miércoles, 19 de junio de 2024

Malware muestra errores falsos para que ejecutes scripts PowerShell maliciosos

Una nueva campaña de distribución de malware utiliza errores falsos de Google Chrome, Word y OneDrive para engañar a los usuarios para que ejecuten "correcciones" maliciosas de PowerShell que instalan malware. 

 


 

Se observó que la nueva campaña era utilizada por múltiples actores de amenazas, incluidos aquellos detrás de ClearFake, un nuevo grupo de ataques llamado ClickFix, y el actor de amenazas TA571, conocido por operar como distribuidor de spam que envía grandes volúmenes de correo electrónico, lo que genera infecciones de malware y ransomware. .

Los ataques ClearFake anteriores utilizan superposiciones de sitios web que solicitan a los visitantes que instalen una actualización falsa del navegador que instala malware. 





Los actores de amenazas también utilizan JavaScript en archivos adjuntos HTML y sitios web comprometidos en los nuevos ataques. Sin embargo, ahora las superposiciones muestran errores falsos de Google Chrome, Microsoft Word y OneDrive. 


Estos errores solicitan al visitante que haga clic en un botón para copiar una "corrección" de PowerShell en el portapapeles y luego pegarla y ejecutarla en un cuadro de diálogo Ejecutar. 


"Aunque la cadena de ataque requiere una interacción significativa del usuario para tener éxito, la ingeniería social es lo suficientemente inteligente como para presentarle a alguien lo que parece un problema real y una solución simultáneamente, lo que puede incitar al usuario a tomar medidas sin considerar el riesgo", advierte un nuevo informe de ProofPoint.

Las cargas útiles incluyen DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig, un secuestrador de portapapeles y Lumma Stealer.

La "reparación" de PowerShell conduce a malware

Los analistas de Proofpoint observaron tres cadenas de ataques que se diferencian principalmente en sus etapas iniciales, y solo la primera no se atribuyó con alta confianza a TA571.

En este primer caso, asociado con los actores de amenazas detrás de ClearFake, los usuarios visitan un sitio web comprometido que carga un script malicioso alojado en la cadena de bloques a través de los contratos Smart Chain de Binance, una técnica conocida como "EtherHiding"


Este script realiza algunas comprobaciones y muestra una advertencia falsa de Google Chrome que indica un problema al mostrar la página web. Luego, el cuadro de diálogo solicita al visitante que instale un "certificado raíz" copiando un script de PowerShell en el Portapapeles de Windows y ejecutándolo en una consola de Windows PowerShell (como Administrador).

Cuando se ejecuta el script de PowerShell, realizará varios pasos para confirmar que el dispositivo es un objetivo válido y luego descargará cargas útiles adicionales, como se describe a continuación.

  • Vacía la caché de DNS.
  • Elimina el contenido del portapapeles.
  • Muestra un mensaje señuelo.
  • Descarga otro script remoto de PowerShell, que realiza comprobaciones anti-VM antes de descargar un ladrón de información.

 




La segunda cadena de ataque está asociada con la campaña 'ClickFix' y utiliza una inyección en sitios web comprometidos que crea un iframe para superponer otro error falso de Google Chrome. Se indica a los usuarios que abran "Windows PowerShell (Admin)" y peguen el código proporcionado, lo que provoca las mismas infecciones mencionadas anteriormente.

Finalmente, una cadena de infección basada en correo electrónico que utiliza archivos adjuntos HTML que se asemejan a documentos de Microsoft Word solicita a los usuarios que instalen la extensión "Word Online" para ver el documento correctamente. 


El mensaje de error ofrece las opciones "Cómo solucionarlo" y "Reparación automática", y "Cómo solucionarlo" copia un comando de PowerShell codificado en Base64 al portapapeles e indica al usuario que lo pegue en PowerShell. 


"Auto-fix" utiliza el protocolo search-ms para mostrar un archivo "fix.msi" o "fix.vbs" alojado en WebDAV en un recurso compartido de archivos controlado por un atacante remoto.

En este caso, los comandos de PowerShell descargan y ejecutan un archivo MSI o un script VBS, lo que provoca infecciones por Matanbuchus o DarkGate, respectivamente.

En todos los casos, los actores de amenazas explotan la falta de conciencia de sus objetivos sobre los riesgos de ejecutar comandos de PowerShell en sus sistemas. 

 

 

También aprovechan la incapacidad de Windows para detectar y bloquear las acciones maliciosas iniciadas por el código pegado.

Las diferentes cadenas de ataque muestran que TA571 está experimentando activamente con múltiples métodos para mejorar la efectividad y encontrar más vías de infección para comprometer una mayor cantidad de sistemas.

Fuente: BC

 Fuentes:

https://blog.segu-info.com.ar/2024/06/malware-muestra-errores-falsos-para-que.html

No hay comentarios:

Publicar un comentario