Peligros Invisibles Ocultos Detrás de URLs Evasivas de Secureserver.net

Los troyanos bancarios continúan evolucionando rápidamente, afectando a principales organizaciones bancarias en todo el mundo. Hemos observado un aumento en el malware que utiliza secureserver[.]net para atacar regiones de habla hispana y portuguesa, cubriendo instituciones financieras de América Latina. Además, los hackers también están atacando países europeos de habla hispana y portuguesa, así como otras partes del mundo.

Esta campaña se propaga a través de la URL secureserver[.]net, que es un sitio de alojamiento que también ofrece servicios de registro de nombres de dominio y alojamiento web a nivel mundial. Durante nuestra investigación en X-Labs, hemos observado que este dominio es frecuentemente abusado para alojar contenido malicioso.

Acceso Inicial

_{Fig. 1 - Acceso inicial}
 

_{Fig. 2 - Acceso inicial #2}
 

El correo electrónico contiene una URL alojada en secureserver[.]net siguiendo el patrón: https://\d{2,3}.\d{2,3}.\d{2,3}.\d{2,3}.host.secureserver.net

La URL, cuando se navega desde ubicaciones fuera de las regiones de América del Norte y del Sur, muestra una página en blanco o redirige a otras páginas limpias. Intentamos navegar por una URL similar en Portugal y descargó un archivo comprimido. El archivo comprimido contiene un archivo .hta, que a su vez contiene algo de ofuscación.

Archivo HTA:

El archivo contiene una URL que incluye el siguiente código:

198.148.167.72.secureserver[.]net/OQQst11/gV7Pus771.js

_{Fig. 3 - Archivo HTA}

Código JavaScript:

_{Fig. 4 - Código JavaScript}
 

El código JavaScript vuelve a resolver una URL, “198.148.167.72.host.secureserver[.]net/VFb51.vbs”, que contiene código VBS.

Código VBS de Primera Etapa

_{Fig. 5 - Código VBS de primera etapa}

El script, al ejecutarse, se guarda en C:\Public como {{randomfilename}}.vbs y ejecuta ese VBS utilizando el shell. El script VBS contiene la URL que se ha navegado y realiza otro nivel de ejecución:

Fragmento de código VBS de Segunda Etapa

_{Fig. 6 - Código VBS de segunda etapa}

A partir de aquí, comienza el comportamiento real del malware cuando intenta conectarse a la URL “198.148.167[.]72.host.secureserver.net/g1” y descargar un JS codificado.

La URL descarga una carga útil maliciosa en JavaScript Ofuscada:

JavaScript Ofuscado

_{Fig. 7 - JavaScript Ofuscado}
 

El script está ofuscado utilizando JS, que está específicamente diseñado para ejecutarse en navegadores web.

Al desofuscar el código, podemos representar el comportamiento de la campaña de forma estática.

Desofuscación del código y análisis estático:

Al desofuscar el código, encontramos que verifica varios criterios antes de soltar la carga útil real: 1) Verificación de antivirus 2) Verificación de máquina virtual 3) Verificación de sistema operativo y BIOS

Verificación de Antivirus:

_{Fig. 8 - Verificación de antivirus}

Verificación de VM y BIOS

_{Fig. 9 - Verificación de VM y BIOS}

Verificación del sistema operativo y del idioma del OS

_{Fig. 10 - Verificación del sistema operativo y del idioma del OS}

_{Fig. 11 - Verificación del sistema operativo y del idioma del OS (continuación)}

Si se cumplen todos los criterios anteriores, crea una carpeta en la red HOMEDRIVE y descarga el ejecutable AutoIt y un script codificado en la carpeta, y crea un acceso directo para esa carpeta en el inicio:

_{Fig. 12 - Ejecutable AutoIt}

La imagen anterior muestra tres URLs que, al ser navegadas, colocan archivos en una ubicación de red del sistema:

• Hxxps://45[.]40.96.231\/AutoIt3 – AutoIt script
• Hxxps://45[.]40.96.231\/AutoIt3.exe – AutoIt executable
• Hxxps://45[.]40.96.231\/jama1crt – Some dependency file which is responsible for malicious activity

A partir de aquí, crea un acceso directo que se ejecuta al inicio:

_{Fig. 13 - Acceso directo ejecutado al inicio}

Script codificado y decodificado de AutoIt y análisis:

_{Fig. 14 - Encabezado codificado de AutoIt (ver esquina superior izquierda)}

Script decodificado

El script decodificado es extenso con muchas verificaciones, realizando principalmente inyección de procesos en memoria. Una parte del script decodificado muestra la inyección en un archivo PE que comienza con el encabezado 0x4D5A para archivo ejecutable, seguido por una conversión BinaryToString del código hexadecimal responsable de cargar DLL en la memoria e invocar su función exportada:

_{Fig. 15 - Script decodificado}

Al ejecutar el archivo codificado de AutoIt y autoit.exe junto con el archivo de dependencia jama1crt mencionado anteriormente, se genera un archivo de volcado de memoria. Al analizar estáticamente el archivo de volcado de memoria, encontramos que nuevamente contenía un archivo de AutoIt incrustado:

 _{Fig. 16 - Archivo de volcado de memoria contiene AutoIt}

Este script codificado realiza el resto de la inyección en memoria utilizando procesos como ALLOCATEEXESPACE, UNMAPVIEWSECTION, ALLOCATEEXESPACEATADDRESS e inyecta código malicioso en uno de los procesos legítimos de Microsoft, mobsync.exe:

_{Fig. 17 - Inyección de código malicioso en mobsync}

 _{Fig. 18 - Inyección de código malicioso en mobsync (continuación)}

Algunos comportamientos importantes realizados por el malware que vale la pena destacar: 1) Verifica el idioma y la ubicación del sistema 2) Agrega información del procesador al registro para detectar entornos de sandbox 3) Verifica la información del sistema

Después de la ejecución y la inyección maliciosa en mobsync.exe, se conecta a C2 maliciosos proporcionando información importante como Nombre de Computadora, Información del Sistema, Usuario y detalles del administrador, y otros datos importantes.

Conclusión:

El malware se distribuye a través de URLs geofecladas incrustadas en el correo electrónico con el principal objetivo de robar las credenciales del sistema de la víctima mediante la infección del sistema con inyección de procesos usando el script y las herramientas de AutoIt. Las URLs funcionan principalmente en las regiones de América del Norte y del Sur con la intención de robar información bancaria y actuar como troyanos bancarios o infostealers.

Una vez que se navega desde el correo electrónico, la URL descarga un archivo comprimido que contiene un archivo .HTA. El archivo HTA luego se conecta a una URL maliciosa y realiza una serie de actividades, incluyendo la navegación de JS codificado a través del navegador. Posteriormente, resulta en la descarga del script de AutoIt, ejecutable y carga útil de dependencia.

Cuando todos se ejecutan juntos, realizan inyección de procesos en memoria del sistema. Siendo evasivo por naturaleza, el archivo ejecuta comprobaciones del idioma del sistema, ubicación y otras variables de entorno. Después de una ejecución exitosa, se conecta a C2 maliciosos proporcionando información sensible a los atacantes.

Información Adicional:

Mientras se trabajaba en la campaña, se observó que además de seguir el patrón mencionado anteriormente, también robaba información activamente mediante técnicas de phishing y descargando directamente ejecutables en archivos comprimidos.

Declaración de Protección

Los clientes de Forcepoint están protegidos contra esta amenaza en las siguientes etapas del ataque:

• Etapa 2 (Engaño): Entregado a través de URL armadas incrustadas en un correo electrónico. Los correos electrónicos y URLs incrustadas son bloqueados por análisis de correos electrónicos, análisis web y Análisis de Seguridad en Tiempo Real.
• Etapa 3 (Redirección): Las redirecciones identificadas para descargar múltiples cargas útiles son clasificadas y bloqueadas bajo clasificación de seguridad.
• Etapa 5 (Archivo Dropper): Los archivos dropper son añadidos a la base de datos de archivos maliciosos de Forcepoint y bloqueados.
• Etapa 6 (Contacto): Los servidores de comando y control (C&C) a los que el malware contacta para entregar datos sensibles de usuarios están categorizados y bloqueados bajo clasificación de seguridad.

Indicadores de Compromiso: