Investigadores de ciberseguridad han descubierto una campaña activa que ataca a usuarios indios con una puerta trasera de múltiples etapas, como parte de un presunto ciberespionaje. La actividad, según la Unidad de Respuesta a Amenazas de eSentire (TRU), utiliza correos electrónicos de phishing que suplantan al Departamento de Impuestos sobre la Renta de India para engañar a las víctimas y hacer que descarguen un archivo comprimido malicioso, lo que finalmente otorga a los actores de amenazas acceso persistente a sus máquinas para monitoreo continuo y exfiltración de datos.
El objetivo final del sofisticado ataque es desplegar una variante de un troyano bancario conocido como Blackmoon (también llamado KRBanker) y una herramienta empresarial legítima llamada SyncFuture TSM (Terminal Security Management), desarrollada por Nanjing Zhongke Huasai Technology Co., Ltd, una empresa china. La campaña no ha sido atribuida a ningún actor o grupo de amenazas conocido.
Aunque se comercializa como una herramienta empresarial legítima, en esta campaña se reutiliza como un marco de espionaje integral y potente, según eSentire. Al desplegar este sistema como carga útil final, los actores de amenazas establecen persistencia resistente y obtienen un rico conjunto de funciones para monitorear la actividad de la víctima y gestionar centralmente el robo de información sensible.
El archivo ZIP distribuido a través de falsos avisos de multas fiscales contiene cinco archivos diferentes, todos ocultos excepto un ejecutable ('Inspection Document Review.exe') que se utiliza para cargar lateralmente una DLL maliciosa presente en el archivo. La DLL, a su vez, implementa comprobaciones para detectar retardos inducidos por el depurador y contacta con un servidor externo para obtener la siguiente etapa de la carga útil.
El shellcode descargado utiliza una técnica basada en COM para eludir la solicitud de Control de Cuentas de Usuario (UAC) y obtener privilegios administrativos. También modifica su propio Bloque de Entorno de Proceso (PEB) para hacerse pasar por el proceso legítimo de Windows 'explorer.exe' y pasar desapercibido.
Además, recupera la siguiente etapa '180.exe' del dominio 'eaxwwyr[.]cn', un instalador de Inno Setup de 32 bits que ajusta su comportamiento según si el proceso de Avast Free Antivirus ('AvastUI.exe') se está ejecutando en el host comprometido.
Si se detecta el programa de seguridad, el malware utiliza simulación automática de ratón para navegar por la interfaz de Avast y agregar archivos maliciosos a su lista de exclusión sin desactivar el motor antivirus, evadiendo así la detección. Esto se logra mediante una DLL que se evalúa como una variante de la familia de malware Blackmoon, conocido por atacar empresas en Corea del Sur, Estados Unidos y Canadá, y que apareció por primera vez en septiembre de 2015.
El archivo agregado a la lista de exclusión es un ejecutable llamado 'Setup.exe', que es una utilidad de SyncFutureTec Company Limited y está diseñado para escribir 'mysetup.exe' en el disco. Este último se evalúa como SyncFuture TSM, una herramienta comercial con capacidades de monitoreo y gestión remota (RMM).
Al abusar de una oferta legítima, los actores de amenazas detrás de la campaña obtienen la capacidad de controlar remotamente los endpoints infectados, registrar las actividades del usuario y exfiltrar datos de interés. También se despliegan otros archivos tras la ejecución del ejecutable, entre ellos:
- Scripts batch que crean directorios personalizados y modifican sus Listas de Control de Acceso (ACL) para otorgar permisos a todos los usuarios
- Scripts batch que manipulan los permisos de usuario en las carpetas del Escritorio
- Un script batch que realiza operaciones de limpieza y restauración
- Un ejecutable llamado 'MANC.exe' que orquesta diferentes servicios y permite un registro extensivo
Según eSentire, esta combinación proporciona a los atacantes las herramientas no solo para robar datos, sino para mantener un control granular sobre el entorno comprometido, monitorear la actividad del usuario en tiempo real y asegurar su propia persistencia. Al combinar anti-análisis, escalada de privilegios, carga lateral de DLL, reutilización de herramientas comerciales y evasión de software de seguridad, el actor de amenazas demuestra tanto capacidad como intención.
