VIPKeyLogger Infostealer en Libertad

24 de enero de 2025 |

0 minutos de lectura

Prashant Kumar

Los infostealers son un tipo de troyano utilizado ampliamente por los autores de malware para recolectar datos sensibles como credenciales de inicio de sesión, información financiera, datos del sistema e información personal identificable.

Recientemente, observamos un aumento en la actividad de un nuevo infostealer conocido como VIPKeyLogger. En esta publicación de blog, lo analizaremos con más detalle.

VIPKeyLogger comparte muchas similitudes con el Snake Keylogger basado en suscripción, también conocido como 404 Keylogger.

Este nuevo infostealer se propaga a través de campañas de phishing como un archivo adjunto que toma la forma de un archivo comprimido o documentos de Microsoft 365. El archivo comprimido contiene contenido ejecutable en archivos de Microsoft Office distribuidos a través de C2.

Cadena de ataque:

Archivo de correo electrónico:

InfoStealers-wild-image-2 — **Fig. 1 - Correo electrónico original**

Archivo malicioso Doc

InfoStealers-wild-image-3 — **Fig. 2 - Documento malicioso**

El archivo se asemeja a otros relacionados con la vulnerabilidad CVE-2017-11882. Al analizar el archivo, observamos que es un archivo RTF según sus encabezados.

InfoStealers-wild-image-4 — **Fig. 3 - Encabezado del archivo**

Al inspeccionar un volcado del archivo, encontramos objdata a continuación, que contiene contenido codificado.

InfoStealers-wild-image-5 — **Fig. 4 - Volcado del archivo RTF**

Desde aquí, podemos extraer el objdata para analizar el contenido en sí.

InfoStealers-wild-image-6 — **Fig. 5 - Contenido extraído**

En la siguiente etapa, extraemos otros objetos. Desde allí, identificamos contenido relacionado con datos de objetos que finalmente resuelven en una URL y descargan un ejecutable malicioso.

InfoStealers-wild-image-7 — **Fig. 5.1 - Contenido parcial del archivo RTF**

Al eliminar líneas en blanco y espacios, podemos restaurar los datos del objeto, los cuales son responsables de formar una URL:

InfoStealers-wild-image-8 — **Fig. 6 - Objeto restaurado**

El contenido en la Fig. 6 es responsable de conectarse a la URL http[:]//87[.]120.84.39/txt/xXdqUOrM1vD3An[.]exe y descargar un archivo malicioso.

El archivo descargado es identificado como un archivo compilado en .NET, como se muestra a continuación en la Fig. 7:

InfoStealers-wild-image-9 — **Fig. 7 - Archivo compilado en .NET**

El siguiente paso consiste en analizarlo más de cerca usando DnSpy. El archivo real se carga con el nombre skkV[.]exe, independientemente del nombre original del archivo.

InfoStealers-wild-image-10 — **Fig. 8 - Vista del archivo en DnSpy**

El archivo contiene varias clases. La ejecución comienza desde la clase MainForm(), que incluye varias conversiones de ToCharArray.

InfoStealers-wild-image-11 — **Fig. 9 - Inicialización principal**

En la sección de Recursos, hay una imagen de mapa de bits llamada "vmGP", que parece una imagen ruidosa o granulada. El código ofuscado está oculto en esta imagen esteganográfica.

InfoStealers-wild-image-12 — **Fig. 10 - Imagen esteganográfica**

En un análisis más detallado, encontramos que esta carga útil exfiltra diversos datos, como nombres de PC, nombres de países, datos del portapapeles, capturas de pantalla, cookies, historial del navegador y más. La información recolectada se envía a través de Telegram a servidores Dynamic DuckDNS desde el archivo cargado en memoria, como se muestra en las siguientes cuatro imágenes:

InfoStealers-wild-image-13 — **Fig. 11 - Tipos de datos recolectados**

InfoStealers-wild-image-14 — **Fig. 11.2 - Ejemplos de datos exfiltrados**

InfoStealers-wild-image-15 — **Fig. 11.3 - Más ejemplos de datos exfiltrados**

InfoStealers-wild-image-16 — **Fig. 11.4 - Cadenas volcadas del archivo PE en memoria**

Conclusión:

Los keyloggers son una de las amenazas más comunes en el arsenal de un hacker. Son distribuidos a través de campañas de phishing que contienen archivos adjuntos maliciosos como señuelos. Estos archivos infectados están diseñados para robar la mayor cantidad posible de información del sistema de la víctima.

Cuando los usuarios hacen clic en el señuelo y abren el archivo comprimido, el archivo es descargado o deja caer el archivo infectado en una carpeta temporal o en la carpeta de inicio para lograr persistencia. Al abrirse, el archivo adjunto de Microsoft 365 o comprimido descarga un archivo en el directorio %AppData\Roaming%, lo ejecuta, se elimina a sí mismo y copia el contenido inyectado en el archivo original desde el que fue ejecutado. Luego, realiza una serie de exfiltraciones de datos, como grabar pulsaciones de teclas, recopilar datos del portapapeles, capturas de pantalla, historial del navegador, cookies y detalles de configuración de correo electrónico. Finalmente, envía los datos recolectados a través de Telegram a servidores Dynamic DuckDNS C2.

Declaración de protección

Los clientes de Forcepoint están protegidos contra esta amenaza en las siguientes etapas del ataque:

Etapa 2 (Señuelo) – Los archivos adjuntos maliciosos asociados con estos ataques son identificados y bloqueados.
Etapa 3 (Redirección) – URLs bloqueadas que descargan cargas útiles adicionales.
Etapa 5 (Archivo Dropper) – Los archivos dropper son añadidos a la base de datos maliciosa de Forcepoint y bloqueados.
Etapa 6 (Callback) – Credenciales C2 bloqueadas.

IOCs

RTF hash	a7fb35d35eb23fe3b4358e3c843f5982a161534e
Dropped exe	2830f9d5f41bbecd2ae105ed0b9a8d49327c8594
Malicious URL	hxxp://87.120.84[.]39/txt/xXdquUOrM1vD3An.exe hxxp://51.38.247[.]67:8081/_send_.php?L
C2	varders.kozow[.]com:8081 aborters.duckdns[.]org:8081 anotherarmy.dns[.]army:8081 mail.jhxkgroup[.]online

Prashant Kumar
Prashant se desempeña como Investigador de Seguridad para el Contenido de Investigación de Amenazas de X-Labs. Dedica su tiempo a investigar ciberataques basados en la web y el correo electrónico, con un enfoque particular en la investigación de URL, la seguridad del correo electrónico y el análisis de campañas de malware.
Leer más artículos de Prashant Kumar