaScript malicioso.
Compromiso inicial
Al cargar una página web comprometida, se activa el código JS malicioso inyectado, el cual a su vez redirige a otra página de actualización falsa llamada chatgpt-app[.]cloud, esta a su vez contiene un archivo Zip malicioso llamado Update[.]zip. Este archivo estaría alojado en un CDN de Discord.
Ilustración 1: Direccionamiento malicioso para descarga de archivo ZIP
Fuente: Esentire
Actualización falsa
Cada vez más los atacantes están utilizando el señuelo de actualización falsa, en este caso el Zip malicioso actúa como descargador inicial para luego obtener los datos importantes de la víctima por medio de varios scripts de powershell, los cuales descargan y ejecutan otras cargas maliciosas desde 77.221.151[.]31.
La ip detectada en el script de PowerShell es conocida por alojar las cargas útiles de BitRAT y Lumma Stealer.- Los 4 archivos maliciosos poseen la extensión .png según la siguiente tabla:
Ilustración 2: Archivos PNG maliciosos
Fuente: Esentire
Troyano BitRAT
BitRAT es una herramienta avanzada de acceso remoto que proporciona dos modos de conexión (conexión inversa directa y Tor) y permite administrar más de 10,000 clientes de manera eficiente. Sus características incluyen la explotación de UAC para obtener privilegios elevados, protección de procesos, vinculación de hasta 5 archivos en una carpeta, y un navegador remoto compatible con Chrome. Además, ofrece recuperación de contraseñas, minería de criptomonedas con XMR, proxy inverso mediante SOCKS4, acceso a escritorio remoto, transmisión en vivo de cámara web y audio, administración de archivos con compresión zip, y funciones de keylogger, junto con compatibilidad con proxy SOCKS5. La muestra de BitRAT analizada en este caso estaba empaquetada en UPX y contenía una configuración cifrada.
Ilustración 3: Telegram BitRAT
Fuente: Telegram
Lumma Stealer
Lumma Stealer, o LummaC2 Stealer, es un malware de robo de información escrito en C y operado como malware como servicio en foros rusos desde agosto de 2022. Creado por el actor de amenazas "Shamel" bajo el alias "Lumma", este malware apunta a billeteras de criptomonedas, extensiones de navegador 2FA y otros datos sensibles. Envía los datos robados a un servidor C2 mediante solicitudes HTTP POST con un agente de usuario que empieza con "Mozilla/5.0". Además, incluye un cargador no residente que puede desplegar más cargas maliciosas en formatos EXE, DLL y PowerShell.
Ilustración 4: Telegram LummaC2 Stealer
Fuente: Telegram
Apreciación
Los ciberactores de amenaza están empleando técnicas ya conocidas, como en este caso, utilizando las actualizaciones de navegadores web falsos para implementar malware BitRAT y Lumma Stealer. El uso de powershell para ejecutar comandos script es una herramienta de sistema nativa de windows que permite pasar desapercibida a favor de los ciberactores, con ella exfiltran información del sistema víctima. El uso de archivos con extensión .png intenta ocultar la actividad maliciosa desplegada por los atacantes frente al usuario víctima. Cabe destacar que estas amenazas no son nuevas, pero siempre están en constante evolución y modificando el código de las muestras de malware para pasar desapercibidos y tener éxito con usuarios desprevenidos.
Es crucial que la organización posea un buen plan de capacitación y constante entrenamiento con los colaboradores a fin de mitigar el impacto de este tipo de amenazas informáticas.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
Tipo | Indicador |
---|---|
. | . |