Skip to main content

La entrega de malware a través de servicios en la nube aprovecha el truco Unicode para engañar a los usuarios

mayo 22, 2024


21 de mayo de 2024Sala de redacciónSeguridad en la nube/seguridad de datos

Una nueva campaña de ataque denominada NUBE#REVERSOR Se ha observado que aprovechan servicios legítimos de almacenamiento en la nube como Google Drive y Dropbox para organizar cargas maliciosas.

«Los scripts VBScript y PowerShell en CLOUD#REVERSER implican inherentemente actividades similares a comando y control mediante el uso de Google Drive y Dropbox como plataformas provisionales para gestionar las cargas y descargas de archivos», afirman los investigadores de Securonix Den Iuzvyk, Tim Peck y Oleg Kolesnikov. dicho en un informe compartido con The Hacker News.

«Los scripts están diseñados para recuperar archivos que coincidan con patrones específicos, lo que sugiere que están esperando comandos o scripts colocados en Google Drive o Dropbox».

El punto de partida de la cadena de ataque es un correo electrónico de phishing que contiene un archivo ZIP, que contiene un ejecutable que se hace pasar por un archivo de Microsoft Excel.

En un giro interesante, el nombre del archivo utiliza la anulación oculta de derecha a izquierda (RLO) Carácter Unicode (U+202E) para invertir el orden de los caracteres que vienen después de ese carácter en la cadena.

Como resultado, el nombre del archivo «RFQ-101432620247fl*U+202E*xslx.exe» se muestra a la víctima como «RFQ-101432620247flexe.xlsx«, engañándolos haciéndoles creer que están abriendo un documento de Excel.

El ejecutable está diseñado para eliminar un total de ocho cargas útiles, incluido un archivo Excel señuelo («20240416.xlsx») y un script de Visual Basic (VB) muy ofuscado («3156.vbs») que es responsable de mostrar el archivo XLSX al El usuario debe mantener la artimaña y ejecutar otros dos scripts llamados «i4703.vbs» y «i6050.vbs».

Ambos scripts se utilizan para configurar la persistencia en el host de Windows mediante una tarea programada haciéndolas pasar por una tarea de actualización del navegador Google Chrome para evitar generar señales de alerta. Dicho esto, las tareas programadas están orquestadas para ejecutar dos scripts VB únicos llamados «97468.tmp» y «68904.tmp» cada minuto.

Cada uno de estos scripts, a su vez, se emplea para ejecutar dos scripts de PowerShell diferentes, «Tmp912.tmp» y «Tmp703.tmp», que se utilizan para conectarse a una cuenta de Dropbox y Google Drive controlada por el actor y descargar dos scripts de PowerShell más mencionados. como «tmpdbx.ps1» y «zz.ps1»

Luego, los scripts de VB se configuran para ejecutar los scripts de PowerShell recién descargados y recuperar más archivos de los servicios en la nube, incluidos archivos binarios que podrían ejecutarse según las políticas del sistema.

«El script de PowerShell de última etapa zz.ps1 tiene la funcionalidad de descargar archivos de Google Drive según criterios específicos y guardarlos en una ruta específica en el sistema local dentro del directorio ProgramData», dijeron los investigadores.

El hecho de que ambos scripts de PowerShell se descarguen sobre la marcha significa que los actores de amenazas podrían modificarlos a voluntad para especificar los archivos que se pueden descargar y ejecutar en el host comprometido.

También se descarga a través de 68904.tmp otro script de PowerShell que es capaz de recuperar un binario comprimido y ejecutarlo directamente desde la memoria para mantener una conexión de red con el servidor de comando y control (C2) del atacante.

La firma de ciberseguridad con sede en Texas dijo a The Hacker News que no puede proporcionar información sobre los objetivos y la escala de la campaña debido a que la investigación aún está en progreso.

El desarrollo es una vez más una señal de que los actores de amenazas están hacer un uso cada vez más indebido de servicios legítimos a su favor y pasar desapercibidos.

«Este enfoque sigue un hilo común en el que los actores de amenazas logran infectar y persistir en los sistemas comprometidos mientras se mezclan con el ruido de fondo normal de la red», dijeron los investigadores.

«Al incorporar scripts maliciosos dentro de plataformas en la nube aparentemente inofensivas, el malware no sólo garantiza un acceso sostenido a los entornos específicos, sino que también utiliza estas plataformas como conductos para la filtración de datos y la ejecución de comandos».

¿Encontró interesante este artículo? Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.





Source link

Translate »