Investigadores de seguridad en Any.run Han descubierto una nueva campaña de malware que entrega el robador de Braodo, que se basa en repositorios públicos de GitHub para alojar y organizar sus cargas útiles.
Esta campaña emplea técnicas de evasión múltiple y capas de secuencias de comandos para complicar la detección y el análisis, lo que dificulta que las herramientas de seguridad tradicionales atrapen.
Lo que sabemos sobre Braodo Steler
Braodo está diseñado para robar datos. En el momento del análisis, era capaz de exfiltrar información confidencial mientras mantenía un perfil bajo.
La carga útil final está escrita en Python, ofuscada con Pyobfuscate, y contiene cadenas codificadas con base 64 personalizadas agregadas al script, probablemente utilizada para ocultar credenciales o datos de configuración.
No usa cifrado ni empacadores. En cambio, se esconde en el ruido de las herramientas de secuencias de comandos diarias y se basa en la entrega escenificada para evitar la detección.
Cada etapa se limpia después de sí misma, reduciendo el número de artefactos que quedan. Una vez ejecutado, el robador elimina silenciosamente el archivo inicial y se pone a trabajar.
Desglose paso a paso del ataque Braodo
Echemos un vistazo más de cerca a la cadena de ataque completa usando el Any.run sandbox Sesión mencionada a continuación.
El entorno interactivo permite observar de manera segura cada etapa del ataque, desde la ejecución inicial del script hasta la entrega final de la carga útil.
Para los equipos de seguridad, este tipo de visibilidad es crucial. Ayuda a los analistas a trazar el comportamiento malicioso en tiempo real, a comprender cómo las amenazas evolucionan en las etapas y recopilan evidencia clara, todo sin exponer a los sistemas de producción al riesgo.
Ver sesión de análisis con Braodo Steler
Braodo Stealer detectado dentro de cualquiera. Run Sandbox
Archivo BAT inicial
La campaña comienza con la ejecución de un archivo .bat. Si bien puede parecer inofensivo a primera vista, el script incluye un comando que lanza PowerShell usando cmd.exe.
Es importante destacar que PowerShell se ejecuta en modo oculto, lo que significa que no aparece ninguna ventana de consola, manteniendo el proceso invisible para el usuario. Este paso marca el comienzo de una cadena de infección silenciosa de varias etapas.
Los archivos BAT utilizados en esta campaña se ofuscan y contienen comentarios engañosos para Hinder Analysis Investigar malware en tiempo real, descubrir cada etapa de un ataque y tomar decisiones de seguridad más rápidas; Todo en un entorno seguro e intuitivo. -> Prueba cualquiera.
Descargar desde Github
Usando PowerShell, el malware se comunica con un repositorio público de GitHub para descargar la siguiente etapa.
El archivo descargado es otro script de murciélago, pero está disfrazado intencionalmente como un archivo .png, que probablemente debe evitar la detección y generar menos sospechas en tránsito o en reposo.
El archivo se guarda en el directorio % TEMP y se ejecuta inmediatamente, continuando la infección. Esta actividad está claramente capturada en cualquiera de los script del script.
archivo .bat descubierto por cualquiera del script trazer de run
Script Tracer asigna automáticamente estas acciones sin requerir desobfuscación manual o cavar a través de registros sin procesar.
Muestra cada llamada de función, descarga URL y marca de tiempo de ejecución, lo que ayuda a los analistas a reconstruir rápidamente el comportamiento del malware con un esfuerzo mínimo.
Limpieza y persistencia
Una vez que se ejecuta el archivo BAT de la segunda etapa, lanza otro script PowerShell. Este script realiza múltiples tareas:
Elimina artefactos de las etapas anteriores para dificultar el análisis. Obliga a TLS 1.2 a garantizar conexiones cifradas al host remoto. Descarga una carga útil adicional de RAW.GitHUBUSERCONTENT (.) COM, nuevamente abusando de la entrega de contenido RAW de GitHub. Abuso de GitHub visible con la ayuda de cualquiera. Creación de archivos en el directorio de inicio expuesto dentro de cualquiera.
Este paso asegura la persistencia y ayuda a mantener el control sobre el sistema infectado.
Carga útil final en zip
A continuación, el script descarga el componente de malware principal, el robador de Braodo, que se entrega como un archivo zip.
El archivo ZIP se extrae en el directorio C: \ Users \ public \, una ubicación comúnmente abusada en campañas de malware debido a su baja visibilidad.
Esta acción también se puede ver en cualquier script trazer del script:
archivo .zip extraído en el directorio público, detectado dentro de cualquiera.
El script Python extraído se ejecuta luego usando python.exe. En este punto, el robador de Braodo se activa en el sistema y comienza a llevar a cabo sus tareas previstas, a saber, la recopilación de datos y la exfiltración.
El script en sí se ofusca con PyobFuscate y contiene cadenas codificadas Base64 adjuntas, que pueden contener detalles de configuración o cargas útiles integradas.
Limpieza posterior a la ejecución
Después de la ejecución, el script elimina el archivo ZIP original, limpiando una de las pocas rastros que quedan. Este paso de limpieza dificulta el análisis forense y ayuda al malware a permanecer sin detectar por más tiempo.
Sin embargo, dentro de Any.
Los analistas pueden ver la cadena de ejecución completa en detalle, desde el script inicial hasta la limpieza final, lo que hace que sea mucho más fácil comprender el comportamiento del robador y recopilar indicadores de compromiso.
Lo que significa este ataque para analistas, equipos de SOC y empresas
La campaña de Braodo Staaler destaca una tendencia creciente: los atacantes se apoyan en plataformas legítimas como GitHub y herramientas de secuencia de comandos diarias para avanzar en silencio
sistemas. Para diferentes roles entre ciberseguridad y negocios, esto tiene implicaciones específicas:
Para los analistas: las amenazas de múltiples etapas como Braodo requieren una visibilidad total entre scripts, acciones de archivo y cambios en el sistema. Herramientas como cualquiera. Para los equipos de SOC: confiar únicamente en la detección estática o las herramientas de punto final tradicional no es suficiente. La visibilidad del comportamiento en tiempo real, especialmente durante el acceso inicial y la implementación de la carga útil, es esencial para atrapar malware sigiloso temprano. Para las empresas: un solo script malicioso integrado en un correo electrónico o archivo puede conducir al compromiso completo del sistema. Los dispositivos de los empleados, el acceso a la nube y el monitoreo lateral débil hacen que los robos sigilosos como Braodo sean una amenaza real para datos confidenciales y cumplimiento.
Ya sea que esté defendiendo una pequeña red o monitoreando cientos de puntos finales, el análisis del mundo real como este puede ayudarlo a mantenerse a la vanguardia de evolucionar las amenazas antes de que pasen por las grietas.
Detectar amenazas más rápido antes de causar daños
Campañas como Braodo muestran cómo se construye el malware moderno para combinarse. Sin embargo, con las herramientas adecuadas, incluso las infecciones más en capas y sigilosas pueden exponerse en minutos.
Any.Run’s Interactive Sandbox ayuda a los equipos de seguridad:
Detectar amenazas antes de que puedan convertirse en incumplimiento de las investigaciones aceleradas al dar a los analistas la visibilidad total de los comportamientos sospechosos.
Comience su prueba de 14 días de cualquiera. y experimente una visibilidad total en el comportamiento de malware en un entorno seguro y controlado.
