Microsoft está llamando la atención sobre una campaña de malvertimiento continuo que hace uso de Node.js para ofrecer cargas útiles maliciosas capaces de robo de información y exfiltración de datos.
La actividad, Primero detectado En octubre de 2024, utiliza señuelos relacionados con el comercio de criptomonedas para engañar a los usuarios para que instalen un instalador deshonesto de sitios web fraudulentos que se disfrazan de software legítimo como Binance o TradingView.
El instalador descargado viene integrado con una biblioteca de enlace dinámico (“Customations.dll”) que es responsable de cosechar información básica del sistema utilizando Windows Management Instrumentation (WMI) y configurar la persistencia en el host a través de una tarea programada.
En un intento por mantener la artimaña, el DLL lanza una ventana del navegador a través de “msedge_proxy.exe“Eso muestra el sitio web legítimo de comercio de criptomonedas. Vale la pena señalar que” msedge_proxy.exe “puede usarse para mostrar cualquier sitio web como una aplicación web.
Mientras tanto, la tarea programada está configurada para ejecutar los comandos de PowerShell para descargar desde un servidor remoto scripts adicionales, que se encargan de excluir el proceso de PowerShell en ejecución, así como el directorio actual de ser escaneado por Microsoft Defender para el punto final como una forma de evitar la detección.
Una vez que se establecen las exclusiones, se ejecuta un comando de PowerShell ofuscado para obtener scripts de URL remotas que son capaces de recopilar información extensa relacionada con el sistema de operaciones, BIOS, hardware y aplicaciones instaladas.
Todos los datos capturados se convierten en formato JSON y se envían al servidor de comando y control (C2) utilizando una solicitud de publicación HTTPS.
La cadena de ataque luego procede a la siguiente fase donde se inicia otro script de PowerShell para descargar un archivo de archivo del C2 que contiene el binario Node.js Runtime y un archivo JavaScript compilado (JSC). El ejecutable Node.js inicia la ejecución del archivo JSC, que va a establecer conexiones de red y probablemente información del navegador sensible al sifón.
En una secuencia de infección alternativa observada por Microsoft, la estrategia ClickFix se ha empleado para habilitar la ejecución en línea de JavaScript, utilizando un comando malicioso de PowerShell para descargar el binario Node.js y usarla para ejecutar el código JavaScript directamente, en lugar de desde un archivo.
El JavaScript en línea lleva a cabo actividades de descubrimiento de red para identificar activos de alto valor, disfraza el tráfico C2 como una actividad legítima de CloudFlare para volar bajo el radar y gana persistencia al modificar las teclas de ejecución del registro de Windows.
“Node.js es un entorno de tiempo de ejecución de JavaScript de código abierto y de código abierto que permite que el código JavaScript se ejecute fuera de un navegador web”, dijo el gigante tecnológico. “Los desarrolladores lo usan y confían ampliamente porque les permite construir aplicaciones frontendas y de back -end”.
“Sin embargo, los actores de amenaza también están aprovechando estas características de nodo.js para tratar de combinar malware con aplicaciones legítimas, omitir los controles de seguridad convencionales y persistir en entornos de destino”.
La divulgación se produce cuando CloudSek reveló que un sitio de convertidor PDF a Docx falso que se esfuerza por Candy (CandyXPDF[.]com o CandyConverterpdf[.]com) se ha encontrado aprovechando el truco de ingeniería social de ClickFix para convencer a las víctimas en la ejecución de comandos de PowerShell codificados que finalmente implementan malware Sectoprat (también conocido como ARECHCLIENT2).
“Los actores de amenaza replicaron meticulosamente la interfaz de usuario de la plataforma genuina y registraron nombres de dominio de aspecto similar para engañar a los usuarios”, el investigador de seguridad Varun Ajmera dicho En un informe publicado esta semana.
“El vector de ataque implica engañar a las víctimas para que ejecute un comando PowerShell que instale malware ARECHCLIENT2, una variante de la familia Dangean Sectoprat Information Stealer conocida por cosechar datos confidenciales de sistemas comprometidos”.
Las campañas de phishing también han sido observado Utilizando un kit basado en PHP para atacar a los empleados de las empresas con estafas con temas de recursos humanos (recursos humanos) para obtener acceso no autorizado a los portales de nómina y cambiar la información de la cuenta bancaria de las víctimas para redirigir los fondos a una cuenta bajo el control del actor de amenaza.
Algunos de estos actividades han sido atribuidos a un grupo de piratería llamado Piratas de nóminacon los atacantes utilizando campañas de publicidad de búsqueda maliciosa con sitios web de phishing patrocinados y páginas de recursos humanos falsificadas a través de Google para atraer a las víctimas desprevenidas a proporcionar sus credenciales y códigos de autenticación de dos factores (2FA).
About the Author
