Investigadores desentrañan una sofisticada campaña de ciberataques notable por su cadena de carga en múltiples etapas. El ataque evoluciona desde un simple correo de phishing hasta el despliegue de un backdoor comercial llamado PureRAT, utilizando evasión de defensas, ejecución en memoria y exfiltración de datos por Telegram.
Resumen de la Cadena de Ataque
La campaña se distingue por su habilidad para encadenar loaders en memoria y abusar de utilidades legítimas del sistema (living-off-the-land).
- Phishing Inicial: La víctima recibe un archivo ZIP disfrazado de aviso de infracción de copyright. Dentro, hay un ejecutable legítimo (lector PDF, a menudo firmado) y una DLL maliciosa (version.dll) que explota el DLL sideloading.
- Sideload → Bootstrap: La DLL maliciosa toma el control y utiliza utilidades del sistema (certutil.exe) junto con un archivo renombrado (images.png, que es en realidad WinRAR) para decodificar y extraer el payload de la siguiente etapa.
- Intérprete Python y Loaders en Memoria: El payload extraído incluye un intérprete Python renombrado (svchost.exe) y un script ofuscado. Este script carga payloads codificados (Base85/Base64), los ejecuta directamente en memoria y aplica múltiples capas de cifrado híbrido (RSA + AES + RC4 + XOR) para complicar el análisis.
- Infostealer (Etapa 2): Se ejecuta un infostealer basado en Python que roba credenciales, cookies, tarjetas y datos de autofill de navegadores (Chromium/Firefox). Los datos robados se empaquetan en un ZIP y se exfiltran inmediatamente a través de la API de Telegram Bot a canales controlados por el atacante (se observó el handle @LoneNone).
- Pivot a .NET (Etapa 3+): El actor descarga binarios más grandes desde servicios de hosting públicos (como 0x0[.]st), descifra un ensamblado .NET e inyecta este código en procesos legítimos (RegAsm.exe) mediante la técnica de process hollowing.
- PureRAT (Etapa Final): La etapa final instala el backdoor comercial PureRAT, que proporciona C2 cifrado, persistencia y módulos que otorgan control total y robusto del host al atacante.
TTPs e IOCs
Indicadores de Compromiso (IOCs)
- Dominios / Servicios Observados: El acortador is[.]gd y el servicio de hosting 0x0[.]st fueron utilizados para el despliegue de las etapas siguientes.
- Canal de Exfiltración: El handle de Telegram atribuido es @LoneNone. Se observaron IDs de chats específicos de Telegram usados para el envío principal de datos (-1002460490833) y para fallbacks o notificaciones.
- Rutas y Archivos Anómalos:
- Archivos extraídos a C:UsersPublicWindows.
- Intérprete Python renombrado como C:UsersPublicWindowssvchost.exe (no es el proceso legítimo de Windows).
- Archivos señuelo renombrados como images.png o Document.pdf conteniendo blobs codificados.
- Persistencia: Clave Run en el registro con un nombre sospechoso (ej., simulando “Windows Update Service”) apuntando a: cmd /c start C:UsersPublicWindowssvchost.exe C:UsersPublicWindowsLibimages.png <arg>.
TTPs de Comportamiento a Detectar
- Process Hollowing: Procesos legítimos (RegAsm.exe) lanzados en estado suspendido y luego alterados para inyectar código.
- Uso de Utilidades: Ejecuciones de certutil -decode seguidas de ejecuciones anómalas desde carpetas públicas (C:UsersPublicWindows).
- Ejecución en Memoria: Actividad de PowerShell/Python que decodifica grandes strings Base85/Base64 y usa funciones como exec() para ejecutar payloads directamente en memoria.
- Tráfico de Exfiltración: Tráfico saliente hacia la API de Telegram Bot desde hosts internos en contextos inusuales.
Recomendaciones
Crítico
- Caza y Aislamiento: Cazar y aislar inmediatamente cualquier instancia de svchost.exe que se ejecute desde la ruta C:UsersPublicWindows y recopilar evidencia forense.
- Bloqueo de IOCs: Bloquear los dominios de hosting (0x0[.]st) y URLS acortadas observadas (is[.]gd) en proxies, DNS y firewalls.
- Restricción de Ejecución: Deshabilitar la ejecución automática de binarios y restringir permisos NTFS en carpetas públicas críticas como C:UsersPublic.
Alto
- Hunt Proactivo: Iniciar un hunt en el EDR/SIEM buscando los TTPs avanzados: process hollowing, la secuencia certutil decode + winrar renamed, y patrones de in-memory loads.
- Actualizar Detecciones: Añadir reglas para detectar patrones de Base85/exec en Python y tráfico hacia la API de Telegram Bot desde hosts de usuario.
Estratégico
- Harden de Correo Electrónico: Implementar políticas de sandboxing y bloqueo de adjuntos que contengan archivos ZIP con binarios DLL/EXE junto con ejecutables legítimos, ya que esto facilita el DLL sideloading.
- Control de Ejecución: Implementar AppLocker o Windows Defender Application Control (WDAC) para impedir la ejecución de binarios no firmados o no autorizados en sistemas críticos.
- Educación Específica: Concientizar a los usuarios sobre los riesgos del DLL sideloading y de la ejecución de archivos comprimidos desde correos de phishing, especialmente aquellos que simulan avisos legales.
