El ataque se dirige a la parte más humana de cualquier organización: el agente de soporte que responde tickets, en lugar de explotar vulnerabilidades de software o debilidades de red. --- El grupo, también rastreado como GoldenEyeDog, ha estado activo desde al menos 2022 y tiene un fuerte historial de ataques a los sectores de juegos de azar y criptomonedas. Campañas anteriores dependían de software troyanizado y sitios de *watering hole*, pero esta operación marca un claro cambio en la estrategia. En lugar de esperar a que las víctimas tropiecen con una página maliciosa, los atacantes llegan directamente a la cola de soporte, posando como clientes confundidos que buscan ayuda con una transacción. 

 --- Analistas de ZeroShadow identificaron esta campaña después de que sus socios en 1inch reportaran actividad inusual en su cola de soporte: múltiples solicitudes de ayuda desde diferentes cuentas y direcciones IP rotativas, cada una siguiendo el mismo patrón: un enlace corto disfrazado de captura de pantalla. ZeroShadow rastreó las herramientas, mapeó la infraestructura y rastreó la actividad hasta APT-Q-27 con confianza moderada. --- Lo que los atacantes entregaron fue un paquete de malware sofisticado y de múltiples etapas. 

La víctima recibe un enlace en el chat que parece dirigir a una imagen alojada en Google. Al hacer clic, se descarga un archivo con un nombre que parece una foto. En Windows, las extensiones de archivo están ocultas por defecto, lo que hace que el archivo parezca una imagen ordinaria. 

 El archivo utiliza el formato .pif, un tipo de ejecutable oscuro que la mayoría de las personas nunca reconocería como una amenaza. Al abrirlo, muestra lo que parece una página web rota, mientras la instalación del malware se ejecuta silenciosamente en segundo plano.

El implante final se comunica con 37 servidores de comando y control codificados mediante el puerto TCP 15628 y se registra a sí mismo como un servicio de Windows llamado “Windows Eventn”, una falta de ortografía deliberada diseñada para mezclarse en la lista de servicios. El malware también desactiva silenciosamente el Control de Cuentas de Usuario en tres claves de registro separadas, eliminando una capa clave de protección de Windows sin que la víctima vea nunca un aviso. --- ## Dentro del Ataque: DLL Sideloading y Entrega por Etapas Una vez que se ejecuta el archivo señuelo, este se comunica con un bucket de AWS S3 para obtener un archivo de manifiesto, una lista actualizable de forma remota de URLs que apuntan al siguiente conjunto de componentes. Este diseño permite a los atacantes rotar su infraestructura sin modificar nunca el malware en sí.

El paquete descargado incluye un binario legítimo y firmado de la plataforma YY llamado updat.exe, junto con copias maliciosas de dos archivos estándar de tiempo de ejecución de Windows: vcruntime140.dll y msvcp140.dll. 

 Dado que Windows busca en el directorio de trabajo de la aplicación antes que en la carpeta del sistema al cargar dependencias, al lanzar updat.exe desde el directorio de preparación, este carga las DLLs maliciosas en lugar de las reales. El binario firmado se ejecuta limpiamente pero carga el código del atacante, una técnica conocida como DLL sideloading. --- La DLL maliciosa, crashreport.dll, lee un archivo cifrado llamado yyext.log, lo descifra en memoria y ejecuta el shellcode resultante sin escribir un archivo en el disco. 

Este paso evita herramientas de escaneo de memoria que buscan ejecutables inyectados. El shellcode luego descomprime un implante final de puerta trasera, alrededor de 340KB, completamente dentro de la memoria del proceso, sin dejar ningún artefacto de archivo. Para la persistencia, el cargador escribe una clave de inicio en el registro usando el nombre “SystemUpdats”, una falta de ortografía deliberada del legítimo “SystemUpdate”, asegurando que el malware se inicie cada vez que la máquina se reinicie. El directorio de preparación imita la ruta de la caché de Windows Update, y cada instalación incluye una etiqueta codificada @27 en el nombre del directorio, sirviendo como una firma de detección confiable. 

 --- Los administradores de sistemas deberían habilitar las extensiones de archivo visibles en todas las estaciones de trabajo, ya que esto por sí solo expondría el archivo señuelo por lo que realmente es. Los equipos de seguridad deberían bloquear todas las conexiones salientes en el puerto TCP 15628 y agregar las 37 direcciones IP conocidas de C2 a las listas de bloqueo de red. Monitorear el valor del registro “SystemUpdats” y los directorios de preparación que contienen el sufijo @27 revelará infecciones activas. Las reglas de detección también deberían alertar sobre la desactivación simultánea de las tres claves de registro de UAC, ya que ningún software legítimo realiza esta acción.

Fuentes:
https://cybersecuritynews.com/fake-screenshot-lures-used/