En las últimas semanas, los investigadores de ciberseguridad han descubierto una nueva campaña en la que los piratas informáticos aprovechan anuncios de programas potencialmente no deseados (PUP) aparentemente benignos para ofrecer malware de Windows sigiloso.
El señuelo generalmente comienza con anuncios que promueven herramientas PDF gratuitas o asistentes de escritorio que redirigen a las víctimas a sitios de descarga falsificados.
Una vez que los usuarios hacen clic, una tarea programada recupera en silencio un cargador JavaScript de un directorio temporal y lo ejecuta a través de Microsoft HTML Aplicación Host (MSHTA).
Esta secuencia instala una aplicación señuelo, ManualFinder, diseñada para parecer legítima mientras establece un punto de apoyo en entornos objetivo.
La funcionalidad inocua del señuelo enmascara un objetivo mucho más insidioso. Cuando se ejecuta, ManualFinder no solicita interacción de usuario más allá de la instalación inicial, abriendo en silencio los puertos y la transmisión de comandos a una infraestructura remota.
Expel Analysts identificaron que el cargador de JavaScript llega a dominios como MKA3E8.com y 5B7CRP.com, previamente asociado con servicios de proxy residenciales, lo que indica un esquema más amplio para reclutar máquinas infectadas en redes proxy.
Si bien las infecciones iniciales se han vinculado a las instalaciones del navegador OneStart, los investigadores observaron que los instaladores AppSuite-PDF y PDFEditor siguen patrones idénticos, cada uno firmado por dudosos certificados de firma de código de entidades como “Glint Software Sdn. Bhd”.
Expertar investigadores identificado que el impacto de la campaña de malware se extiende más allá de la representación. En ciertos entornos, las instalaciones de PDFEditor solicitan a los usuarios que consientan para el uso de proxy residencial a cambio de capacidades de edición gratuitas, monetizando efectivamente los puntos finales desprevenidos.
Otras instancias muestran las aplicaciones señuelo que modifican los perfiles del navegador y la cosecha de cookies almacenadas, lo que sugiere objetivos secundarios de exciltración de datos.
En el momento en que los defensores detectan invocaciones mshta inusuales o procesos de nodo.exe que ejecutan JavaScript oculto, el adversario a menudo ya ha establecido persistencia y puestos de avanzada de red.
En total, los investigadores han catalogado a más de 70 variantes de JavaScript únicas, todos llegando a los mismos dominios maliciosos.
Los fragmentos de código integrados en las definiciones de tareas programadas revelan cómo se mantiene la persistencia:-
schtasks /create /tn “manualfindertak” /tr “mshta.exe \” c: \ users \\ appData \ local \ temp \ .js \ “” /sc diario /st 03:00 Creación de tareas programadas invocar mshta (fuente – expel)
El cargador luego se ejecuta:-
cmd (.) exe /d /s /c “msiexec /qn /i \” c: \ users \\ appData \ local \ temp \ manualfinder-v2.0.196.msi \ “” manualfinder (fuente-expulsar)
Mecanismo de infección
Profundizando más en el mecanismo de infección, la campaña explota los hosts de secuencias de comandos de Windows y las características del instalador MSI para lograr una implementación casi desintorgable.
La secuencia comienza cuando la tarea programada se ejecuta bajo el contexto del servicio SVCHOST a nivel de sistema, iniciando Node.exe con un nombre de archivo JavaScript aleatorio (por ejemplo, 9B9797F4-274C-FBB9-81AE-3B4F33B7010A.JS).
Este script descarga el MSI ManualFinder del servidor del atacante y lo instala con banderas silenciosas ( /qn /n) para suprimir cualquier interfaz de usuario.
Debido a que MSIEXEC se ejecuta en CMD (.) EXE con autores desactivados (/d) y manejo de cotizaciones personalizadas (/s), las alertas tradicionales de EDR vinculadas a las aplicaciones de usuario a menudo se omiten.
Editor PDF (fuente – expel)
Una vez instalado, el malware registra su propio servicio y tareas programadas para volver a ejecutar el cargador JavaScript a intervalos regulares, asegurando la reinfección incluso después de los intentos de eliminación.
Esto ilustra el código de invocación MSHTA que permite esta ejecución sigilosa.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
