NUEVO MALWARE EXFILTRATOR-22

28/02/2023

BOLETÍN NRO 2023-132

Ciberdelincuentes están distribuyendo un nuevo malware de post-explotación llamado 'Exfiltrator-22' diseñado para propagar ransomware en redes corporativas mientras evade la detección. Se cree que fue desarrollado por antiguos afiliados de Lockbit 3.0.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---		Severidad:   ALTA
Amenaza: Exfiltrator-22		Categoría: Malware

La primera versión de Exfiltrator-22 (EX-22) apareció el 27 de noviembre de 2022 y, unos diez días después, sus autores crearon un canal de Telegram para anunciar el malware a otros ciberdelincuentes.

A finales de año, los ciberdelincuentes anunciaron nuevas funciones que ayudaban a ocultar el tráfico en los dispositivos comprometidos, lo que indicaba que el malware estaba aun en desarrollo.

EX-22 incluye funciones que suelen encontrarse en otros kits de herramientas de post-explotación, pero también otras orientadas al despliegue de ransomware y al robo de datos.

Las características más destacadas son:

• Establecer un shell inverso con privilegios elevados.

• Cargar archivos en el sistema infectado o descargar archivos del host al C2.

• Activar un keylogger para capturar las entradas del teclado.

• Activar un módulo de ransomware para cifrar los archivos del dispositivo infectado.

• Capturar la pantalla del ordenador de la víctima.

• Iniciar una sesión VNC (Virtual Network Computing) en directo para acceder en tiempo real al dispositivo infectado.

• Obtener altos privilegios en el dispositivo infectado.

• Establecer persistencia entre reinicios del sistema.

• Activar un módulo worm que propague el malware a otros dispositivos de la misma red o de la Internet pública.

• Extraer datos (contraseñas y tokens) del LSAAS (Local Security Authority Subsystem Service).

• Generar hashes criptográficos de archivos en el host para ayudar a vigilar de cerca las ubicaciones de los archivos y los eventos de cambio de contenido.

• Obtener la lista de procesos en ejecución en el dispositivo infectado.

• Extraer tokens de autenticación del sistema infectado.

Los comandos anteriores se envían a los dispositivos comprometidos a través de un programa de consola "EX22 Command & Control" compatible con Windows.

Las salidas de estos comandos se devuelven al servidor de comando y control y se muestran directamente en la aplicación de consola. A través del panel web del servicio, los ciberdelincuentes también pueden establecer tareas programadas, actualizar las herramientas a una nueva versión, cambiar la configuración de una campaña o crear campañas nuevas.

Además, los investigadores se dieron cuenta de que el malware utiliza la misma técnica de domain fronting asociada con LockBit y el plugin de ofuscación TOR Meek, que ayuda a ocultar el tráfico malicioso dentro de conexiones HTTPS legítimas.

Indicadores de Compromiso

IP

23[.]216[.]147[.]76

Hash

MD5: 874726830ae6329d3460767970a2f805

SHA-256: 32746688a23543e674ce6dcf03256d99988a269311bf3a8f0f944016fe3a931d

MD5: 628e4a77536859ffc2853005924db2ef

SHA-256: d61af007f6c792b8fb6c677143b7d0e2533394e28c50737588e40da475c040ee

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: New Exfiltrator-22 post-exploitation kit linked to LockBit ransomware
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSofT

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​