Conclusiones clave Cyble Research and Intelligence Labs (CRIL) ha detectado un sitio de phishing que se hace pasar por una página de descarga de CapCut. El sitio tiene como objetivo engañar a los usuarios para que descarguen software malicioso. Los actores de amenazas (TA) han aprovechado una técnica de secuestro de reputación al incorporar una aplicación legítima firmada por CapCut dentro del paquete descargado malicioso, explotando la confiabilidad de aplicaciones conocidas para eludir los sistemas de seguridad. Esta campaña utiliza una prueba de concepto (PoC) demostrada recientemente que reutiliza la utilidad de compilación JamPlus para ejecutar scripts maliciosos mientras evade la detección. El ataque se desarrolla en múltiples etapas, empleando una combinación de herramientas legítimas, métodos sin archivos y repositorios de código reputados como GitHub para parecer legítimo y eludir eficazmente las medidas de seguridad tradicionales. La carga útil final de esta campaña es una variante de NodeStealer, diseñada para capturar información confidencial del usuario y exfiltrarla a través de un canal de Telegram. Descripción general CapCut, una herramienta de edición de video desarrollada por Bytedance, se ha vuelto cada vez más popular. Esta popularidad se ha extendido a los ataques con temática CapCut, que están en aumento entre los TA. Estos temas se han utilizado con frecuencia en campañas de phishing. Cyble Research & Intelligence Labs (CRIL) identificó anteriormente varios sitios web de phishing que se hacen pasar por el editor de video CapCut, y hemos analizado estos hallazgos en nuestras publicaciones de blog anteriores. Nuestra última investigación descubre una nueva campaña con temática CapCut que implementa ladrones como NodeStealer. Además, los TA han adoptado una técnica recientemente identificada de secuestro de reputación con la utilidad de compilación JamPlus para entregar cargas útiles finales a los sistemas de las víctimas. Esta nueva táctica destaca una tendencia en evolución en las estrategias de ataque destinadas a eludir los controles de seguridad y aumentar la tasa de éxito de las campañas maliciosas. La infección inicial ocurre cuando un usuario descarga un paquete malicioso de un sitio de phishing CapCut. El paquete contiene una aplicación CapCut legítima, la utilidad de compilación JamPlus y un script “.lua” malicioso. Cuando el usuario ejecuta la aplicación CapCut legítima, activa la utilidad de compilación JamPlus, que luego ejecuta un script “.lua” malicioso. Este proceso utiliza el secuestro de reputación para enmascarar la ejecución del script malicioso. Luego, este script descarga un archivo por lotes que posteriormente obtiene y ejecuta la carga útil final desde un servidor remoto. Los TA tienen como objetivo mantener cargas útiles sin archivos siempre que sea posible. Este proceso de varias etapas finalmente implementa una carga útil de robo que se parece a NodeStealer. La imagen a continuación proporciona una descripción general de la cadena de infección. Figura 1: Cadena de infección Detalles técnicos En esta campaña, los TA engañan a los usuarios para que descarguen un paquete malicioso disfrazado de un instalador de CapCut desde un sitio de phishing, como se muestra a continuación. Figura 2: Sitio de phishing Cuando el usuario hace clic en el botón «Descargar» en el sitio de phishing, se inicia la descarga de un archivo llamado «CapCut_{random number}_Installer» desde la URL: «hxxps://www[.]buzón[.]com/scl/fi/6se0kgmo7sbngtdf8r11x/CapCut_7376550521366298640_installer.zip?rlkey=7fxladl3fdhpne6p7buz48kcl&st=pzxtrcqc&dl=1”. Al extraer el archivo descargado, el usuario encuentra lo que parece ser un instalador de CapCut; sin embargo, es una aplicación CapCut legítima en lugar de un instalador, como se muestra en la Figura 3. El paquete también incluye archivos ocultos destinados a actividades maliciosas. Figura 3 – Contenido del archivo Zip sin archivos ocultos Después de revelar los archivos ocultos, descubrimos que el paquete contiene la utilidad de compilación JamPlus y un script “.lua” malicioso, como se muestra a continuación. Figura 4 – Contenido extraído, incluidos los archivos ocultos De forma predeterminada, al iniciar el acceso directo de CapCut desde el escritorio se ejecuta la aplicación CapCut ubicada en “C:\Users\\AppData\Local\CapCut\Apps\capcut.exe”. Este archivo “capcut.exe” identifica la última versión de la aplicación CapCut y luego ejecuta la aplicación adecuada desde la carpeta correspondiente, como se muestra a continuación. Figura 5: flujo de ejecución de la aplicación CapCut legítima En esta campaña, TA aprovechó esta técnica al intentar ejecutar una utilidad de compilación JamPlus renombrada en lugar de la aplicación CapCut real, como se muestra a continuación. Figura 6: aplicación CapCut ejecutando la utilidad JamPlus Build En nuestras pruebas, la utilidad JamPlus no se ejecutó porque el archivo no tenía el nombre esperado, “capcut.exe”, lo que indica un posible error del TA al nombrar el archivo. Sin embargo, cambiar el nombre del archivo a “capcut.exe” desencadena con éxito la ejecución de la utilidad JamPlus Build. Tras la ejecución exitosa, el generador lee las instrucciones de un archivo “. jam”, que está configurado para identificar el script “.lua” malicioso, como se muestra a continuación. Figura 7 – Contenido del archivo .jam Después de identificar el script malicioso “.lua”, la utilidad de compilación JamPlus carga el archivo de script “.lua”, que ejecuta un comando de shell, como se muestra en la figura siguiente. Este comando emplea “curl” para descargar silenciosamente un archivo por lotes desde un servidor remoto y guardarlo como “C:\Users\Public\steal.bat”. Luego ejecuta el archivo por lotes descargado. Este enfoque demuestra cómo los TA utilizaron una aplicación CapCut legítima con la utilidad de compilación JamPlus para evadir Smart App Control y evitar activar alertas de seguridad. Figura 8 – Contenido del archivo .Lua El archivo por lotes contiene varios comandos de PowerShell que realizan las siguientes acciones: 1. Descarga un archivo llamado “WindowSafety.bat” desde una URL remota “hxxps://raw[.]githubusercontent.com/LoneNone1807/batman/main/startup” y lo guarda en la carpeta de inicio, lo que garantiza que se ejecute automáticamente en el próximo inicio del sistema. 2. Descarga un archivo ZIP llamado “Document.zip” desde otra URL remota “hxxps://github[.]com/LoneNone1807/batman/raw/main/Document.zip” y lo guarda en el directorio público (C:\Users\Public\Document.zip). 3. Extrae el contenido de “Document.zip” en una carpeta llamada “Document” dentro del directorio público (“C:\Users\Public\Document”). 4. Finalmente, el script por lotes ejecuta un script de Python llamado “sim.py”, ubicado en la carpeta extraída. La imagen a continuación muestra el contenido del script de Python. Figura 9 – Contenido de sim.py El script de Python recién lanzado recupera datos codificados en base64 de un nuevo servidor remoto, como se resalta en la imagen anterior, los decodifica y ejecuta la carga útil resultante directamente en la memoria sin guardarlo en el disco. Esta carga útil es un malware de robo de información basado en Python identificado como NodeStealer. NodeStealer NodeStealer es un malware sofisticado que apunta a una amplia gama de datos confidenciales en la máquina de una víctima. Roba credenciales de inicio de sesión, cookies, detalles de tarjetas de crédito y datos de llenado automático de navegadores web basados ​​​​en Chromium y Gecko. Además, extrae información de Facebook Ads Manager, cuentas de Facebook Business y páginas de gráficos de API de Facebook. NodeStealer también apunta a extensiones de navegador, incluidas billeteras de criptomonedas, administradores de contraseñas, VPN y aplicaciones de juegos. Toda la información recopilada luego se filtra a los TA a través de Telegram. Este ataque ha sido atribuido a un actor de amenazas que opera desde Vietnam. Patrón más amplio de ataques También hemos identificado otra campaña en la que los TA utilizaron técnicas similares para entregar RedLine Stealer. En esta campaña, emplearon una aplicación Postman legítimamente firmada junto con la utilidad de compilación JamPlus. La imagen a continuación muestra que el paquete malicioso incluye la aplicación Postman. Figura 10: Aplicación Postman utilizada en una campaña similar Conclusión El secuestro exitoso de aplicaciones confiables y la utilidad de compilación JamPlus ilustra un método sofisticado para eludir Smart App Control sin activar alertas de seguridad. Este enfoque eleva significativamente la complejidad y la efectividad de los ciberataques, complicando los esfuerzos de detección y defensa. La implementación de NodeStealer, que se enfoca en la información confidencial del sistema de la víctima, resalta las crecientes preocupaciones y dificultades dentro del panorama de la ciberseguridad. Recomendaciones Antes de acceder o descargar desde cualquier sitio, es esencial verificar diligentemente las URL. Considere deshabilitar o limitar la ejecución de lenguajes de scripting en las estaciones de trabajo y servidores de los usuarios si no son esenciales para fines legítimos. Implemente un monitoreo y registro integral para detectar actividades inusuales asociadas con aplicaciones confiables. Emplee la lista blanca de aplicaciones para garantizar que solo las aplicaciones aprobadas puedan ejecutarse en los sistemas. Esto ayuda a prevenir la ejecución de aplicaciones no autorizadas. Manténgase actualizado con la última inteligencia de amenazas y tendencias de ciberseguridad para comprender las nuevas tácticas y técnicas utilizadas por los atacantes. Este conocimiento ayuda a adaptar las estrategias de defensa en consecuencia. Configure el monitoreo a nivel de red para detectar actividades inusuales o exfiltración de datos por malware. Bloquee actividades sospechosas para prevenir posibles infracciones. Técnicas de MITRE ATT&CK® Táctica ID de la técnica Nombre de la técnica Acceso inicial (TA0027)Phishing (T1660)Distribución de malware a través de un sitio de phishingEjecución (TA0002) Ejecución del usuario (T1204)El usuario debe ejecutar manualmente el archivo descargado del sitio de phishing. Ejecución (TA0002)Python (T1059.006) El ladrón de Python se utiliza para atacar a los usuarios de Windows Evasión de defensa (TA0005) Enmascaramiento (T1036.008) Descarga un archivo disfrazado de aplicación legítima. Acceso a credenciales (TA0006) Robo de cookies de sesión web (T1539) Roba cookies del navegador Recopilación (TA0009) Archivar datos recopilados (T1560) El ladrón comprime los datos robados con la extensión ZIP. Exfiltración (TA0010) Exfiltración a través de un servicio web (T1567) Utiliza el canal de Telegram para exfiltrar datos Indicadores de compromiso (IOC) Indicadores Tipo de indicador Descripción 8e6bbe8ac1ecdd230a4dcafa981ff00663fae06f7b85b117a87917b6f04f894fSHA256CapCut_7376550521366298640_installer.zip4e213bd0a127f1bb24c4c0d971c2727097b04eed9c6e62a57110d168ccc3ba10SHA256JamPlus Builder – Archivo POC56d3ba2b661e8d8dfe38bcef275547546b476c35d18aa4ec89eea73c2e2aeb7cSHA256Python Stealerhxxps://raw[.]contenido de usuario de github[.]com/LoneNone1807/batman/main/steal[.]batURLServidor remotohxxps://cap-cutdownload[.]com/URLPhishing site169f7d182f7838b75737c23e1b08c4b6b303d2d6a1cb73cdb87bd9644878a027SHA256Copyright-infringement-images.zip Referencias https://www.netskope.com/blog/new-python-nodestealer-goes-beyond-facebook-credentials-now-stealing-all-browser-cookies-and-login-credentials https://isc.sans.edu/diary/From+Highly+Ofuscated+Batch+File+to+XWorm+and+Redline/31204 https://unit42.paloaltonetworks.com/nodestealer-2-targets-facebook-business https://www.elastic.co/security-labs/desmantelamiento-del-control-de-aplicaciones-inteligentes Relacionado