Ha surgido una nueva y sofisticada campaña de phishing, aprovechando los formatos obsoletos de archivos de Windows y las técnicas de evasión avanzadas para distribuir el notorio troyano de acceso remoto REMCOS.
La cadena de ataque emplea a DBATLoader como su mecanismo de entrega principal, utilizando una combinación de métodos de omisión de control de la cuenta del usuario, scripts ofuscados y viviendo fuera del abuso de binarios de tierras para establecer un acceso persistente a sistemas comprometidos.
La campaña comienza con correos electrónicos de phishing cuidadosamente elaborados que contienen archivos maliciosos que albergan un ejecutable llamado “Faktura”, diseñado para implementar DBATLOGER en los sistemas objetivo.
Este ataque de varias etapas representa una evolución preocupante en las técnicas de distribución de malware, ya que los actores de amenaza explotan cada vez más las funcionalidades legítimas de Windows y los formatos de archivo obsoletos para evadir las soluciones de seguridad modernas.
Any. Run Analysts identificaron esta campaña a través del análisis integral de sandbox, revelando los intrincados métodos empleados por el malware para mantener el sigilo y la persistencia.
Los investigadores señalaron que el ataque aprovecha los archivos de información del programa (.pif), diseñados originalmente para configurar programas basados en DOS en los sistemas de Windows temprano, como un mecanismo disfrazado para ejecutables maliciosos.
Los espacios finales permiten a los atacantes abusar del manejo de nombres de la carpeta de Windows (fuente – cualquiera.
Las implicaciones de esta campaña se extienden más allá de las infecciones individuales, como las técnicas demostradas podrían ser adaptadas y armado por otros actores de amenazas.
La combinación sofisticada de bypass de UAC, inyección de procesos y abuso de tareas programado crea un marco de infección robusto que desafía las metodologías de detección tradicionales y requiere un análisis de comportamiento avanzado para la identificación.
Mecanismo de infección y técnicas de bypass de UAC
La innovación central de esta campaña radica en su explotación de archivos .pif y vulnerabilidades de manejo de nombres de la carpeta de Windows.
El archivo alfa.pif malicioso, que funciona como un ejecutable portátil, evita el control de la cuenta del usuario mediante la creación de directorios engañosos como “C: \ Windows” con espacios finales.
Any.run Flags Ping.exe Actividad y la identifica como una simulación de retraso (fuente – Any.run)
Esta técnica explota los mecanismos de análisis de la carpeta de Windows, lo que permite que el malware obtenga privilegios elevados sin activar las indicaciones estándar de UAC.
El ataque emplea una sofisticada evasión basada en el tiempo a través del abuso de Ping.exe, ejecutando el comando para hacer ping la dirección de bucle de bucle local (127.0.0.1) diez veces.
Si bien las aplicaciones legítimas usan esto para las pruebas de conectividad de red, DBATLoader reutiliza esta funcionalidad para introducir retrasos artificiales, ayudando a evadir los sistemas de detección sensibles al tiempo.
Para la persistencia, el malware establece una tarea programada que desencadena un archivo cmwdnsyn.url, que posteriormente lanza el gotero .pif.
La campaña emplea además la ofuscación de Batcloak para archivos .cmd y utiliza extrac32.exe para manipular las listas de exclusión de defensores de Windows.
Una vez implementado, REMCOS se inyecta en procesos de sistemas de confianza, incluidos Sndvol.exe y ColorCpl.exe, variando sus procesos de destino en las instancias para combinarse sin problemas con las operaciones legítimas del sistema.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
