Una nueva campaña de publicidad maliciosa busca propagar una puerta trasera llamada Oyster a través de software legítimo como Google Chrome y Microsoft Teams, que tiene como principal objetivo realizar la enumeración del sistema y permitir la ejecución remota de código.
Antecedentes Oyster/Broomstick
Cadena de propagación
La propagación se inicia a través de la descarga por parte de los usuarios de los instaladores de Microsoft Teams, a través, de sitios webs desde google o bing modificados con imperceptibles errores tipográficos para las víctimas haciéndoles creer que estaban descargando software legítimo cuando, en realidad, estaban descargando el software malicioso del actor de la amenaza.
Ilustración 1: Sitio Web falso de Microsoft Teams
Fuente: Rapid7
Una vez que el usuario ingresa a la url maliciosa y ejecuta el payload, se descargar dos binarios en la carpeta temporal llamados MSTeamsSetup_c_l_[.]exe y CleanUp30[.]dll, ejecutados a través de dos funciones FindResourceA para localizar los binarios, seguida de LoadResource para acceder a ellos.
Cuando CleanUp30[.]dll se instala en el directorio Temp, el programa ejecuta la DLL, pasando la cadena rundll32[.]exe a la variable %s de la función CreateProcessA, donde %s almacena el valor CleanUp30[.]dll, para posteriormente proceder a iniciar el instalador legítimo de Microsoft Teams, MSTeamsSetup_c_l_[.]exe.
Los investigadores descubrieron que MSTeamsSetup_c_l_[.]exe, estaba asignado a un certificado Authenticode emitido a “Shanxi Yanghua HOME Furnishings Ltd”, el cual estaba asociado a otras versiones del instalador que también se hacían pasar por instaladores de software legítimo.
Ilustración 2: Firma Shanxi Yanghua HOME Furnishings Ltd buscada desde Virus Total.
Fuente: Rapid7
Matriz MITRE ATT&CK
Apreciación
Si bien la investigación demuestra la alta efectividad que sigue teniendo este tipo de campañas ocultas tras software legítimo, también demuestra que hay que reforzar las medidas de seguridad y monitoreo continuo de todos las herramientas y aplicativos usados dentro de las operaciones de una organización, de manera tal que pueda mantenerse en visual todo lo que podría representar una extensión de la superficie de ataque de los actores de amenaza, para reforzar y adaptar constantemente tanto las políticas de seguridad en la protección de los sistemas, así como, la constante actualización de las capacidades y herramientas a los colaboradores de la organización para detectar este tipo de campañas de malware.
https://thehackernews.com/2024/06/oyster-b... |
Tipo | Indicador |
---|---|
hash | 9601f3921c2cd270b6da0ba265c... |
hash | 574c70e84ecdad901385a1ebf38... |
hash | cfc2fe7236da1609b0db1b2981c... |
hash | 82b246d8e6ffba1abaffbd38647... |
dominio | hxxps://prodfindfeatures[.]... |
dominio | hxxps://micrsoft-teams-down... |
dominio | hxxp://impresoralaser[.]pro/ |
dominio | hxxp://whereverhomebe[.]com/ |
dominio | hxxp://supfoundrysettlers[.... |
dominio | hxxps://supfoundrysettlers[... |
dominio | hxxps://retdirectyourman[.]eu/ |
ip | 149.248.79[.]62 |
ip | 64.95.10[.]243 |
ip | 206.166.251[.]114 |