Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Cadena de malware VEIL#DROP emplea la plataforma Blogger para distribuir el stealer PureLogs


Investigadores detectaron VEIL#DROP, una cadena de ataque que usa ingeniería social y páginas de Blogger para instalar el malware PureLogs. El proceso comienza con archivos JavaScript disfrazados de PDF que ejecutan scripts de PowerShell para evadir defensas y cargar el código en memoria. Finalmente, utiliza binarios legítimos de Microsoft para robar datos sensibles mientras permanece indetectable para los antivirus.





Investigadores de ciberseguridad han alertado sobre una nueva cadena de ataque de entrega de malware en varias etapas que utiliza ingeniería social y páginas de Blogger para distribuir un robador de información llamado PureLogs.

La actividad ha sido denominada VEIL#DROP por Securonix. Se sospecha que las cargas útiles iniciales se distribuyen ya sea mediante spear-phishing o a través de un compromiso drive-by (compromiso drive-by), que ocurre cuando un usuario desprevenido llega a un sitio web (legítimo o no) bajo el control del atacante.

"La cadena de infección comienza con un archivo JavaScript con un nombre engañoso que se hace pasar por un documento (por ejemplo, transcript.pdf.js), el cual se ejecuta a través de Windows Script Host y lanza PowerShell con la omisión de la política de ejecución habilitada", afirmaron los investigadores Akshay Gaikwad, Shikha Sangwan y Aaron Beardslee en un informe.

A nivel general, el script de PowerShell se encarga de recuperar una carga útil de la siguiente etapa alojada en Blogger ("htlwub00klocate.blogspot[.]com"), lo que permite a los atacantes evadir las defensas basadas en la reputación al abusar de la infraestructura confiable de Google como etapa intermedia y mezclarse con la actividad web legítima.


La carga útil de PowerShell descargada actúa como un conducto para cargar una página web benigna como Google, creando la impresión de que se ha abierto un documento PDF, mientras la secuencia de infección procede silenciosamente en segundo plano, culminando en el despliegue de PureLogs Stealer, un robador de información basado en .NET conocido por recolectar una amplia gama de datos sensibles de los hosts comprometidos.

El cargador de PowerShell también intenta asegurar la ejecución sin restricciones de comandos posteriores de PowerShell, finalizar procesos seleccionados como "wscript.exe" para minimizar el rastro forense, eliminar "transcript.pdf.js" para borrar la evidencia de ejecución y descifrar una carga útil incrustada.

"Tras un descifrado XOR exitoso, el cargador pasa a uno de los componentes más evasivos del framework VEIL#DROP: la generación dinámica de etapas combinada con la mutación en tiempo de ejecución", explicó Securonix. "En lugar de utilizar indicadores estáticos como URLs codificadas o patrones de ejecución predecibles, el malware construye la ubicación de la carga útil de la siguiente etapa dinámicamente durante la ejecución".

Esto implica construir una URL de blogspot[.]com única para cada ejecución insertando un número aleatorio de barras diagonales ("/") en la cadena de la URL para así evadir las firmas de URL estáticas, el bloqueo basado en indicadores y los mecanismos de filtrado de URL.

Además, el script decodificado introduce mutación en tiempo de ejecución y polimorfismo al reemplazar valores provisionales dentro del script con cadenas y valores generados aleatoriamente durante la ejecución. Esta variabilidad está diseñada para derrotar las firmas de scripts y los hashes de archivos, evitando así una detección fiable.

El script reconstruido se ejecuta finalmente completamente en memoria sin dejar ningún rastro en el disco. Este componente funciona como un cargador responsable de decodificar y ejecutar el componente principal del malware, que no es más que un ensamblado .NET lanzado mediante una técnica conocida como carga de código reflectiva (reflective code loading).

En caso de que los controles de seguridad y otras restricciones ambientales impidan ejecutar los ensamblados .NET recuperados directamente desde la memoria, el cargador incorpora un método de ejecución de respaldo que depende de binarios firmados por Microsoft, como "regsvcs.exe", "installutil.exe", "msbuild.exe" y "aspnet_compiler.exe", para lograr los mismos objetivos sin atraer la atención.

Debido a que estos binarios son confiables, están firmados por Microsoft y ya están presentes en el sistema, el enfoque de "living-off-the-land" (LotL) permite a los atacantes hacer que su actividad parezca legítima y pase desapercibida.

"Uno de los aspectos más notables del cargador es que no depende de un único LOLBin (LOLBin)", señalaron los investigadores. "En su lugar, la ejecución sigue un modelo en cascada, intentando cada método hasta que uno tiene éxito".

El impacto de una infección por un stealer normalmente va más allá del endpoint comprometido inicialmente, ya que los datos recolectados pueden servir como trampolín para profundizar en el entorno objetivo, establecer persistencia, realizar movimientos laterales e incluso vulnerar su infraestructura en la nube.

"La combinación de sitios web comprometidos, enmascaramiento de extensiones múltiples, servicios en la nube confiables, cargas útiles ofuscadas con XOR, carga reflectiva de .NET, ejecución sin archivos y abuso de LOLBIN demuestra un esfuerzo deliberado para evadir las soluciones antivirus tradicionales, reducir los artefactos forenses y mantener el sigilo operativo durante todo el ciclo de vida de la infección", concluyó Securonix.

Fuente:
THN


0 comments :

Post a Comment

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.