Los funcionarios del gobierno tailandés se han convertido en el objetivo de una nueva campaña que aprovecha una técnica llamada Carga lateral de DLL para entregar una puerta trasera previamente indocumentada denominada Yokai.
“El objetivo de los actores de la amenaza eran funcionarios de Tailandia debido a la naturaleza de los señuelos”, dijo a The Hacker News Nikhil Hegde, ingeniero senior del equipo de Eficacia de Seguridad de Netskope. “La puerta trasera Yokai en sí no está limitada y puede usarse contra cualquier objetivo potencial”.
El punto de partida de la cadena de ataque es un archivo RAR que contiene dos archivos de acceso directo de Windows nombrados en tailandés que se traducen como “Departamento de Justicia de los Estados Unidos.pdf” y “El gobierno de los Estados Unidos solicita cooperación internacional en asuntos penales.docx”.
Actualmente se desconoce el vector inicial exacto utilizado para entregar la carga útil, aunque Hegde especuló que probablemente se trataría de phishing debido a los señuelos empleados y al hecho de que los archivos RAR se han utilizado como archivos adjuntos maliciosos en correos electrónicos de phishing.
Al iniciar los archivos de acceso directo, se abre un documento señuelo en PDF y Microsoft Word, respectivamente, y al mismo tiempo se coloca sigilosamente un ejecutable malicioso en segundo plano. Ambos archivos de señuelos se relacionan con Woravit Mektrakarnun ciudadano tailandés buscado en Estados Unidos en relación con la desaparición de un inmigrante mexicano. Mektrakarn fue acusado de asesinato en 2003 y se dice que huyó a Tailandia.
El ejecutable, por su parte, está diseñado para eliminar tres archivos más: un binario legítimo asociado con la aplicación iTop Data Recovery (“IdrInit.exe”), una DLL maliciosa (“ProductStatistics3.dll”) y un archivo de DATOS que contiene información. enviado por un servidor controlado por un atacante. En la siguiente etapa, se abusa de “IdrInit.exe” para cargar la DLLlo que en última instancia conduce al despliegue de la puerta trasera.
Yokai es responsable de configurar la persistencia en el host y conectarse al servidor de comando y control (C2) para recibir códigos de comando que le permitan generar cmd.exe y ejecutar comandos de shell en el host.
El desarrollo se produce cuando Zscaler ThreatLabz reveló que descubrió una campaña de malware que aprovecha ejecutables compilados por Node.js para Windows para distribuir mineros de criptomonedas y ladrones de información como XMRig, Lumma y Phemedrone Stealer. Las aplicaciones maliciosas recibieron el nombre en código NodeLoader.
Los ataques emplean enlaces maliciosos incrustados en descripciones de videos de YouTube, que llevan a los usuarios a MediaFire o sitios web falsos que los instan a descargar un archivo ZIP disfrazado de hacks de videojuegos. El objetivo final de los ataques es extraer y ejecutar NodeLoader, que, a su vez, descarga un script de PowerShell responsable de lanzar el malware de etapa final.
“NodeLoader utiliza un módulo llamado sudo-prompt, una herramienta disponible públicamente en GitHub y npm, para escalar privilegios”, Zscaler dicho. “Los actores de amenazas emplean ingeniería social y técnicas anti-evasión para entregar NodeLoader sin ser detectado”.
También sigue a un aumento en los ataques de phishing que distribuyen el Remcos RAT disponible comercialmente, en el que los actores de amenazas renuevan las cadenas de infección empleando secuencias de comandos Visual Basic Script (VBS) y documentos Office Open XML como plataforma de lanzamiento para desencadenar el proceso de varias etapas.
En un conjunto de ataques, la ejecución del archivo VBS conduce a un script de PowerShell altamente ofuscado que descarga cargas útiles provisionales, lo que finalmente resulta en la inyección de Remcos RAT en RegAsm.exe, un ejecutable legítimo de Microsoft .NET.
La otra variante implica el uso de un documento Office Open XML para cargar un archivo RTF que es susceptible a CVE-2017-11882, una conocida falla de ejecución remota de código en Microsoft Equation Editor, para recuperar un archivo VBS que posteriormente procede a buscar PowerShell para inyectar. Carga útil de Remcos en la memoria de RegAsm.exe.
Vale la pena señalar que ambos métodos evitan dejar archivos escritos en el disco y cargarlos en procesos válidos en un intento deliberado de evadir la detección por parte de los productos de seguridad.
“A medida que este troyano de acceso remoto continúa atacando a los consumidores a través de correos electrónicos de phishing y archivos adjuntos maliciosos, la necesidad de medidas proactivas de ciberseguridad nunca ha sido más crítica”, afirman los investigadores de McAfee Labs. dicho.
About the Author
