Campañas de Netwire RAT presentes en el panorama de inteligencia sudamericano

El año 2020 ha sido marcado por abismantes cambios en los escenarios que conforman el Panorama de Ciberinteligencia sudamericano. La Situación del Teatro de Operaciones se ha visto mermada por una vertiginosa aceleración informática, que obligó a las organización a una transformación digital de sus procesos, principiando en materias de teletrabajo que nunca tuvieron dentro de su planificación. Por su parte, la Situación de la Amenaza, también cambió, ya que vio la oportunidad de explotar este proceso acelerado de transformación digital, que en líneas generales, conllevó a incrementar las brechas de seguridad de las organizaciones.

Bajo este nuevo escenario, hemos visualizado diversas ciberoperaciones disruptivas que están utilizando la Ingeniería Social como principal técnica para la explotación de la tendencia natural de la gente a confiar, logrando así cumplir en grandes tasas de éxito los objetivos maliciosos de estas campañas. Es así como en líneas generales hemos evidenciado un aumento de Phishing: tanto en correos como en mensajería telefónica con su variante Smishing.

Situación de la Amenaza en Sudamérica

Desde hace un par de meses hemos estado haciendo seguimiento a la reactivación de campañas de un malware tipo RAT (Remote Access Trojan) conocido como NetWire, esta vez orientado principalmente a Sistemas Operativos de Microsoft Windows, buscando tomar el control de forma persistente de sus víctimas para robar credenciales.

NetWire RAT

Descubierto por primera vez en el año 2012, el malware ha experimentado un ciclo constante de evolución y actualizaciones por parte de sus desarrolladores, ya que desde sus inicios ha sido ofrecido comercialmente en foros clandestinos.

Puede robar información del sistema, descargar y ejecutar otras variantes de malware adicionales, leer historiales de Internet, recolectar credenciales, incluidas las utilizadas por navegadores y clientes de correo electrónico, instalar keyloggers junto con simular operaciones de teclado y mouse.

Nueva campaña en Chile - NetWire se difunde a través de correo electrónico de phishing

Recientemente, el equipo de Cyber Threat Intelligence de Entel CyberSecure evidenció un malware se propagaba a través de correo electrónico como phishing. Durante el análisis, se logró identificar que era una nueva variante de NetWire RAT. A continuación mostraremos parte de nuestro análisis:

La siguiente imagen es una captura de pantalla del contenido del correo electrónico de phishing. Contiene un archivo adjunto ".uue" que al descomprimirlo muestra un archivo .exe que tiene el ícono de un .pdf.

De acuerdo con registros de NIC Chile, los dominios de las empresas aquí nombradas, tanto la que suplantan como remitente del correo (@___servicios.cl) y aquella que es destinatario (ventas@master___.cl), son válidas.

Por su parte, el correo que están utilizando para esta campaña proviene del dominio @t-online.de [194.25.134.81], que es un portal de noticias Alemán que ofrece servicios de correo gratuito, cuyo ISP es "Deutsche Telekom AG".

Return-Path: <Taunus-Copy@t-online.de>
Delivered-To: spam@destinatariovictima.cl
Received: from test.servidor.cl
    by test.servidor.cl with LMTP
    (envelope-from <Taunus-Copy@t-online.de>)
    for <spam@destinatariovictima.cl>;
Return-path: <Taunus-Copy@t-online.de>
Envelope-to: contacto@destinatariovictima.cl
Delivery-date: - -0400
Received: from mailout03.t-online.de ([194.25.134.81]:45834)
    by test.servidor.cl with esmtps  (TLS1.2) tls TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    (Exim 4.93)
    (envelope-from <Taunus-Copy@t-online.de>)
    id 1jj1TH-000oxC-O2
    for contacto@destinatariovictima.cl; -
Received: from fwd18.aul.t-online.de (fwd18.aul.t-online.de [172.20.26.244])
    by mailout03.t-online.de (Postfix) with SMTP id 7542C4234513;
    - -0400 (CEST)
Received: from spica05.aul.t-online.de (XHIl9BZXZhcZhqFDjDDT91Gm6S+XvRAF27e-mcAeWtOZ70FFEjyz7i2uc-E6G3ZgUv@[172.20.102.135]) by fwd18.aul.t-online.de
    with esmtp id 1jj1SN-073DlI0; - +0200
Received: from 41.242.138.43:38212 by cmpweb01.aul.t-online.de with HTTP/1.1 (Lisa V5-8-0-4.0 on API V5-26-0-1); - +0200
Received: from 172.20.102.138:43274 by spica05.aul.t-online.de:8080; - +0200 (CEST)
Date: Wed, 10 Jun 2020 16:11:54 +0200 (CEST)
From: "Marcelo Sepulveda  - __ CHILE" <Taunus-Copy@t-online.de>
Sender: "Marcelo Sepulveda  - __ CHILE" <Taunus-Copy@t-online.de>
Reply-To: "jsntfxqvip.163@gmail.com" <jsntfxqvip.163@gmail.com>
To: "ventas@master__.cl" <ventas@master__.cl>
Message-ID: <1591798314539.178174.d569676d4e48e7fa13a33eef84d1256dcef2546f@spica.telekom.de>
Subject: ORDEN DE COMPRA - ___ CHILE 06/2020

IoC correo:
Taunus-Copy@t-online.de
jsntfxqvip.163@gmail.com
<SKMBT_ORDEN062020.uue>  MD5: 78934ad46bc93f55732ec5360ed78dcc
<SKMBT_ORDEN062020.exe>  MD5: a992fdc32ce378c124dd5b57dbc5d61c
<usable....pdf> MD5: cde87019949a6401df3573bfc1e1be6f

Al ejecutar el archivo <SKMBT_ORDEN062020.exe>, se abre una factura en formato PDF, y comienza una cadena de acciones que son imperceptibles para la víctima

Desde aquí se pueden identificar las siguientes acciones:

• El ejecutable o dropper <SKMBT_ORDEN062020.exe>, carga el payload <host.exe> en una carpeta del usuario del sistema:

C:\Users\$usuario\AppData\Roaming\Install\Host.exe
MD5: a992fdc32ce378c124dd5b57dbc5d61c

• Persistencia del malware, modificando el registro del sistema, para llamar a payload cada vez que inicia

key: HKEY_CURRENT_USER\Software\NetWire
name: HostId

key: HKEY_CURRENT_USER\Software\NetWire
name: Install Date

key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
name: NetWire

• Se almacenan logs de todo lo que captura el malware en una carpeta del usuario del sistema, en el directorio:

C:\Users\$usuario\AppData\Roaming\Logs\$fecha

• Posteriormente se evidencian conexiones a una IP que estaría catalogada como maliciosa y posee múltiples comunicaciones con archivos maliciosos:

IP: 43.226.229.43
Destaca que hay conexión entre esta IP y archivos maliciosos hasta esta semana de agosto inclusive

De este modo podemos identificar nuevas tácticas que se clasifican en la siguiente matriz de Mitre ATT&CK

Panorama Nacional

Hemos evidenciado que esta campaña se mantiene activa desde junio de 2020 hasta la fecha, por lo que volvemos a recomendar mantener especial atención a cualquier correo tipo phishing que llegue a los colaboradores de su organización.

Parece claro que los delincuentes van a seguir explotando el Phishing como vector de ataque, puesto que les supone una inversión muy baja en desarrollo y posee altas tasas de éxito. Por ese motivo resulta esencial permanecer alerta y desconfiar de correos no solicitados, aunque estos provengan de remitentes de confianza, así como no abrir ficheros adjuntos ni pulsar sobre enlaces incluidos en estos e-mails, y contar con una solución de seguridad que sea capaz de detectar y bloquear estas amenazas.

El Centro de Ciberinteligencia de Entel recomienda lo siguiente:

• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Ingresa a los sitios oficiales de la institución a la que estás afiliado, realiza todos tus trámites desde allí, es más seguro que utilizar algún enlace en el correo, WhatsApp o SMS.
• No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
• No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reduce las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.

https://app.any.run/tasks/79e3d35c-9be3-40f7-8748-e091cd5c0163