Ciberseguridad 360 | Hackers distribuyen malware a través de sitios falsos de Google

Investigadores de ciberseguridad han descubierto una nueva campa�a de malware que aprovecha p�ginas falsas de Google Sites y el contrabando de HTML para distribuir un malware comercial llamado AZORult con el fin de facilitar el robo de informaci�n.

"Utiliza una t�cnica poco ortodoxa de contrabando de HTML en la que la carga maliciosa se incrusta en un archivo JSON independiente alojado en un sitio web externo", explica Jan Michael Alcantara, investigador de Netskope Threat Labs, en un informe publicado la semana pasada.

La campa�a de phishing no ha sido atribuida a un actor o grupo de amenaza espec�fico. La empresa de ciberseguridad la describi� como de naturaleza generalizada, llevada a cabo con la intenci�n de recopilar datos sensibles para venderlos en foros clandestinos.

AZORult, tambi�n llamado PuffStealer y Ruzalto, es un ladr�n de informaci�n detectado por primera vez alrededor de 2016. Suele distribuirse a trav�s de campa�as de phishing y malspam, instaladores troyanizados de software o medios piratas y malvertising.

Una vez instalado, es capaz de recopilar credenciales, cookies e historial de navegadores web, capturas de pantalla, documentos que coincidan con una lista de extensiones espec�ficas (.TXT, .DOC, .XLS, .DOCX, .XLSX, .AXX y .KDBX) y datos de 137 carteras de criptomonedas. Los archivos AXX son archivos cifrados creados por AxCrypt, mientras que KDBX se refiere a una base de datos de contrase�as creada por el gestor de contrase�as KeePass.

La �ltima actividad de ataque implica que el actor de la amenaza crea p�ginas falsificadas de Google Docs en Google Sites que posteriormente utilizan el contrabando de HTML para entregar la carga �til.

El contrabando de HTML es el nombre que se da a una t�cnica sigilosa en la que se abusa de funciones leg�timas de HTML5 y JavaScript para montar y lanzar el malware mediante el "contrabando" de un script malicioso codificado.

De este modo, cuando se enga�a a un visitante para que abra la p�gina maliciosa desde un correo electr�nico de phishing, el navegador descodifica el script y extrae la carga �til en el dispositivo anfitri�n, eludiendo as� los controles de seguridad t�picos, como las pasarelas de correo electr�nico que s�lo inspeccionan los archivos adjuntos sospechosos.

La campa�a de AZORult lleva este enfoque un paso m�s all� al a�adir una barrera CAPTCHA, un enfoque que no s�lo da un barniz de legitimidad, sino que tambi�n sirve como una capa adicional de protecci�n contra los esc�neres de URL.

El archivo descargado es un archivo de acceso directo (.LNK) que se hace pasar por un extracto bancario en PDF, cuyo lanzamiento pone en marcha una serie de acciones para ejecutar una serie de scripts intermedios por lotes y PowerShell desde un dominio ya comprometido.

Uno de los scripts PowerShell ("agent3.ps1") est� dise�ado para obtener el cargador AZORult ("service.exe"), que, a su vez, descarga y ejecuta otro script PowerShell ("sd2.ps1") que contiene el malware ladr�n.

"Ejecuta el infostealer AZORult sin archivos de forma sigilosa utilizando carga de c�digo reflexiva, eludiendo la detecci�n basada en disco y minimizando los artefactos", explica Michael Alcantara. "Utiliza una t�cnica de bypass AMSI para evadir ser detectado por una variedad de productos antimalware basados en host, incluyendo Windows Defender".

"A diferencia de los archivos de contrabando comunes donde el blob ya est� dentro del c�digo HTML, esta campa�a copia una carga �til codificada desde un sitio comprometido separado. El uso de dominios leg�timos como Google Sites puede ayudar a enga�ar a la v�ctima haci�ndole creer que el enlace es leg�timo."

Los hallazgos llegan cuando Cofense revel� el uso de archivos SVG maliciosos por parte de actores de amenazas en campa�as recientes para diseminar Agent Tesla y XWorm utilizando un programa de c�digo abierto llamado AutoSmuggle que simplifica el proceso de elaboraci�n de archivos HTML o SVG de contrabando.

AutoSmuggle "toma un archivo como un exe o un archivo comprimido y lo 'pasa de contrabando' en el archivo SVG o HTML de modo que cuando se abre el archivo SVG o HTML, se entrega el archivo 'pasado de contrabando'", explic� la empresa.

Tambi�n se han observado campa�as de phishing que emplean archivos de acceso directo empaquetados dentro de archivos comprimidos para propagar LokiBot, un ladr�n de informaci�n an�logo a AZORult con funciones para recopilar datos de navegadores web y carteras de criptomonedas.

"El archivo LNK ejecuta un script PowerShell para descargar y ejecutar el ejecutable cargador de LokiBot desde una URL. En campa�as anteriores se ha observado que el malware LokiBot utiliza t�cnicas de esteganograf�a de im�genes, empaquetado en varias capas y living-off-the-land (LotL)", revel� SonicWall la semana pasada.

En otro caso destacado por Docguard, se han encontrado archivos de acceso directo maliciosos que inician una serie de descargas de carga �til y, en �ltima instancia, despliegan malware basado en AutoIt.

Y eso no es todo. Los usuarios de la regi�n de Am�rica Latina son el objetivo de una campa�a en curso en la que los atacantes se hacen pasar por organismos gubernamentales colombianos para enviar correos electr�nicos trampa con documentos PDF que acusan a los destinatarios de incumplir las normas de tr�fico.

Dentro del archivo PDF hay un enlace que, al hacer clic, provoca la descarga de un archivo ZIP que contiene un VBScript. Cuando se ejecuta, el VBScript deja caer un script PowerShell responsable de buscar uno de los troyanos de acceso remoto como AsyncRAT, njRAT y Remcos.

Fuente: thehackernews.com