Investigadores anunciaron que el grupo ruso COLDRIVER (también conocido como Star Blizzard o Callisto) ha desplegado tres nuevas familias de malware: NOROBOT, YESROBOT y MAYBEROBOT, solo cinco días después de que su herramienta anterior, LOSTKEYS, fuera revelada públicamente. Este movimiento muestra un aumento drástico en el ritmo operativo y una estrategia de “quemar” herramientas viejas.
La Nueva Cadena de Entrega: Evasión y Persistencia
Las nuevas familias de malware forman una cadena de infección dirigida a objetivos de alto valor como ONGs, asesores de políticas y disidentes, con un énfasis en la evasión y la persistencia en sistemas previamente comprometidos.
Cadena de Infección
- Cebo ClickFix: El ataque inicia con un cebo de ingeniería social tipo “ClickFix” o “captcha falso” que engaña al usuario para que ejecute un archivo malicioso bajo el pretexto de una verificación de “no soy robot”.
- NOROBOT (DLL Loader): El primer componente es una DLL que se descarga y ejecuta a través de rundll32.exe. NOROBOT está en constante evolución y utiliza la división de claves criptográficas en varios componentes para dificultar el análisis forense.
- YESROBOT / MAYBEROBOT (Cargas útiles):
- YESROBOT (basado en Python) fue rápidamente abandonado porque requería la instalación de Python 3.8, lo cual era visible.
- MAYBEROBOT (basado en PowerShell) se convirtió en la etapa estable, siendo más ligero y adaptable para la persistencia.
Táctica de Broker y Evolución: El ataque implica un cambio estratégico. Si bien COLDRIVER tradicionalmente robaba credenciales, esta campaña apunta a instalar malware persistente en sistemas que ya estaban “pre-accedidos” con credenciales robadas. La segmentación del malware en tres piezas y la división de claves apuntan a una estrategia de supervivencia ante detecciones ya una madurez operativa.
Recomendaciones
- Monitoreo de la Cadena de Infección
- Alertas de rundll32.exe: Configurar alertas para la actividad relacionada con los nombres NOROBOT, YESROBOT y MAYBEROBOT.
- Detección de TTP: Verifique la ejecución reciente de rundll32.execon parámetros sospechosos o que descarguen librerías DLL desde URL poco comunes.
- Filtrado C2: Filtrar tráfico saliente hacia C2s no habituales, especialmente HTTPS con cabeceras o User-Agents inusuales.
- Protección de Endpoints y Capa de Usuario
- Restricción de ejecución: Si es posible, deshabilitar la ejecución de DLL víarundll32.exe o restringir su uso mediante Políticas de Grupo (GPO).
- Capacitación: Educar a los usuarios sobre engaños de tipo “captcha falso” o “verificación urgente” que solicitan ejecutar un programa o script.
- Mínimo Privilegio: Aplicar el principio de privilegio mínimo. Los usuarios no deben tener permisos para ejecutar instalaciones no supervisadas ni activar scripts con derechos elevados.
- Endurecimiento del Sistema
- Actualización y control: Mantener los sistemas y software actualizados. Revisar y reducir el uso de agentes y herramientas de administración que permiten la ejecución de scripts remotos.
- Integridad: Verifique la integridad de los sistemas críticos mediante detección de anomalías y listas blancas de ejecución.
