Boolka utiliza el framework BeEF, para distribuir malware en sitios web

El actor de amenazas Boolka comenzó sus actividades en 2022 infectando sitios web con scripts JavaScript diseñados para robar información de formularios. Estos scripts maliciosos, insertados en el código HTML de los sitios web, se activan al ser visitados por un usuario, notificando al servidor del atacante y exfiltrando datos sensibles del usuario. A partir de 2023, Boolka actualizó su carga útil y amplió sus actividades incluyendo la distribución de malware mediante una plataforma basada en BeEF, lo que demuestra una evolución en sus tácticas y capacidades.

¿Qué es el marco BeEF?

El marco BeEF (Browser Exploitation Framework) es una herramienta de seguridad informática utilizada para probar la seguridad de navegadores web. Desarrollado en Ruby, BeEF se centra en identificar vulnerabilidades en los navegadores y en las aplicaciones web que se ejecutan dentro de ellos.

Otros malware detectados

BMANAGER downloader: Inicia la cadena de infección descargando el troyano BMANAGER.

BMANAGER - BMREADER: Otros descargadores utilizados en las campañas de Boolka.

BMLOG: Un keylogger que registra las pulsaciones de teclas.

BMHOOK: Monitorea las aplicaciones activas y registra la interacción con el teclado.

BMBACKUP: Ladrón de archivos que exfiltra documentos importantes.

Exfiltración de archivos

El malware de Boolka realiza una copia de los archivos objetivo con nombres aleatorios y los almacena en el directorio temporal del usuario. Los archivos se fragmentan en porciones de 16384 bytes, que se envían al servidor C2 mediante solicitudes GET. Este proceso asegura una transferencia sigilosa y continua de datos desde el dispositivo infectado al atacante.

Fases del ataque

Infección inicial: Inyección de scripts JavaScript en sitios web comprometidos.

Notificación y monitoreo: El script notifica al servidor del atacante y monitorea la interacción del usuario.

Recolección y exfiltración de datos: Captura datos de formularios y los envía al servidor del atacante.

Distribución de malware: Utilización de la plataforma BeEF para entregar el descargador de BMANAGER.

Ejecución del malware: Instalación de diversos módulos maliciosos, incluyendo keyloggers y ladrones de archivos.

Exfiltración de archivos: Transferencia de datos robados al servidor C2.

Ilustración 1: Plataforma distribución del malware
Fuente: Group-Ib

Mitre ATTACK

Apreciación

El descubrimiento de las actividades de Boolka revela la sofisticación creciente de las amenazas cibernéticas. Desde ataques oportunistas de inyección SQL hasta el desarrollo de plataformas de distribución de malware, Boolka ha demostrado una evolución significativa en sus tácticas. La inyección de scripts maliciosos para la filtración de datos y el uso del marco BeEF para la entrega de malware destacan la capacidad del grupo para adaptar y mejorar sus técnicas. Las operaciones del malware Boolka, con múltiples componentes maliciosos, subraya la necesidad de robustas estrategias de ciberseguridad tanto para usuarios finales como para propietarios de sitios web.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.

Para usuarios finales:

• Evitar hacer clic en enlaces sospechosos y descargar archivos de fuentes desconocidas.
• Descargar aplicaciones y actualizaciones solo de fuentes oficiales.
• Mantener el sistema operativo, navegadores y software actualizados.
• Utilizar contraseñas seguras y únicas, junto con un gestor de contraseñas confiable.
• Habilitar la autenticación multifactor (MFA) en todas las cuentas posibles.
• Utilizar software antivirus actualizado para detectar y eliminar amenazas.

Para propietarios de sitios web:

• Realizar auditorías de seguridad y evaluaciones de vulnerabilidad periódicamente.
• Implementar protocolos de autenticación fuertes y exigir contraseñas seguras con MFA.
• Mantener todo el software actualizado con los últimos parches de seguridad.
• Utilizar un Web Application Firewall (WAF) para filtrar tráfico malicioso.
• Configurar un monitoreo continuo del sitio web y tener un plan de respuesta a incidentes.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.