Artículo gentiliza de Any.Run para Segu-Info
Los investigadores de ANY.RUN descubrieron una
nueva familia de malware llamada
DeerStealer. Los atacantes están distribuyendo el software malicioso a través de sitios
web que imitan una de las páginas oficiales de Google. La campaña está en
curso desde julio.
Cadena de ataque detallada
El ataque comienza con un sitio web falso que promociona Google Authenticator,
su herramienta de autenticación de dos factores (ver
análisis en la sandbox).
La página legítima de Google que probablemente utilizaron los operadores de la
campaña para crear un clon malicioso es
safety[.]google/intl/en_my/cybersecurity-advancements. Se le solicita
al usuario que descargue la aplicación falsa haciendo clic en el botón
«Download» en la esquina superior derecha de la página (Figura 1).
Esto desencadena dos acciones:
-
La IP y el país del visitante se envían al bot de Telegram controlado por
los atacantes (Figura 2). -
El programa falso Google Authenticator se descarga en la computadora del
usuario desde GitHub.
Los investigadores han elaborado una lista de dominios utilizados por los
atacantes para alojar sus páginas falsas (Figura 3).
El archivo descargado tiene una firma válida que pertenece a Reedcode ltd.
(Figura 4). Sin embargo, no es el ejecutable final, ya que se utiliza
simplemente para ejecutar la carga útil DeerStealer.
La carga útil en sí se ejecuta únicamente en la memoria, sin descargar ningún
archivo a la computadora (ver análisis). Esta carga útil emplea varias técnicas de ofuscación para dificultar el
análisis.
Cada llamada a la API se realiza a través de un método especial que obtiene la
dirección de la función API de una variable global y luego salta a esa
dirección utilizando la instrucción JMP RAX (Figura 5).
El malware extrae datos confidenciales del dispositivo infectado, incluidos
datos del navegador y del cliente FTP (Figura 6), junto con información del
sistema. Los datos transmitidos se cifran mediante XOR de un solo
byte y con la clave 0xC.
Acerca de DeerStealer
DeerStealer es una amenaza emergente que ha estado activa durante el último
mes. Según Any.run, el malware comparte la misma infraestructura de comando y
control (C2) con XFiles, otro malware con capacidades de robo.
Sin embargo, existen dos diferencias principales entre las dos familias:
-
DeerStealer está escrito en C y se compila en código de máquina, mientras
que XFiles utiliza la plataforma .NET. -
XFiles utiliza una única solicitud POST para enviar todos los datos
recopilados en la máquina infectada. Por otro lado, DeerStealer comienza su
comunicación enviando un ID de hardware del host y, después de recibir la
respuesta del C2, extrae toda la información robada. Es probable que el
malware DeerStealer sea simplemente una versión de XFiles reescrita en otro
lenguaje.
Este tipo de análisis de malware y phishing se puede realizar en la sandbox de ANY.RUN con una cuenta gratuita.