Un grupo cibercriminal detrás del troyano Astaroth ha lanzado una nueva campaña de phishing dirigida a usuarios brasileños que aprovecha servicios legítimos para eludir las protecciones de los endpoint y de los elementos de seguridad de la red. La parte notable de esta operación es que utiliza fuentes confiables como los perfiles de Facebook y YouTube para cubrir la actividad maliciosa.
“La compleja cadena de eventos que conduce a la instalación exitosa del troyano Astaroth comienza con un archivo .htm adjunto a un correo electrónico. Existen numerosas etapas dentro de esta cadena de infección donde podrían haberse detenido con defensas adecuadas en el correo electrónico o en otras capas de seguridad de red. Sin embargo, en cada paso de la infección, esta campaña utiliza fuentes confiables para el usuario final y así ayudar a avanzar a la siguiente etapa, lo que en última instancia conduce a una eventual exfiltración de información confidencial ”, explicó el equipo de Cofense Intelligence en un informe que detalla la nueva campaña.
El troyano Astaroth también aprovecha los servicios legítimos de Microsoft Windows para ayudar a propagar y entregar las cargas útiles, así como a los workers de Cloudflare (entorno de ejecución de JavaScript) para descargar módulos y cargas útiles, evitando así las medidas de seguridad de red implementadas.
En esta reciente campaña, los atacantes utilizaron tres tipos diferentes de correos electrónicos escritos en portugués, uno con un tema de factura, otro con un tema de boleto de espectáculo y un tercero con un tema de demanda civil.
Después de que la víctima ha hecho clic en el archivo adjunto, el archivo .HTM descarga un archivo .ZIP que contiene un archivo .LNK malicioso que, a su vez, descarga un JavaScript de un dominio de workers de Cloudflare. Luego, el JavaScript descarga varios archivos que se utilizan para ayudar a ofuscar y ejecutar una muestra del ladrón de información de Astaroth. Entre los archivos descargados hay dos archivos .DLL que se unen y se cargan en un programa legítimo llamado 'C: \ Archivos de programa \ Internet Explorer \ ExtExport.exe'.
"El uso de un programa legítimo para ejecutar el código malicioso de dos partes que se descargó de una fuente confiable ayuda a eludir las medidas de seguridad como antivirus (AV), lista blanca de aplicaciones y filtrado de URL", escribieron los investigadores.
Después de que ExtExport.exe se está ejecutando con el código malicioso cargado de lado, el script utiliza una técnica conocida como proceso hueco para infectar un programa legítimo con aún más código malicioso. Los atacantes utilizan esta técnica para inyectar código malicioso recuperado de varios archivos descargados por el JavaScript anterior.
Los investigadores también observaron que el troyano Astaroth utilizado en esta campaña utiliza los perfiles de Youtube y Facebook para alojar y mantener los datos de configuración C2. Los datos de C2 están codificados en formato base64, así como encriptados de forma personalizada y se insertan en publicaciones en Facebook o en la información de perfil de las cuentas de usuario en YouTube, lo que permite a los atacantes eludir las medidas de seguridad de la red como el filtrado de contenido.
Una vez que se recopila la información de C2, Astaroth procede a recopilar datos confidenciales, incluida información financiera, contraseñas almacenadas en el navegador, credenciales de cliente de correo electrónico, credenciales SSH y más. La información recopilada por el malware se cifra con dos capas de cifrado y se envía a través de HTTPS POST a un sitio de la lista C2 (la mayoría de los sitios están alojados en Appspot).
“La compleja cadena de infección de Astaroth dirigida a los ciudadanos brasileños muestra el valor de la defensa en capas, así como la educación del usuario final. En cada paso, la pila de seguridad podría haber tenido un impacto para detener la cadena de infección; sin embargo, mediante el uso de procesos legítimos y fuentes externas confiables, Astaroth pudo negar esas medidas defensivas ", agregaron los investigadores.
https://cofense.com/astaroth-uses-facebook-youtube-within-infection-chain/
