Un sofisticado malware Visual Basic Script (VBS) denominado “Vigilador Silent” se ha convertido en una amenaza persistente que dirige a los sistemas de Windows, que demuestra capacidades avanzadas de exfiltración de datos a través de webhooks de discordia.
Este robador, parte de la familia de malware CMIMAI, representa una evolución preocupante en las tácticas de robo de información que aprovechan las plataformas de comunicación legítimas para evitar las medidas de seguridad tradicionales.
El malware opera a través de un proceso de ataque de varias etapas cuidadosamente orquestado, comenzando con la ejecución de un script VBS que establece inmediatamente la persistencia en los sistemas infectados.
Tras la inicialización, Silent Watcher recopila sistemáticamente la información integral del sistema a través de consultas de Windows Management Instrumentation (WMI), recopilando detalles sobre el sistema operativo, las credenciales de los usuarios y las especificaciones de la computadora.
Recopilación de información del sistema (Fuente – K7 Security Labs)
Investigadores de K7 Security Labs identificado Esta cepa particular a través de su firma operativa distintiva y patrones de comunicación webshook únicos.
Lo que hace que Silent Watcher sea particularmente peligroso es su capacidad para permanecer sin ser detectado mientras monitorea continuamente los sistemas de víctimas.
El malware crea múltiples scripts de PowerShell dinámicamente, incluyendo “VBS_PS_BROWSER.PS1” para la extracción de metadatos del navegador y “VBS_PS_DIAG.PS1” para la funcionalidad de captura de captura de pantalla.
Flujo de trabajo operativo (fuente – K7 Security Labs)
Estos scripts están diseñados para eludir las políticas de ejecución de PowerShell y operar con un impacto mínimo del sistema.
El mecanismo de exfiltración del Stealer demuestra una implementación técnica sofisticada, utilizando ambos objetos Winhttp.winhttprequest.5.1 y MSXML2.ServerXMLHTTP como mecanismos de retroceso.
Esta redundancia garantiza una transmisión de datos confiable incluso en entornos de red restringidos.
Los formatos de malware robaron datos como cargas útiles JSON antes de transmitir a Discord Webhooks, haciendo que el tráfico parezca una comunicación legítima.
Mecanismos avanzados de persistencia y evasión
Silent Watcher emplea una estrategia de persistencia particularmente astuta a través de ciclos de ejecución cronometrados.
Después de completar su fase inicial de recopilación de datos, el malware ingresa un bucle interminable con intervalos de una hora calculados con precisión, como se demuestra en el código:–
Dim ONEHOURMS: ONEHOURMS = 3600000 DO LOGACTION “Dormir durante 1 hora …” WScript.Seing One Hourms LogAction “Intervalo por hora: Intento de Informe de diagnóstico …” Llame a intento de diagnóstico
Este mecanismo de tiempo permite que el malware capture continuamente capturas de pantalla y estados del sistema sin desencadenar sospechas inmediatas.
El robador crea archivos temporales con nombres aleatorios en la carpeta temporal del sistema, limpiando sistemáticamente después de cada operación para minimizar las trazas forenses.
VBS_REPORTER_LOG.TXT (Fuente – K7 Security Labs)
Todas las actividades se registran meticulosamente en “VBS_REPORTER_LOG.TXT”, proporcionando a los atacantes comentarios operativos detallados mientras mantienen la seguridad operativa a través de procedimientos automáticos de limpieza de archivos.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
