Conclusiones clave Cyble Research and Intelligence Labs (CRIL) identificó recientemente un sitio de phishing que imita de cerca el sitio web oficial de la Competición Mundial de Ciclismo Agrícola (WACC). Este sitio engañoso fue creado por un actor de amenazas (TA) que replicó el sitio legítimo de la WACC con solo modificaciones menores, lo que dificulta que los visitantes desprevenidos diferencien entre los dos. La Competición Mundial de Ciclismo Agrícola es un evento que se celebra en Francia y que tiene como objetivo cerrar la brecha entre las industrias agrícola y deportiva. El momento y el contexto sugieren que es probable que el TA esté apuntando a las partes interesadas y participantes dentro de esta región y sector específicos, con el objetivo de explotar la popularidad y relevancia del evento. La campaña de phishing se lanzó deliberadamente en julio de 2024, poco después de que concluyera el evento ciclista real en junio. Al capitalizar la reciente conclusión del evento, el TA agregó una sección de «FOTO» al sitio de phishing, atrayendo a los visitantes con la promesa de fotos del evento y, por lo tanto, atrayendo a los asociados o interesados ​​en la competencia. Para promover su agenda maliciosa, el TA atrae a los usuarios para que descarguen un archivo ZIP que supuestamente contiene fotos de eventos. Sin embargo, en lugar de imágenes, el archivo ZIP alberga tres archivos de acceso directo (.lnk) disfrazados de imágenes. Cuando se ejecutan, estos accesos directos desencadenan una sofisticada cadena de infección que finalmente entrega un Havoc C2. Una vez que se ejecuta Havoc C2, intenta establecer comunicación con un dominio de Azure Front Door. Es probable que este dominio se esté utilizando como un redirector, que actúa como intermediario que redirige el tráfico al servidor de Comando y Control (C&C) real, donde el TA puede ejecutar más actividades maliciosas. Descripción general CRIL ha identificado un sitio de phishing alojado en “wacc[.]foto” que se hace pasar por el sitio web oficial de la Competición Mundial de Ciclismo Agrícola. El TA responsable de este sitio de phishing ha clonado el sitio web legítimo, realizando solo modificaciones menores a su contenido. El evento de ciclismo real tuvo lugar del 7 al 9 de junio, después de lo cual el TA lanzó su campaña de ataque. El TA agregó una nueva sección titulada “FOTO”, que afirma ofrecer fotos del evento para atraer visitantes. Esta adición parece ser un movimiento estratégico destinado a apuntar a personas asociadas con el evento que podrían estar ansiosas por ver o descargar estas fotos. La siguiente figura ilustra la apariencia del sitio de phishing. Figura 1 – Sitio de phishing La siguiente figura ilustra la nueva sección agregada por el TA, que ofrece la opción de descargar un archivo ZIP malicioso disfrazado de fotos del evento. Figura 2 – Descarga del archivo ZIP El archivo ZIP en cuestión contiene tres archivos de acceso directo (.lnk) que están disfrazados de imágenes. Cuando un usuario hace clic en cualquiera de estos accesos directos, se ejecuta un script de PowerShell. Este script está diseñado para descargar imágenes legítimas y mostrarlas mediante el navegador Edge, manteniendo así la ilusión de autenticidad. Sin embargo, el script también descarga y ejecuta un archivo DLL malicioso en segundo plano. Este DLL actúa como un cargador y carga el código shell que es responsable de cargar el C2 de Havoc. Havoc es un sofisticado marco de comando y control (C&C) posterior a la explotación. Una vez implementado, el C2 de Havoc intenta conectarse a un dominio de Azure Front Door, que el TA probablemente usa como redirector al servidor C&C real. Durante el análisis, se observó que el servidor C&C estaba inactivo, lo que obstaculizaba la capacidad de analizar por completo las etapas posteriores del ataque. Figura 3: Cadena de infección Este sitio de phishing también aloja un directorio abierto que contiene varias cargas útiles de malware utilizadas para entregar Havoc. El TA puede estar intercambiando cargas útiles para apuntar mejor a sus víctimas. Figura 4: Análisis técnico de Open Directory La infección inicial comienza cuando un usuario descarga un archivo ZIP de un sitio de phishing. Este archivo ZIP contiene tres archivos de acceso directo camuflados con extensiones .jpg para que parezcan archivos de imagen, como se muestra en la siguiente figura. Figura 5 – Contenido del archivo ZIP Cada uno de estos archivos de acceso directo está diseñado para ejecutar la misma operación. Al ejecutarse, utilizan conhost.exe para ejecutar un script de PowerShell. Este script descarga inicialmente un archivo JPG legítimo mediante el comando Start-Bitstransfer, que sirve como señuelo. Específicamente: 1.jpg.lnk se descarga desde hxxps[:]//wacc.photo/wp-content/uploads/2024/1.jpg 2.jpg.lnk descargas de hxxps[:]//wacc.photo/wp-content/uploads/2024/2.jpg 3.jpg.lnk descargas de hxxps[:]//wacc.photo/wp-content/uploads/2024/3.jpg Estas imágenes señuelo se colocan en el directorio “AppData\Local”. Posteriormente, el script utiliza Microsoft Edge para abrir estas imágenes con el siguiente comando: cmd.”exe /C ‘C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe’ C:\Users\User_Name\AppData\Local\[image_name].jpg; La siguiente figura muestra la imagen señuelo. Figura 6 – Imagen señuelo El script de PowerShell para descargar y mostrar las imágenes señuelo se ilustra en la siguiente figura. Figura 7 – Visualización de imágenes señuelo Después de esto, el script de PowerShell descarga un archivo DLL de “hxxps[:]//wacc.photo/wp-content/uploads/2024/KB.crdownload” y lo guarda en la carpeta Descargas, nombrándolo “KB.part”. Luego, mueve este archivo a “AppDataLocal” y lo nombra “KB.DLL”. Luego, usa el comando Unblock para permitir la ejecución del archivo descargado. La siguiente figura muestra el script de PowerShell para descargar DLL. Figura 8 – Descargando DLL Ahora, este script de PowerShell carga “KB.DLL” en su proceso y luego invoca el método Run dentro de la DLL para iniciar su ejecución. La siguiente figura muestra el código para cargar el archivo DLL. Figura 9 – Cargando DLL Este “KB.DLL” es un cargador de shellcode. Contiene shellcode ofuscado y un diccionario de palabras asignadas a bytes. Una función llamada DecodeWordsToBytes() invierte estos datos, convirtiendo las palabras nuevamente a sus valores de bytes originales. Figura 10 – Desofuscación del shellcode Después de desofuscar el shellcode, se llama al método ExecuteShellcode() para ejecutarlo. Este método asigna memoria ejecutable, copia el shellcode en ella y luego explota la función EnumFontsW() para ejecutar el shellcode con el pretexto de enumerar fuentes. Dado que EnumFontsW() es una función de devolución de llamada, se le pasa el puntero al shellcode para su ejecución. Luego, el método realiza una limpieza liberando el contexto del dispositivo. Esta es una técnica común utilizada en malware para ejecutar cargas útiles mientras intenta evitar la detección. El shellcode contiene un ejecutable integrado, como se muestra en la siguiente figura. Figura 11 – Ejecutable integrado Este shellcode, al ejecutarse, busca el encabezado PE como se muestra en la siguiente figura. Integrado en el shellcode hay un HAVOC C2, que está cargado y diseñado para establecer una conexión con el dominio egzklpzltbptmgnnevne[.]azurefd.net. Este dominio está vinculado a Azure Front Door, un servicio de red de distribución de contenido (CDN) ofrecido por Microsoft Azure. Anteriormente se ha observado que los TA abusan de servicios legítimos similares para evadir la detección. En el momento del análisis, este dominio estaba inactivo, lo que impidió una mayor investigación de las etapas posteriores. Figura 12: Búsqueda de encabezado PE Conclusión Este ataque parece haber estado dirigido deliberadamente al sector agrícola francés. Aunque el servidor de comando y control (C&C) estaba inactivo durante el análisis, lo que impidió una comprensión completa de los objetivos del actor de la amenaza, existen varias implicaciones potenciales basadas en la cadena de infección que se observó. El despliegue de Havoc indica que el TA probablemente tenía la intención de llevar a cabo operaciones extensas y sofisticadas. Havoc, como marco de postexplotación, es capaz de habilitar una variedad de actividades maliciosas. Estas podrían incluir el movimiento lateral dentro de la red comprometida, lo que permite al atacante infiltrarse en sistemas adicionales, establecer persistencia para garantizar el acceso a largo plazo e implementar más cargas útiles de malware para profundizar el compromiso o lograr objetivos específicos. La sofisticación del marco Havoc sugiere que el atacante estaba bien preparado y potencialmente tenía un interés estratégico en comprometer los sistemas dentro de la industria agrícola francesa. Nuestras recomendaciones El TA ha creado un sitio de phishing haciéndose pasar por Waac. Para protegerse, verifique la legitimidad de los sitios web examinando las URL y evitando los enlaces sospechosos. Realice sesiones de capacitación para educar a los usuarios sobre cómo reconocer los intentos de phishing y los riesgos de descargar archivos de fuentes no confiables. Enfatice la importancia de verificar la legitimidad de los sitios web y los enlaces antes de la interacción. Configure las políticas de ejecución de PowerShell para restringir la ejecución de scripts de fuentes no confiables. Use herramientas como PowerShell Constrained Language Mode para limitar las capacidades de PowerShell y reducir el riesgo de ejecución de scripts maliciosos. Implemente soluciones avanzadas de protección de puntos finales que puedan detectar y bloquear DLL y scripts maliciosos. Asegúrese de que el software antivirus y antimalware que usa su empresa esté actualizado y configurado para escanear en busca de archivos potencialmente dañinos. Configure la supervisión de red para detectar patrones de tráfico inusuales, como conexiones a dominios sospechosos o comunicaciones inesperadas con dominios de Azure Front Door. Investigue cualquier anomalía de inmediato. Técnicas de MITRE ATT&CK® TácticaTécnicaProcedimientoAcceso inicial (TA0001)Phishing (T1566) Utiliza un sitio web de phishing.Ejecución (TA0002)Ejecución del usuario: archivo malicioso (T1204.002)El usuario ejecuta un archivo .LNK disfrazado de imagen.Ejecución (TA0002)Intérprete de comandos y secuencias de comandos: PowerShell (T1059.001)Comandos de PowerShell integrados ejecutadosEvasión de defensa (TA0005)Enmascaramiento: tipo de archivo de enmascaramiento (T1036.008)Archivo LNK disfrazado de archivo JPGEvasión de defensa (TA0005)Archivos u información ofuscados (T1027)Contiene código shell ofuscado. Protocolo de capa de aplicación de comando y control (TA0011): Protocolos web (T1071.001)Utiliza HTTP para comunicarse. Indicadores de compromiso (IOC) Indicadores Tipo de indicador Descripción7566a8bce13dcbf1137b44776711ac2c471cf54a8bd7891c5b00b091f2aaa796SHA256GAGNANTS_CONCOURS_2024.zipda9122c56c0da8f4e336f811435783b22994a9109162f3be6558aed7ac1c08daSHA2561.jpg.lnk3a169ce08fa1ab70f 452c2bdfe3638805579a5cca1b45eb8ce81f68c98c932daSHA2562.jpg.lnk43cfef5db47162dda0c11320d3fcee76ef83308a7d0b7c9afd16c8dd974834a7SHA2563.jpg.lnkd9b4ed0f77045b79989b31fa32fdb1b461e9602d0c150a4052f9ae6a79a98ff5SHA256KB.dll Regla de Yara regla Loader_Havoc{ meta: author = “Cyble Research and Intelligence Labs” description = “Detecta el cargador de Dll utilizado para entregar la carga útil de Havoc” date = “2024-08-14” os = “Windows” strings: $a1 = “ExecuteShellcode” ascii de palabra completa $a2 = “GetDCEx” ascii de palabra completa $a3 = “EnumFontsW” ascii de palabra completa $a4 = “ReleaseDC” ascii de palabra completa condition: uint16(0) == 0x5A4D y todos ellos } Relacionado