Un conocido actor de amenazas en el malware como servicio (MaaS) La empresa conocida como “Venom Spider” continúa ampliando sus capacidades para los ciberdelincuentes que utilizan su plataforma, con una nueva puerta trasera y un nuevo cargador detectados en dos ataques separados en los últimos dos meses.
Los investigadores de Zscaler ThreatLabz descubrieron campañas entre agosto y octubre de este año que explotaban una puerta trasera llamada RevC2, así como un cargador llamado Venom Loader, en ataques que utilizaban herramientas MaaS conocidas de Venom Spider (también conocido como Golden Chickens), según una publicación de blog publicado el 2 de diciembre.
RevC2 utiliza WebSockets para comunicarse con su servidor de comando y control (C2) y puede robar cookies y contraseñas, tráfico de red proxy y habilitar la ejecución remota de código (RCE). Venom Loader, a su vez, utiliza el nombre de la computadora de la víctima para codificar las cargas útiles, personalizándolas para cada víctima como táctica de personalización adicional.
Venom Spider es un actor de amenazas conocido por ofrecer varias herramientas MaaS como VenomLNK, TerracargadorTerraStealer y TerraCryptor que son ampliamente utilizados por grupos como FIN6 y Cobalt para ciberataques. De hecho, se vio a FIN6 aprovechando la plataforma MaaS de Venom Spider en octubre, en una campaña de phishing difundir una nueva puerta trasera denominada “more_eggs” capaz de ejecutar cargas útiles de malware secundarias.
Incluso “Más_huevos”
Al parecer, esta plataforma ha sido mejorada nuevamente, esta vez con dos nuevas familias de malware observadas en recientes campañas de phishing. RevC2, observado por investigadores durante una campaña que se desarrolló de agosto a septiembre, utilizó un señuelo de documentación API para entregar la nueva carga útil.
El ataque comenzó con un archivo VenomLNK que contenía un script por lotes ofuscado (BAT) que, cuando se ejecuta, descarga una imagen PNG del sitio web hxxp://gdrive.[.]resto:8080/api/API.png. La imagen PNG tiene como objetivo atraer a la víctima con un documento titulado “Documentación de API de APFX Media”.
Cuando se ejecutaba, RevC2 utilizó dos comprobaciones para criterios específicos del sistema y luego se ejecutó solo si ambas pasaban, para garantizar que se lanzara como parte de una cadena de ataque, no en entornos de análisis de ataque como entornos sandbox.
Una vez lanzada, las capacidades de la puerta trasera incluyen la capacidad de: comunicarse con el C2 usando una biblioteca de C++ llamada “websocketpp”; robar contraseñas y cookies de los navegadores Chromium; tomar capturas de pantalla del sistema de la víctima; datos de red proxy utilizando el protocolo SOCK5; y ejecutar comandos como un usuario diferente usando las credenciales robadas.
Una segunda campaña, que se desarrolló entre septiembre y octubre, utilizó un señuelo de criptomonedas para difundir Venom Loader, que a su vez difundió una puerta trasera de JavaScript que ofrecía capacidades RCE que los investigadores denominaron “More_eggs lite”. El malware se llama así porque tiene menos capacidades que los “more_eggs” descubiertos anteriormente, señaló en la publicación Muhammed Irfan VA, investigador de seguridad de ThreatLabz.
“Si bien se trata de una puerta trasera JS proporcionada a través de VenomLNK, la variante sólo incluye la capacidad de realizar RCE”, escribió.
Una característica notable de Venom Loader es que el archivo DLL utilizado en la campaña observada está hecho a medida para cada víctima y se utiliza para cargar la siguiente etapa, según ThreatLabz.
El cargador se descarga desde: hxxp://170.75.168[.]151/%computername%/aaa, “donde el valor %computername% es una variable de entorno que contiene el nombre de la computadora del sistema”, escribió Irfan VA.
Venom Loader luego usa %computername% como una clave XOR codificada para codificar sus pasos de ataque, que en este caso ejecuta la puerta trasera Lite More_eggs para que los atacantes puedan realizar RCE.
Se espera que las capacidades de MaaS se expandan
ThreatLabz cree que el nuevo malware incluido en la plataforma Venom Spider MaaS “Estas son las primeras versiones y esperamos que en el futuro se agreguen más funciones y técnicas anti-escaneo”, escribió Irfan VA.
Zscaler detectó el malware utilizando un sandbox y su plataforma de seguridad en la nube, que detectó los siguientes indicadores de nombres de amenazas relacionados con la campaña: LNK.Downloader.VenomLNK; Win32.Backdoor.RevC2; y Win32.Downloader.VenomLoader.
Zscaler también proporciona un script en Python que emula el servidor WebSocket de RevC2 en su repositorio GitHub e incluyó una larga lista de indicadores de compromiso (IoC) en la publicación del blog para que los defensores puedan verificar los sistemas de sus respectivas organizaciones en busca de evidencia del malware.