CAMPAÑA DE PHISHING OFRECE TRES PROGRAMAS MALICIOSOS: AVEMARIARAT / BITRAT / PANDORAHVNC

Recientemente se ha detectado una campaña de phishing que entrega tres programas maliciosos sin archivos en el dispositivo del usuario. Una vez ejecutados, pueden controlar y robar información confidencial de ese equipo  para realizar otras acciones de acuerdo con los comandos de control de su servidor.

Servicios Afectados

• Sistemas operativos Windows

 

Detalles Tecnicos

CVE: ---

Severidad:   ALTA

AveMariaRAT
AveMaria es un RAT (troyano de acceso remoto), también conocido como WARZONE RAT. Ofrece una amplia gama de funciones, como el robo de información confidencial del usuario y el control remoto de un dispositivo infectado, incluida la escalada de privilegios, el control de escritorio remoto, la captura de cámara y más. Es el primero de los tres programas maliciosos que se inyecta en un proceso “aspnet_compiler.exe” recién creado en el dispositivo de la víctima y luego se ejecuta.

AveMaria tiene un bloque de configuración que está encriptado RC4 dentro de la sección “.bss” de su estructura PE. La clave de descifrado y los datos cifrados están juntos dentro del “.bss”. Cuando se inicia el malware, primero descifra el bloque de configuración. No solo contiene el servidor C2 sino también una serie de indicadores de cambio, como agregarse al grupo de ejecución automática, omitir UAC (Control de cuentas de usuario) o eludir Windows Defender. Una vez que AveMaria establece su conexión con el servidor C2, comienza a controlar el dispositivo de la víctima.

AveMaría proporciona las siguientes características:
VNC remoto (computación de red virtual), shell remoto, explorador de archivos, administrador de procesos, cámara web remota, administrador de contraseñas, calcetines inversos, descarga y ejecución de un archivo, registrador de teclas remoto, administrador de HRDP y escalamiento de privilegios.

PandorahVNC RAT
El segundo malware sin archivos inyectado en "RegAsm.exe" es "PandorahVNC Rat", que es un software comercial. Fue desarrollado usando C#, un framework de Microsoft .Net. Admite funciones para robar credenciales de algunas aplicaciones populares, como Chrome, Microsoft Edge, Firefox, Outlook, Foxmail, etc. También admite comandos de control para controlar el dispositivo de la víctima, como iniciar un proceso, capturar la captura de pantalla, manipular el mouse y el teclado de la víctima, y ??más.

Cuando se inicia, define las siguientes variables. Son la dirección del servidor C2, el puerto y la identificación del grupo que se utilizará al enviar datos al servidor C2.

string str = "vncgoga.duckdns.org"; //C2 server
string str2 = "1338"; // TCP port
string identifier = "3H4RHL"; // Group id

Una vez que el servidor C2 recibe este paquete, muestra la información de la víctima en una lista, Recopila información básica del dispositivo de la víctima y la envía al servidor C2 para registrar al cliente en el servidor.

BitRAT
El tercer malware sin archivos inyectado en "aspnet_compiler.exe" es "BitRat", que se dice que es un RAT eficiente y de alta calidad. Proporciona recopilación de información como registrador de portapapeles, registrador de teclas, credenciales de aplicaciones, registro de cámara web y grabación de voz. Tiene amplios comandos de control para controlar el dispositivo de la víctima, incluida la descarga y ejecución de un archivo, la realización de control de escritorio remoto, el control de procesos y servicios, los calcetines inversos y más.

BitRat tiene un bloque de configuración encriptado similar al Ave Maria Rat. BitRAT posee un bloque de configuración recién descifrado en la memoria, donde contiene el servidor C2 y el puerto (890), la identificación del cliente y más. Luego se procede a conectarse al servidor C2 y después utiliza el protocolo TLS 1.2 más un conjunto de cifrado de RAS+AES 256 para transferir y cifrar su paquete. BitRat es más potente que AveMariaRAT y PandoraHVNC porque proporciona una gran cantidad de comandos de control (172 comandos) para controlar el dispositivo de la víctima. 

Para mayor información visitar Boletín Nro. 2022-262.

Indicadores de Compromiso

DOMINIO

vncgoga[.]duckdns[.]org

duckdns[.]org

mubbibun[.]duckdns[.]org

danseeeee[.]duckdns[.]org

maraipasoo[.]duckdns[.]org

URL

hxxps://vncgoga[.]duckdns[.]org:1338/

hxxps://mubbibun[.]duckdns[.]org:999/

hxxps://danseeeee[.]duckdns[.]org:2022/

hxxps://maraipasoo[.]duckdns[.]org:890/

 

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Considerar deshabilitar PowerShell, evitando que pueda ser aprovechado por softwares maliciosos

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

 

Fuente

• Fuente 1: https://www.fortinet.com/blog/threat-research/phishing-campaign-delivering-fileless-malware-part-two
• Fuente 2: Equipo de Ciberinteligencia SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com