Fuente original: Inteligencia sobre amenazas de seguridad de Microsoft

En los últimos años, el mercado de las criptomonedas se ha expandido considerablemente, ganando el interés de inversores y actores de amenazas. Los ciberdelincuentes han utilizado las criptomonedas en sí para sus operaciones, en particular para el pago de rescates en ataques de ransomware, pero también hemos observado que actores de amenazas apuntan directamente a organizaciones dentro de la industria de las criptomonedas para obtener ganancias financieras. Los ataques dirigidos a este mercado han adoptado muchas formas, incluido el fraude, la explotación de vulnerabilidades, aplicaciones falsas y el uso de ladrones de información, mientras los atacantes intentan hacerse con fondos en criptomonedas.

También estamos viendo ataques más complejos en los que el actor de la amenaza muestra un gran conocimiento y preparación, tomando medidas para ganarse la confianza de su objetivo antes de implementar cargas útiles. Por ejemplo, Microsoft investigó recientemente un ataque en el que el actor de amenazas, rastreado como DEV-0139, aprovechó los grupos de chat de Telegram para apuntar a empresas de inversión en criptomonedas. DEV-0139 se unió a grupos de Telegram utilizados para facilitar la comunicación entre clientes VIP y plataformas de intercambio de criptomonedas e identificó su objetivo entre los miembros. El actor de amenazas se hizo pasar por representantes de otra empresa de inversión en criptomonedas y, en octubre de 2022, invitó al objetivo a un grupo de chat diferente y fingió pedir comentarios sobre la estructura de tarifas utilizada por las plataformas de intercambio de criptomonedas. El actor de la amenaza tenía un conocimiento más amplio de esta parte específica de la industria, lo que indica que estaba bien preparado y consciente del desafío actual que pueden tener las empresas objetivo.

Después de ganarse la confianza del objetivo, DEV-0139 envió un archivo Excel armado con el nombre OKX Binance & Huobi VIP fee comparision.xls que contenía varias tablas sobre estructuras de tarifas entre las empresas de intercambio de criptomonedas. Los datos del documento probablemente eran precisos para aumentar su credibilidad. Este archivo de Excel armado inicia la siguiente serie de actividades:

  1. Una macro maliciosa en el archivo de Excel armado abusa de UserForm de VBA para ofuscar el código y recuperar algunos datos.

  2. La macro maliciosa coloca otra hoja de Excel incrustada en el formulario y la ejecuta en modo invisible. Dicha hoja de Excel está codificada en base64 y se coloca en C:\ProgramData\Microsoft Media\ con el nombre VSDB688.tmp

  3. El archivo VSDB688.tmp descarga un archivo PNG que contiene tres ejecutables: un archivo legítimo de Windows llamado logagent.exe, una versión maliciosa de la DLL wsock32.dll y una puerta trasera codificada con XOR.

  4. El archivo logagent.exe se utiliza para descargar el wsock32.dll malicioso, que actúa como un proxy DLL para el wsock32.dll legítimo. El archivo DLL malicioso se utiliza para cargar y descifrar la puerta trasera codificada con XOR que permite al actor de amenazas acceder de forma remota al sistema infectado.

Figura 1. Descripción general del ataque

Una investigación más profunda a través de nuestra telemetría condujo al descubrimiento de otro archivo que utiliza la misma técnica de proxy DLL. Pero en lugar de un archivo Excel malicioso, se entrega en un paquete MSI para una aplicación CryptoDashboardV2, con fecha de junio de 2022. Esto puede sugerir que el mismo actor de amenazas también ejecuta otras campañas relacionadas, utilizando las mismas técnicas.

En esta publicación de blog, presentaremos los detalles descubiertos en nuestra investigación del ataque contra una empresa de inversión en criptomonedas, así como el análisis de archivos relacionados, para ayudar a organizaciones similares a comprender este tipo de amenaza y prepararse para posibles ataques. Los investigadores de Volexity también publicaron recientemente sus hallazgos sobre este ataque.

Al igual que con cualquier actividad observada de un actor estatal, Microsoft notifica directamente a los clientes que han sido atacados o comprometidos, proporcionándoles la información que necesitan para proteger sus cuentas. Microsoft utiliza las designaciones DEV-#### como un nombre temporal dado a un grupo de actividad de amenazas desconocido, emergente o en desarrollo, lo que permite que Microsoft Threat Intelligence Center (MSTIC) lo rastree como un conjunto único de información hasta que alcancemos un nivel alto. confianza sobre el origen o identidad del actor detrás de la actividad. Una vez que cumple los criterios, un DEV se convierte en un actor nombrado.

Compromiso inicial

Para identificar los objetivos, el actor de amenazas buscó a miembros de grupos de inversión en criptomonedas en Telegram. En el ataque específico, DEV-0139 se puso en contacto con su objetivo el 19 de octubre de 2022 creando un grupo secundario de Telegram con el nombre <NameOfTheTargetedCompany> <> OKX Fee Adjustment e invitando a tres empleados. El atacante creó perfiles falsos utilizando datos de empleados de la empresa OKX. La siguiente captura de pantalla muestra las cuentas reales y las maliciosas de dos de los usuarios presentes en el grupo.

Figura 2. Perfiles legítimos de empleados de intercambios de criptomonedas (izquierda) y perfiles falsos creados por el actor de amenazas (derecha)

Vale la pena señalar que el actor de la amenaza parece tener un amplio conocimiento de la industria de las criptomonedas y de los desafíos que puede enfrentar la empresa objetivo. El actor de amenazas hizo preguntas sobre las estructuras de tarifas, que son las tarifas que utilizan las plataformas de intercambio de cifrado para realizar transacciones. Las comisiones son un gran desafío para los fondos de inversión ya que representan un costo y deben optimizarse para minimizar el impacto en el margen y las ganancias. Como muchas otras empresas de esta industria, los mayores costos provienen de las tarifas cobradas por las bolsas. Este es un tema muy específico que demuestra cómo el actor de la amenaza estaba avanzado y bien preparado antes de contactar a su objetivo.

Después de ganarse la confianza del objetivo, el actor de la amenaza envió un documento Excel armado al objetivo que contenía más detalles sobre las tarifas para parecer legítimo. El actor de amenazas aprovechó la discusión sobre la estructura de tarifas como una oportunidad para pedirle al objetivo que abriera el archivo Excel armado y completara su información.

Análisis de archivos de Excel armados

El archivo Excel armado, que tiene el nombre de archivo OKX Binance & Huobi VIP fee comparision.xls (Sha256: abca3253c003af67113f83df2242a7078d5224870b619489015e4fde060acad0), está bien elaborado y contiene información legítima sobre las tarifas actuales utilizadas por algunos intercambios de cifrado. Los metadatos extraídos mostraron que el archivo fue creado por el usuario Wolf:

Figura 3. La información en el archivo Excel malicioso

La macro está ofuscada y abusa de UserForm (una función utilizada para crear ventanas) para almacenar datos y variables. En este caso, el nombre del UserForm es IFUZYDTTOP, y la macro recupera la información con el siguiente código IFUZYDTTOP.MgQnQVGb.Caption donde MgQnQVGb es el nombre de la etiqueta en el UserForm y .caption permite recuperar la información almacenada en el UserForm. .

La siguiente tabla muestra los datos recuperados del UserForm:

La macro recupera algunos parámetros del UserForm, así como otro archivo XLS almacenado en base64. El archivo XLS se coloca en el directorio C:\ProgramData\Microsoft Media como VSDB688.tmp y se ejecuta en modo invisible.

Figura 4. El código desofuscado para cargar la hoja de trabajo extraída en modo invisible.

Además, la hoja principal del archivo de Excel está protegida con la contraseña del dragón para alentar al objetivo a habilitar las macros. Luego, la hoja queda desprotegida después de instalar y ejecutar el otro archivo de Excel almacenado en Base64. Es probable que esto se utilice para engañar al usuario para que habilite macros y no levantar sospechas.

Hoja de trabajo extraída

El segundo archivo de Excel, VSDB688.tmp (Sha256: a2d3c41e6812044573a939a51a22d659ec32aea00c26c1a2fdf7466f5c7e1ee9), se utiliza para recuperar un archivo PNG que la macro analiza más tarde para extraer dos archivos ejecutables y la puerta trasera cifrada. A continuación se muestran los metadatos de la segunda hoja de trabajo:

Figura 5. El segundo archivo está completamente vacío pero contiene la misma técnica de abuso de UserForm que la primera etapa.

La siguiente tabla muestra los datos desofuscados recuperados del formulario de usuario:

La macro recupera algunos parámetros del formulario de usuario y luego descarga un archivo PNG desde hxxps://od.lk/d/d021d412be456a6f78a0052a1f0e3557dcfa14bf25f9d0f1d0d2d7dcdac86c73/Background.png. El archivo ya no estaba disponible en el momento del análisis, lo que indica que el actor de la amenaza probablemente lo implementó solo para este ataque específico.

Figura 6. Código desofuscado que muestra la descarga del archivo Background.png

Luego, el PNG se divide en tres partes y se escribe en tres archivos diferentes: el archivo legítimo logagent.exe, una versión maliciosa de wsock32.dll y la puerta trasera cifrada XOR con el GUID (56762eb9-411c-4842-9530-9922c46ba2da). Los tres archivos se utilizan para cargar la carga útil principal en el sistema de destino.

Figura 7. Los tres archivos se escriben en C:\\ProgramData\SoftwareCache\ y se ejecutan utilizando la API CreateProcess

Análisis del cargador

Dos de los tres archivos extraídos del archivo PNG, logagent.exe y wsock32.dll, se utilizan para cargar la puerta trasera cifrada XOR. Las siguientes secciones presentan nuestro análisis en profundidad de ambos archivos.

logagent.exe

Logagent.exe (Hash: 8400f2674892cdfff27b0dfe98a2a77673ce5e76b06438ac6110f0d768459942) es una aplicación de sistema legítima que se utiliza para registrar errores de Windows Media Player y enviar información para solucionar problemas.

El archivo contiene los siguientes metadatos, pero no está firmado:

Logagent.exe importa la función de wsock32.dll, de la que el actor de amenazas abusa para cargar código malicioso en el sistema de destino. Para activar y ejecutar el archivo malicioso wsock32.dll, se ejecuta logagent.exe con los siguientes argumentos previamente recuperados por la macro: 56762eb9-411c-4842-9530-9922c46ba2da /shadow. Luego, wsock32.dll recupera ambos argumentos. El GUID 56762eb9-411c-4842-9530-9922c46ba2da es el nombre de archivo para que se cargue el wsock32.dll malicioso y /shadow se usa como clave XOR para descifrarlo. Ambos parámetros son necesarios para que el malware funcione, lo que podría dificultar el análisis aislado.

Figura 8. Ejecución de la línea de comando desde el proceso en ejecución logagent.exe

Wsock32.dll

El wsock32.dll legítimo es la API de Windows Socket utilizada por las aplicaciones para manejar conexiones de red. En este ataque, el actor de amenazas utilizó una versión maliciosa de wsock32.dll para evadir la detección. El wsock32.dll malicioso se carga mediante logagent.exe a través de la carga lateral de DLL y utiliza proxy DLL para llamar a las funciones legítimas del wsock32.dll real y evitar la detección. El proxy de DLL es una técnica de secuestro en la que una DLL maliciosa se ubica entre la aplicación que llama a la función exportada y una DLL legítima que implementa esa función exportada. En este ataque, el wsock32.dll malicioso actúa como proxy entre logagent.exe y el wsock32.dll legítimo.

Es posible notar que la DLL está reenviando la llamada a las funciones legítimas mirando la tabla de direcciones de importación:

Figura 9. Importar tabla de direcciones desde

Figura 10. La recuperación de datos con PeStudio reveló el nombre de archivo original del archivo malicioso wsock32.dll.

Cuando se carga el wsock32.dll malicioso, primero recupera la línea de comando y verifica si el archivo con el GUID como nombre de archivo está presente en el mismo directorio usando la API CreateFile para recuperar un identificador de archivo.

Figura 11. Verificación de la presencia del archivo 56762eb9-411c-4842-9530-9922c46ba2da para descifrado

El wsock32.dll malicioso carga y decodifica el implante final en la memoria con el nombre GUID que se utiliza para acceder remotamente a la máquina infectada.

Una vez que el archivo se carga en la memoria, otorga acceso remoto al actor de la amenaza. En el momento del análisis, no pudimos recuperar la carga útil final. Sin embargo, identificamos otra variante de este ataque y recuperamos la carga útil, que se analiza en la siguiente sección. Los implantes identificados se conectaban nuevamente al mismo servidor de comando y control (C2).

Ataque relacionado

Identificamos otro archivo que utiliza un mecanismo similar al logagent.exe y entrega la misma carga útil. El cargador está empaquetado como un paquete MSI y presenta una aplicación llamada CryptoDashboardV2 (Hash: e5980e18319027f0c28cd2f581e75e755a0dace72f10748852ba5f63a0c99487). Después de instalar MSI, utiliza una aplicación legítima llamada tplink.exe para descargar la DLL maliciosa llamada DUser.dll y también utiliza proxy de DLL.

Figura 12. Detalles de instalación del archivo MSI

Una vez instalado el paquete, ejecuta y carga lateralmente la DLL usando el siguiente comando: C:\Users\user\AppData\Roaming\Dashboard_v2\TPLink.exe” 27E57D84-4310-4825-AB22-743C78B8F3AA /sven, donde notablemente utiliza un GUID diferente.

Un análisis más detallado del DUser.dll malicioso mostró que su nombre original también es HijackingLib.dll, igual que el malicioso wsock32.dll. Esto podría indicar el uso de la misma herramienta para crear estos servidores proxy DLL maliciosos. A continuación se muestran los detalles del archivo de DUser.dll:

Una vez que la DLL se está ejecutando, carga y decodifica el implante en la memoria y comienza a marcar el mismo dominio. En ese caso, el implante utiliza el nombre GUID 27E57D84-4310-4825-AB22-743C78B8F3AA y la clave XOR /sven.

Análisis de implantes

La carga útil decodificada en la memoria por la DLL maliciosa es un implante utilizado por el actor de la amenaza para acceder de forma remota a la máquina comprometida. Pudimos obtener el de la segunda variante que descubrimos. A continuación se muestran los detalles de la carga útil:

Detalles de detección

Antivirus de Microsoft Defender

Microsoft Defender Antivirus detecta componentes de amenazas como el siguiente malware:

  • Descargador de troyanos: O97M/Wolfic.A

  • Descargador de troyanos:O97M/Wolfic.B

  • Descargador de troyanos: O97M/Wolfic.C

  • Descargador de troyanos:Win32/Wolfic.D

  • Descargador de troyanos:Win32/Wolfic.E

  • Comportamiento:Win32/WolficDownloader.A

  • Comportamiento:Win32/WolficDownloader.B

Microsoft Defender para punto final

Las alertas con los siguientes títulos en el centro de seguridad pueden indicar actividad de amenazas en su red:

  • Un ejecutable cargó un dll inesperado

  • Secuestro de orden de búsqueda de DLL

  • Se evitó el malware 'Wolfic'