Se está utilizando una campaña de publicidad maliciosa en curso para distribuir cargadores .NET virtualizados que están diseñados para implementar el malware de robo de información FormBook.
«Los cargadores, denominados MalVirt, utilizan la virtualización ofuscada para evitar el análisis y la evasión junto con el controlador de Windows Process Explorer para finalizar los procesos», los investigadores de SentinelOne, Aleksandar Milenkoski y Tom Hegel. dicho en un informe técnico.
El cambio a la publicidad maliciosa de Google es el ejemplo más reciente de cómo los actores del software delictivo están diseñando rutas de entrega alternativas para distribuir malware desde que Microsoft anunció planes para bloquear la ejecución de macros en Office de forma predeterminada a partir de archivos descargados de Internet.
La publicidad maliciosa implica colocar anuncios falsos en los motores de búsqueda con la esperanza de engañar a los usuarios que buscan software popular como Blender para que descarguen el software troyano.
Los cargadores de MalVirt, que se implementan en .NET, utilizan el legítimo KoiVM protector de virtualización para aplicaciones .NET en un intento de ocultar su comportamiento y tienen la tarea de distribuir la familia de malware FormBook.
Además de incorporar técnicas antianálisis y antidetección para evadir la ejecución dentro de una máquina virtual o un entorno aislado de aplicaciones, se descubrió que los cargadores emplean una versión modificada de KoiVM que incluye capas de ofuscación adicionales para hacer que el desciframiento sea aún más desafiante.
Los cargadores también implementan y cargan un Microsoft firmado Explorador de procesos conductor con el objetivo de realizar acciones con permisos elevados. Los privilegios, por ejemplo, pueden armarse para finalizar procesos asociados con el software de seguridad para evitar que se marquen.
Tanto FormBook como su sucesor, XLoader, implementan una amplia gama de funcionalidades, como el registro de teclas, el robo de capturas de pantalla, la recolección de credenciales web y de otro tipo, y la puesta en escena de malware adicional.
Las cepas de malware también se destacan por camuflar su tráfico de comando y control (C2) entre las solicitudes HTTP de cortina de humo con contenido codificado para múltiples dominios de señuelo, como lo revelaron previamente Zscaler y Check Point el año pasado.
«Como respuesta al bloqueo de Microsoft de las macros de Office de forma predeterminada en los documentos de Internet, los actores de amenazas han recurrido a métodos alternativos de distribución de malware, más recientemente, la publicidad maliciosa», dijeron los investigadores.
«Los cargadores MalVirt […] demostrar cuánto esfuerzo están invirtiendo los actores de amenazas para evadir la detección y frustrar el análisis».
Es pertinente que el método ya esté presenciando un espiga debido a su uso por parte de otros actores criminales para impulsar a los ladrones de IcedID, Raccoon, Rhadamanthys y Vidar en los últimos meses.
«Es probable que un actor de amenazas haya comenzado a vender publicidad maliciosa como un servicio en la web oscura, y hay una gran demanda», Abuse.ch dicho en un informeseñalando una posible razón de la «escalada».
Los hallazgos llegan dos meses después de que K7 Security Labs, con sede en India detallado una campaña de phishing que aprovecha un cargador .NET para eliminar Remcos RAT y Agent Tesla por medio de un binario virtualizado KoiVM virtualizado.
Sin embargo, no todo son anuncios maliciosos, ya que los adversarios también están experimentando con otros tipos de archivos como complementos de Excel (XLL) y archivos adjuntos de correo electrónico de OneNote para escabullirse de los perímetros de seguridad. Recientemente se une a esta lista el uso de complementos de Visual Studio Tools para Office (VSTO) como vehículo de ataque.
«Los complementos de VSTO se pueden empaquetar junto con los documentos de Office (VSTO local) o, alternativamente, se pueden obtener desde una ubicación remota cuando se abre un documento de Office con VSTO (VSTO remoto)», Deep Instinct revelado la semana pasada. «Esto, sin embargo, puede requerir eludir los mecanismos de seguridad relacionados con la confianza».