El actor de amenazas Boolka comenzó sus actividades en 2022 infectando sitios web con scripts JavaScript diseñados para robar información de formularios. Estos scripts maliciosos, insertados en el código HTML de los sitios web, se activan al ser visitados por un usuario, notificando al servidor del atacante y exfiltrando datos sensibles del usuario. A partir de 2023, Boolka actualizó su carga útil y amplió sus actividades incluyendo la distribución de malware mediante una plataforma basada en BeEF, lo que demuestra una evolución en sus tácticas y capacidades.
¿Qué es el marco BeEF?
El marco BeEF (Browser Exploitation Framework) es una herramienta de seguridad informática utilizada para probar la seguridad de navegadores web. Desarrollado en Ruby, BeEF se centra en identificar vulnerabilidades en los navegadores y en las aplicaciones web que se ejecutan dentro de ellos.
Otros malware detectados
BMANAGER downloader: Inicia la cadena de infección descargando el troyano BMANAGER.
BMANAGER - BMREADER: Otros descargadores utilizados en las campañas de Boolka.
BMLOG: Un keylogger que registra las pulsaciones de teclas.
BMHOOK: Monitorea las aplicaciones activas y registra la interacción con el teclado.
BMBACKUP: Ladrón de archivos que exfiltra documentos importantes.
Exfiltración de archivos
El malware de Boolka realiza una copia de los archivos objetivo con nombres aleatorios y los almacena en el directorio temporal del usuario. Los archivos se fragmentan en porciones de 16384 bytes, que se envían al servidor C2 mediante solicitudes GET. Este proceso asegura una transferencia sigilosa y continua de datos desde el dispositivo infectado al atacante.
Fases del ataque
Infección inicial: Inyección de scripts JavaScript en sitios web comprometidos.
Notificación y monitoreo: El script notifica al servidor del atacante y monitorea la interacción del usuario.
Recolección y exfiltración de datos: Captura datos de formularios y los envía al servidor del atacante.
Distribución de malware: Utilización de la plataforma BeEF para entregar el descargador de BMANAGER.
Ejecución del malware: Instalación de diversos módulos maliciosos, incluyendo keyloggers y ladrones de archivos.
Exfiltración de archivos: Transferencia de datos robados al servidor C2.
Ilustración 1: Plataforma distribución del malware
Fuente: Group-Ib
Mitre ATTACK
Apreciación
El descubrimiento de las actividades de Boolka revela la sofisticación creciente de las amenazas cibernéticas. Desde ataques oportunistas de inyección SQL hasta el desarrollo de plataformas de distribución de malware, Boolka ha demostrado una evolución significativa en sus tácticas. La inyección de scripts maliciosos para la filtración de datos y el uso del marco BeEF para la entrega de malware destacan la capacidad del grupo para adaptar y mejorar sus técnicas. Las operaciones del malware Boolka, con múltiples componentes maliciosos, subraya la necesidad de robustas estrategias de ciberseguridad tanto para usuarios finales como para propietarios de sitios web.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
Para usuarios finales:
Para propietarios de sitios web:
Tipo | Indicador |
---|---|
Boolka | - |
hash | 2f10a81bc5a1aad7230cec197af... |
hash | 7266f20123edcb2e0b92ac0b632... |
hash | 9434e2f277f764bb75302cd5355... |
hash | b2dbd3187c67883c0f77c17530f... |
hash | 94430690ac9516a25ca764bae8c... |
hash | 227b8233071da4d3015cb04b692... |
hash | b28b6110b63865cf68c3021352a... |
hash | 059c8fa8112fcfc72c9bca3d96b... |
hash | e5b240c04c9b716dd06a21f7837... |
hash | 52f7570b5fbd2fc2d627a30c2fc... |
hash | 23839bb671643aff1d08b29da74... |
domain | boolka[.]tk |
domain | boolka24[.]tk |
domain | beonlineboo[.]com |
domain | beef[.]beonlineboo[.]com |
domain | mainnode[.]beonlineboo[.]com |
domain | node[.]beonlineboo[.]com |
domain | updatebrower[.]com |
ip | 194[.]165[.]16[.]68 |
ip | 141[.]98[.]81[.]23 |
ip | 179[.]60[.]150[.]123 |
ip | 141[.]98[.]9[.]152 |
ip | 92[.]51[.]2[.]78 |
ip | 179[.]60[.]147[.]74 |
ip | 45[.]182[.]189[.]109 |