[21/10/2022] La distribución de malware dentro de archivos protegidos por contraseña ha sido durante mucho tiempo una de las principales técnicas utilizadas por los atacantes para eludir los filtros de seguridad del correo electrónico. Más recientemente, los investigadores han descubierto una variante que utiliza archivos autoextraíbles anidados que ya no requieren que las víctimas introduzcan la contraseña.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
"Esto es significativo porque uno de los obstáculos más difíciles a los que se enfrentan los actores de las amenazas cuando realizan este tipo de campañas de spam, es convencer al objetivo de que abra el archivo con la contraseña proporcionada", afirman los investigadores de Trustwave SpiderLabs en un nuevo informe.
Archivos autoextraíbles con scripts por lotes
En recientes campañas de spam observadas por Trustwave, los atacantes distribuyeron archivos ZIP o ISO disfrazados de facturas. Ambos tipos de archivos pueden abrirse de forma nativa en Windows sin necesidad de utilizar aplicaciones adicionales.
Estos archivos servían de contenedor para archivos ejecutables con iconos de PDF o Excel. Estos archivos son en realidad archivos RAR autoextraíbles (SFX) que, si se ejecutan, desempaquetan otros archivos en un directorio predefinido: un script .bat, un archivo PDF señuelo y otro archivo .exe que es un archivo RAR autoextraíble secundario protegido por contraseña.
Una característica de los archivos SFX es que admiten la ejecución de comandos de script. El archivo primario está configurado para ejecutar el script .bat y abrir el archivo PDF señuelo. El script .bat ejecutará a su vez el archivo SFX secundario, proporcionando además la contraseña del mismo sin que el usuario tenga que introducirla. "En muestras posteriores, algunos de los archivos RARsfx no tienen un archivo señuelo y, además, la ruta de destino de los componentes RARsfx se cambia a la carpeta %temp%", dijeron los investigadores.
El archivo SFX secundario contiene la carga útil maliciosa escrita en .NET y ofuscada con ConfuserEX, un protector gratuito y de código abierto para aplicaciones .NET.
Mineros de criptomonedas y RATs
Trustwave ha detectado hasta ahora dos cargas útiles distribuidas mediante esta técnica: un minero de criptomonedas llamado CoinMiner, y un troyano de acceso remoto (RAT) llamado QuasarRat.
Además de la minería de criptomonedas, CoinMiner puede robar datos de los navegadores y de los perfiles de Microsoft Outlook. También recopila información sobre el sistema infectado utilizando la interfaz Windows Management Instrumentation (WMI) y la envía al servidor de comando y control. Por último, deja caer un script VBS en la carpeta de inicio para asegurar su persistencia a través de los reinicios del sistema.
QuasarRat es un programa troyano de código abierto que existe desde el 2014, y ha sido utilizado por muchos grupos debido a su disponibilidad pública y versatilidad.
"El archivo autoextraíble ha existido durante mucho tiempo y facilita la distribución de archivos entre los usuarios finales", dijeron los investigadores de Trustwave. "Sin embargo, supone un riesgo para la seguridad, ya que el contenido del archivo no es fácilmente verificable, y puede ejecutar comandos y ejecutables de forma silenciosa. La técnica de ataque que detallamos solo requiere un clic, y no es necesario introducir una contraseña para comprometer un objetivo. Como resultado, los actores de la amenaza pueden llevar a cabo una multitud de ataques como cryptojacking, robo de datos, ransomware, etc."
Aunque esta técnica pretende ocultar las cargas útiles finales de las puertas de enlace de seguridad del correo electrónico ocultándolas en archivos protegidos por contraseña que estos productos no pueden descomprimir, la presencia de archivos ejecutables -que son los archivos SFX- empaquetados dentro de archivos .ZIP o .ISO debería activar alertas y hacer que los usuarios se lo piensen dos veces antes de hacer clic en ellos.
Basado en el artículo de Lucian Constantin (CSO) y editado por CIO Perú