Imágenes de sitios web pirateados camuflan ObliqueRAT Malware - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Imágenes de sitios web pirateados camuflan ObliqueRAT Malware

Hola y mil gracias por leerme. En el teclado Eduardo Arroyo y esta vez hablaremos sobre Imágenes de sitios web pirateados camuflan ObliqueRAT Malware

Imágenes de sitios web pirateados camuflan ObliqueRAT Malware

Los correos electrónicos que difunden el malware ObliqueRAT ahora usan esteganografía, enmascarando sus cargas útiles en sitios web comprometidos.

El malware ObliqueRAT ahora oculta sus cargas útiles como archivos de imagen aparentemente inocentes que están ocultos en sitios web comprometidos.

El troyano de acceso remoto (RAT), activo desde 2019, se propaga a través de correos electrónicos con documentos maliciosos de Microsoft Office adjuntos. Anteriormente, las cargas útiles estaban integradas en los propios documentos. Ahora, si los usuarios hacen clic en el archivo adjunto, se les redirige a URL maliciosas donde las cargas útiles se ocultan con esteganografía.

Los investigadores advierten que se ha visto que esta nueva táctica ayuda a los operadores de ObliqueRAT a evitar la detección cuando se dirigen a malware de varias organizaciones en el sur de Asia, donde el objetivo es enviar correos electrónicos a las víctimas con documentos de Microsoft. datos de la víctima.

«Esta nueva campaña es un ejemplo típico de cómo los adversarios reaccionan a las divulgaciones de ataques y evolucionan sus cadenas de infección para evadir la detección», dijo Asheer Malhotra, investigador de Cisco Talos. martes. «Los cambios en las cargas útiles de ObliqueRAT también destacan el uso de técnicas de ofuscación que se pueden utilizar para eludir los mecanismos de detección tradicionales basados ​​en firmas».

La actividad conocida por ObliqueRAT se remonta a noviembre de 2019, parte de una campaña dirigida a entidades en el sudeste asiático y descubierta por investigadores de Cisco Talos en febrero de 2020. Los operadores de ObliqueRAT siempre han utilizado correos electrónicos con archivos adjuntos maliciosos como vector de infección inicial. Generalmente, la cadena de infección utiliza un ejecutable inicial, que actúa como un cuentagotas para el propio ObliqueRAT.

Una vez que ha infectado los sistemas, ObliqueRAT exfiltra diversa información, incluidos datos del sistema, una lista de unidades y una lista de procesos en ejecución.

La cadena de ataques ObliqueRAT recién descubierta fue parte de una campaña que comenzó en mayo del año pasado, pero que los investigadores solo la descubrieron recientemente. Además del uso de redireccionamientos de URL, las cargas útiles también han recibido una actualización, que ahora consta de archivos de imagen de mapa de bits (BMP) aparentemente benignos.

La nueva cadena de fijación utilizada por ObliqueRAT. Crédito: Cisco Talos

Los archivos de imagen contienen tanto datos de imagen legítimos como bytes ejecutables maliciosos ocultos en los datos de imagen, dijeron los investigadores. Threatpost se puso en contacto con Cisco Talos para obtener más información sobre las imágenes y los sitios web comprometidos que se utilizaron como parte del ataque.

Esta es una táctica bien conocida utilizada por los actores de amenazas llamada esteganografía. Los atacantes ocultan malware en archivos de imágenes para evitar la detección. Esto se debe a que muchos filtros y puertas de enlace permiten que los formatos de archivo de imagen pasen sin mucho escrutinio.

El correo electrónico inicial enviado a las víctimas contiene documentos maliciosos con nuevas macros, que redirigen a los usuarios a URL maliciosas que contienen estas cargas útiles. Como resultado, las macros maliciosas descargan los archivos BMP y la carga útil de ObliqueRAT se extrae al disco.

Hay ligeras variaciones que se han observado en los ataques en el mundo real. Un ejemplo de un documento malicioso que los investigadores descubrieron «utiliza una técnica similar, excepto que la carga útil alojada en el sitio web comprometido es una imagen BMP que contiene un archivo .ZIP que contiene la carga útil de ObliqueRAT», dijo Malhotra. «Las macros maliciosas son responsables de extraer el .ZIP y, posteriormente, la carga útil de ObliqueRAT en el punto final».

En el curso de su investigación, los investigadores también descubrieron tres cargas útiles utilizadas anteriormente pero nunca antes vistas para ObliqueRAT, que mostraban cómo los autores del malware realizaban cambios a lo largo del tiempo. Por ejemplo, una de las versiones creadas en septiembre agregó nuevas capacidades de enumeración y robo de archivos, así como también expandió las capacidades de carga útil para incluir la capacidad de tomar capturas de pantalla y grabaciones desde cámaras web y computadoras de escritorio.

Esta técnica de entrega de carga útil actualizada brinda a los atacantes una ventaja para evitar la detección, dijeron los investigadores.

La evolución de las cargas útiles de ObliqueRAT. Crédito: Cisco Talos

«Es muy probable que estos cambios sean en respuesta a divulgaciones anteriores para conseguir evasión para estas nuevas campañas», dijeron. «El uso de sitios web comprometidos es otro intento de eludir la detección».

Las macros también adoptaron una nueva táctica para lograr la persistencia de reinicio para las cargas útiles de ObliqueRAT. Esto se logra creando un enlace (extensión de archivo .URL) en el directorio de inicio del usuario infectado, dijeron los investigadores. Una vez que la computadora se reinicia, las cargas útiles aún podrán ejecutarse.

Los investigadores dijeron que observaron superposiciones en la infraestructura del servidor de comando y control (C2) entre ObliqueRAT y una campaña de RevengeRAT. Sin embargo, solo establecieron el vínculo con «baja confianza» debido a la falta de otra evidencia más sustancial.

RevengeRAT es una familia de malware común que ha sido utilizada en el pasado por el grupo de amenazas APT33 vinculado al espionaje vinculado a Irán. La RAT recopila y extrae información del sistema de la víctima.

Anteriormente, los investigadores también establecieron vínculos entre ObliqueRAT y Crimson RAT. Las características de Crimson RAT incluyen el robo de credenciales de los navegadores de las víctimas, tomar capturas de pantalla, recopilar información sobre el software antivirus y enumerar los procesos, unidades y directorios que se ejecutan desde las máquinas de la víctima. Los investigadores dijeron que las dos RAT compartían «maldoc y macro similares» en campañas anteriores de ObliqueRAT.

«Este malware tiene vínculos con el grupo Tribu Transparente que históricamente se ha dirigido a entidades en el sur de Asia», dijo Malhotra a Threatpost. «Como es el caso con la mayoría de las campañas de APT sospechosas, esta campaña también es de bajo volumen. Una campaña de bajo volumen tiene más posibilidades de permanecer oculta durante períodos de tiempo más largos, lo que aumenta las posibilidades de éxito de los atacantes».

.

No te olvides compartir en una historia de tu Instagram para que tus colegas lo consulten

??? ? ? ???

Comparte