En una campaña sofisticada descubierta durante una reciente cacería de amenazas continuas avanzadas (ACTH) por el equipo de SpiderLabs de Trustwave, los actores de amenaza armaron una herramienta legítima de gestión remota, ScreenConnect, para desplegar el Troyano de acceso remoto Xworm (RAT) a través de una cadena de infección de múltiples etapas engañosa.
Al abusar del contenido falso con temas y manipular las firmas digitales, los atacantes pasaron por alto las alertas de detección y respuesta de punto final (EDR) y se basaron en la caza de amenazas dirigidas por humanos para revelar las cargas útiles ocultas.
La operación comenzó con señuelos de ingeniería social disfrazados de archivos de video AI. Las víctimas fueron atraídas a visitar un sitio web falso de IA, “GPTGROK (.) AI”, que redirigió a “Anhemvn6 (.) Com”.
Allí, los usuarios descargaron un archivo llamado “Creation_Made_By_Grokai.mp4 Grok.com” que de hecho fue el instalador “screenconnect.clientsetup.msi”. Las variaciones que incluyen “Creation_Made_By_Googleai.mp4 Google.com” y “Creation_made_by_sorai.mp4 Openai.com” sugieren una amplia campaña que aprovecha las palabras de moda AI para la credibilidad.
Abuso de certificados de firma de código
Curiosamente, las muestras recopiladas mostraron que los actores de amenaza manipularon los certificados de firma de código Authenticode Microsoft para incrustar configuraciones maliciosas dentro de la firma digital del binario legítimo de screenconnect.
Una firma válida para un instalador de captura de pantalla modificada.
Una vez ejecutado, el instalador dejó caer y lanzó el cliente ScreenConnect en el directorio TEMP del usuario. Preconfigurado para ejecutar oculto, se conectó silenciosamente a un servidor Screenconnect controlado por el atacante a través de un relé, utilizando parámetros integrados dentro de la firma Authenticode para evadir la manipulación y mantener una firma digital válida.
Los indicadores visuales, como los iconos y las notificaciones, se deshabilitaron, asegurando que la sesión permaneciera invisible para el usuario final.
Durante la sesión de acceso remoto, los atacantes implementaron un script por lotes, “X-Meta Firebase_crypted.bat”, que activó mshta.exe para iniciar otro archivo de lotes ocultos. Este script descargó y desempaquetó “5btc.zip” de “Anhemvn4 (.) Com”, que revela un intérprete de Python renombrado a PW.EXE y una carga útil “BASSE64.TXT” codificada.
En lugar de guardar el código malicioso en el disco, los actores de amenaza usaron msedge.exe y chrome.exe Process Hollowing, inyectando comandos de Python codificados en Base64, obtenidos directamente de un repositorio público de Github. Esta técnica de ejecución sin archivo obstaculizó la detección estática y permitió que los componentes de la rata Xworm se entregaran sigilosamente.
Basse64.txt siendo reconocido como un robador conocido en Virustotal.
La persistencia se estableció creando una tecla Ejecutar en HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Ejecutar llamado “Seguridad de Windows”, apuntando a un script “Backup.bat” en “C: \ xmetavip”.
En cada inicio de sesión, este script se relanzó PW.exe con nuevos comandos Base64, obteniendo cargas útiles adicionales como “buquabua.txt” para mantener el acceso a largo plazo.
La campaña también incluyó acceso a credenciales y etapas de descubrimiento. Las consultas de WMI reunieron el sistema operativo y los detalles antivirus, mientras que la rata intentó cosechar datos de inicio de sesión almacenados en el navegador de los perfiles de Chrome, Edge y Firefox.
Analistas de SpiderLabs anotado que el repositorio de GitHub que aloja los scripts de Python ofuscados contenía once archivos, dividido entre implantadores de persistencia y cargadores de ratas complejos creados solo una semana antes del ataque.
Un script final de carga útil, “Exppiyt.txt”, incrustó un servidor de comando y control IP (5 (.) 181 (.) 165 (.) 102: 7705) que no fue marcado como malicioso en Virustotal en el momento del análisis.
Este incidente destaca una tendencia creciente: los atacantes están cooptando herramientas de confianza y marca de IA para evitar las defensas automatizadas. Las EDR modernas y las soluciones basadas en la firma lucharon para detectar esta amenaza, subrayando el papel vital de la caza de amenazas proactiva y liderada por humanos.
La investigación del equipo de SpiderLabs demostró que solo a través de un meticuloso análisis de la línea de tiempo manual y la caza conductual se pueden revelar estos ataques sigilosos.
A medida que los adversarios refinan su artesanía, aprovechando la manipulación de firmación de código, la ejecución sin archivo y las plataformas de gestión legítimas, las organizaciones deben invertir en cazadores de amenazas calificadas que puedan pensar como atacantes.
Los hallazgos de SpiderLabs refuerzan la ventaja estratégica de combinar la detección automatizada con análisis de expertos para descubrir amenazas ocultas antes de que puedan infligir daños.
Apéndice – Indicadores de compromiso:
¡Encuentra esta historia interesante! Séguenos LinkedIn y incógnita Para obtener más actualizaciones instantáneas.
