Una nueva campaña de phishing se dirige a organizaciones en países de Europa del Este con el malware Remcos RAT con la ayuda de una antigua omisión de management de cuentas de usuario de Home windows descubierta hace más de dos años.
El uso de directorios de confianza simulados para eludir el Management de cuentas de usuario de Home windows se destaca en el ataque, ya que se conoce desde 2020, pero sigue siendo efectivo en la actualidad.
La última campaña de Remcos fue observada y analizada por investigadores de SentinelOne, quienes documentaron sus hallazgos en un informe publicado hoy.
Comienza con una factura falsa
Los correos electrónicos de la campaña de phishing se envían desde dominios de nivel superior que coinciden con el país del destinatario y, por lo common, se enmascaran como facturas, documentos de licitación y otros documentos financieros.
Los correos electrónicos no contienen mucho texto aparte de lo que se requiere para llamar la atención del destinatario sobre el archivo adjunto, un archivo tar.lz que contiene el ejecutable DBatLoader.
Una elección tan inusual de formato de archivo cut back las posibilidades de que las víctimas abran con éxito el archivo adjunto, pero también ayuda a evadir la detección del software program antivirus y las herramientas de seguridad del correo electrónico.
La carga útil de la primera etapa del cargador de malware se disfraza como un documento de Microsoft Workplace, LibreOffice o PDF utilizando extensiones dobles e íconos de aplicaciones para engañar a la víctima para que lo abra.
Al iniciar el cargador de malware, se obtiene una carga útil de segunda etapa desde un servicio de nube pública, como Microsoft OneDrive o Google Drive.
Sentinel One informa que, en un caso, se abusó del servicio en la nube por alojar DBatLoader durante más de un mes, aunque no está claro si los atacantes usaron su propia cuenta o una comprometida con un historial limpio.
Abuso de carpetas “de confianza” simuladas
Antes de cargar Remcos RAT, DBatLoader crea y ejecuta un script por lotes de Home windows para abusar de un método de omisión de UAC de Home windows documentado en 2020.
El método, demostrado por primera vez en Home windows 10 por el investigador de seguridad Daniel Gebert, implica el uso de un combinación de secuestro de DLL y directorios de confianza simulados para eludir UAC y ejecutar código malicioso sin avisar al usuario.
Home windows UAC es un mecanismo de protección que Microsoft introdujo en Home windows Vista, solicitando a los usuarios que confirmen la ejecución de aplicaciones de alto riesgo.
Home windows confía en algunas carpetas, como C:WindowsSystem32, lo que permite que los archivos ejecutables se eleven automáticamente sin mostrar un indicador de UAC.
Un directorio simulado es un imitación directorio con un espacio last. Por ejemplo, “C:WindowsSystem32” es una carpeta legítima y se considera una ubicación de confianza en Home windows. Un directorio simulado se vería como “C:WindowsSystem32”, con un espacio adicional después de C:Home windows.
El problema es que algunos programas de Home windows, como el Explorador de archivos, tratan “C:Home windows” y “C:Home windows” como la misma carpeta, engañando así al sistema operativo para que piense que C:WindowsSystem32 es una carpeta de confianza y debería haga que sus archivos se eleven automáticamente sin un aviso de UAC.
El script utilizado por DBatLoader, en este caso, crea directorios ficticios de confianza de la misma manera, creando una carpeta “C:WindowsSystem32” y copiando ejecutables legítimos (“easinvoker.exe”) y DLL maliciosos (“netutils.dll” ) a ello.
“easinvoker.exe es inclined al secuestro de DLL, lo que permite la ejecución de netutils.dll malicioso en su contexto”, explica Sentinel One
“easinvoker.exe es un ejecutable elevado automáticamente, lo que significa que Home windows eleva automáticamente este proceso sin emitir un aviso de UAC si se encuentra en un directorio de confianza; el directorio simulado %SystemRootpercentSystem32 garantiza que se cumpla este criterio”.
El cargador de malware agrega el script malicioso (“KDECO.bat”) que se oculta en la DLL a la lista de exclusión de Microsoft Defender y luego establece la persistencia para Remcos mediante la creación de una nueva clave de registro.
Eventualmente, Remcos se ejecuta a través de la inyección de procesos, configurado con capacidades de registro de teclas y captura de pantalla.
Sentinel One sugiere que los administradores del sistema configuren Home windows UAC para “Notificar siempre”, aunque esto podría ser demasiado obstructivo y ruidoso.
Los administradores también deben monitorear las creaciones de archivos sospechosos o las ejecuciones de procesos en las rutas del sistema de archivos de confianza con espacios finales, especialmente las carpetas que contienen la cadena “Home windows”.
