Campaña de phishing en India propaga malware Blackmoon
Publicado el
Phishing y malware en India
Investigadores de ciberseguridad han detectado una campaña activa que está atacando a usuarios indios mediante un malware de tipo backdoor en varias fases, en el contexto de un posible espionaje cibernético. Según la eSentire Threat Response Unit (TRU), los atacantes utilizan correos electrónicos de phishing que suplantan al Departamento de Impuestos de India, con el objetivo de engañar a las víctimas para que descarguen un archivo malicioso. Esto permite a los atacantes acceder de forma persistente a los equipos de las víctimas, facilitando la monitorización continua y la exfiltración de datos.
El objetivo final de este elaborado ataque es desplegar una variante de un troyano bancario conocido como Blackmoon (también denominado KRBanker), junto con una herramienta empresarial legítima llamada SyncFuture TSM (Terminal Security Management), desarrollada por la compañía china Nanjing Zhongke Huasai Technology Co., Ltd. Hasta el momento, la campaña no ha sido atribuida a ningún grupo o actor de amenaza conocido.
eSentire ha indicado que, aunque se comercializa como una herramienta empresarial legítima, en esta campaña se reutiliza como un potente marco de espionaje. Al implementar este sistema como carga final, los atacantes logran establecer una persistencia resistente y obtienen un amplio conjunto de características para monitorizar la actividad de las víctimas y gestionar de manera centralizada el robo de información sensible.
El archivo ZIP distribuido a través de los falsos avisos de penalización fiscal contiene cinco archivos diferentes, todos ocultos excepto un ejecutable denominado "Inspection Document Review.exe", que se utiliza para cargar un DLL malicioso presente en el archivo. Este DLL realiza comprobaciones para detectar retrasos inducidos por depuradores y se conecta a un servidor externo para obtener la carga útil de la siguiente fase.
La carga útil descargada utiliza una técnica basada en COM para eludir el aviso de Control de Cuentas de Usuario (UAC) y obtener privilegios de administrador. Además, modifica su propio Process Environment Block (PEB) para hacerse pasar por el legítimo proceso de Windows "explorer.exe", lo que le permite operar sin ser detectado.
A continuación, recupera el siguiente archivo denominado "180.exe" desde el dominio eaxwwyr[.]cn, un instalador de 32 bits de Inno Setup que ajusta su comportamiento según la detección del proceso de Avast Free Antivirus (AvastUI.exe) en el host comprometido. Si se detecta el programa de seguridad, el malware simula automáticamente el movimiento del ratón para navegar por la interfaz de Avast y añadir archivos maliciosos a su lista de exclusión sin desactivar el motor antivirus.
Esto se logra mediante un DLL que se evalúa como una variante de la familia de malware Blackmoon, conocido por atacar a empresas en Corea del Sur, EE.UU. y Canadá, y que apareció por primera vez en septiembre de 2015. El archivo añadido a la lista de exclusión es un ejecutable llamado "Setup.exe", que es una utilidad de SyncFutureTec Company Limited y está diseñado para escribir "mysetup.exe" en el disco. Este último es considerado como SyncFuture TSM, una herramienta comercial con capacidades de monitorización y gestión remota (RMM).
Al abusar de esta oferta legítima, los atacantes adquieren la capacidad de controlar remotamente los puntos finales infectados, grabar actividades de los usuarios y exfiltrar datos de interés. También se despliegan, tras la ejecución del ejecutable, otros archivos: - Scripts Batch que crean directorios personalizados y modifican sus Listas de Control de Acceso (ACL) para otorgar permisos a todos los usuarios. - Scripts batch que manipulan permisos de usuarios en carpetas del escritorio. - Un script batch que realiza operaciones de limpieza y restauración. - Un ejecutable denominado "MANC.exe" que orquesta diferentes servicios y habilita un amplio registro de actividades.
eSentire concluye que esta combinación de técnicas de anti-análisis, escalada de privilegios, carga de DLL, reutilización de herramientas comerciales y elusión de software de seguridad demuestra tanto la capacidad como la intención del actor malicioso. Esta compleja campaña subraya la necesidad de una mayor concienciación de seguridad entre los usuarios para protegerse frente a estas amenazas crecientes.