Los investigadores de seguridad cibernética han descubierto una sofisticada campaña de malware que explota archivos SVG (gráficos vectoriales escalables) y archivos adjuntos de correo electrónico para distribuir troyanos de acceso remoto peligrosos, específicamente XWORM y REMCOS RAT.
Esta amenaza emergente representa una evolución significativa en las metodologías de ataque, ya que los actores de amenaza recurren cada vez más a los formatos de archivo no tradicionales para evitar las defensas de seguridad convencionales.
La campaña emplea múltiples vectores de entrega, incluidos archivos adjuntos de correo electrónico directos que contienen archivos y URL maliciosos de EML alojados en plataformas de confianza como ImageKit.
Estos archivos zip contienen scripts de murciélagos altamente ofuscados que sirven como la etapa de infección inicial, utilizando técnicas avanzadas para evadir los mecanismos de detección estática.
El enfoque de ejecución sin archivo del malware le permite operar completamente en la memoria, lo que hace que la detección sea considerablemente más desafiante para las soluciones tradicionales de protección de punto final.
Investigadores Seqrite identificado Dos variantes de campaña distintas durante su análisis, revelando un panorama de amenazas en evolución donde los atacantes refinan continuamente sus técnicas.
La primera campaña ofrece scripts de murciélagos directamente a través de los archivos adjuntos de correo electrónico, mientras que el segundo presenta archivos SVG integrados con JavaScript como un mecanismo de entrega novedoso.
Cadena de infección (fuente – SeqRite)
Estos archivos SVG aparecen como archivos de imagen legítimos pero contienen scripts integrados que activan automáticamente las descargas de carga útil maliciosa cuando se representan en entornos vulnerables o se integran dentro de las páginas de phishing.
La cadena de ataque demuestra una notable sofisticación en su metodología de ejecución. Una vez que se extrae el archivo zip inicial, las víctimas se encuentran con un guión de murciélago muy ofuscado diseñado para parecer benigno mientras se ejecuta operaciones maliciosas complejas.
Este script aprovecha a PowerShell para realizar la inyección de carga útil en memoria, sin pasar por alto los sistemas de detección basados en archivos tradicionales.
Mecanismos avanzados de evasión y persistencia
El malware emplea técnicas de evasión sofisticadas que se dirigen a mecanismos de seguridad de Windows de núcleo. El componente PowerShell deshabilita programáticamente tanto AMSI (interfaz de escaneo de antimalware) como ETW (rastreo de eventos para Windows) a través de la reflexión dinámica de .NET y la creación delegada.
Archivos de murciélagos ofuscados y desobfusados (fuente – SeqRite)
El ataque resuelve las funciones nativas, incluidas GetProcaddress, GetModuleHandle, VirtualProtect y AMSiinitialize para localizar y parchear la función Amsiscanbuffer en la memoria.
El mecanismo de persistencia implica crear archivos BAT dentro de la carpeta de inicio de Windows, asegurando la ejecución automática al reiniciar el sistema o el inicio de sesión del usuario.
El script de PowerShell busca las cargas útiles codificadas en Base64 ocultas en los comentarios de los archivos por lotes, específicamente que se dirigen a líneas prefijadas con marcadores de triple colon.
Estas cargas útiles experimentan múltiples capas de descifrado, incluido el descifrado de AES utilizando claves codificadas y descompresión de GZIP antes de la ejecución final.
El componente del cargador funciona como un intermediario crítico, extrayendo y ejecutando conjuntos de .NET integrados directamente en la memoria utilizando operaciones de carga.
Este enfoque elimina la necesidad de la creación de archivos basada en el disco, reduciendo significativamente la probabilidad de detección al tiempo que mantiene la capacidad operativa completa para implementar cargas útiles de ratas Xworm y REMCOS.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
