El malware de ciberespionaje RomCom que soltado El año pasado, un ataque de virus lanzado por el ejército ucraniano y sus partidarios resurgió en una nueva variante. Utiliza certificados de firma de código válidos para pasar desapercibido, lo que permite a los atacantes ejecutar comandos y descargar archivos maliciosos adicionales al sistema de la víctima en un ataque de varias etapas.
La variante, llamada SnipBot por investigadores de la Unidad 42 en Palo Alto, parece haberse estado propagando desde diciembre, continuando donde lo dejó la última versión de RomCom, revelaron. en análisis publicado esta semana. El malware se basa en RomCom 3.0., pero también comparte técnicas ya vistas en RomCom 4.0haciéndolo la versión 5.0 del original Familia de troyanos de acceso remoto (RAT) RomCom.
Ataques anteriores del actor detrás de RomCom, que también apuntaron partidarios de Ucrania – a menudo incluían cargas útiles de ransomware además de actividades de ciberespionaje. Sin embargo, Unit 42 ahora cree que los atacantes detrás de este malware se han alejado de las ganancias y se han centrado exclusivamente en la recopilación de inteligencia, según la publicación.
Aún así, “las intenciones del atacante son difíciles de discernir dada la variedad de víctimas objetivo, que incluyen organizaciones en industrias como servicios de TI, derecho y agricultura”, escribieron Yaron Samuel y Dominik Reichel de la Unidad 42 en el análisis.
El correo electrónico desencadena el ataque inicial de RomCom
SnipBot aparece por primera vez en un archivo ejecutable descargable disfrazado de PDF, o en un archivo PDF real enviado a una víctima en un correo electrónico de phishing que conduce a un ejecutable. El malware incluye “un conjunto básico de funciones que permite al atacante ejecutar comandos en el sistema de la víctima y descargar módulos adicionales”, escribieron los investigadores.
El archivo PDF muestra texto distorsionado que indica que falta una fuente y es necesaria para mostrarla correctamente.
“Si la víctima hace clic en el enlace de contenido que se supone debe descargar e instalar el paquete de fuentes, descargará el descargador SnipBot”, escribieron los investigadores.
El malware en sí consta de varias etapas, con el archivo ejecutable seguido de las cargas útiles restantes que son otros ejecutables o archivos DLL. Además, el programa de descarga de malware siempre está firmado con un certificado de firma de código legítimo y válido, señalaron los investigadores.
“No sabemos cómo los actores de amenazas obtienen estos certificados, pero es probable que los roben o los obtengan mediante fraude”, observaron, y agregaron que los módulos posteriores del malware SnipBot inicial no estaban firmados.
Vector de infección SnipBot
Como se mencionó, el descargador que proporciona SnipBot está firmado con un certificado presuntamente robado o falsificado y también está ofuscado por un algoritmo de ofuscación de flujo de control basado en mensajes de ventana; El código de malware se divide en varios bloques desordenados que se activan mediante mensajes de ventana personalizados.
Quien subió el video también utiliza “dos trucos anti-sandbox simples pero efectivos”, escribieron los investigadores. “El primero comprueba el nombre del archivo original comparando el nombre del proceso con hash con un valor codificado”, mientras que el segundo comprueba si hay al menos 100 entradas en un registro particular de Microsoft Windows, “lo que suele ser el caso en el sistema de un usuario normal, pero Es menos probable que sea el caso en un sistema sandbox”, escribieron.
Durante la ejecución, el programa de descarga contacta diferentes dominios de comando y control (C2) para recuperar un archivo PDF y luego envía cargas útiles posteriores a la máquina infectada, la primera de las cuales proporciona funcionalidad de software espía. En última instancia, el módulo principal de SnipBot proporciona al atacante línea de comandos, capacidades de carga y descarga en el sistema de la víctima, así como la capacidad de descargar y ejecutar cargas útiles adicionales desde C2.
La Unidad 42 también fue testigo de una actividad posterior a la infección destinada a recopilar información sobre la red interna de la empresa, así como intentos de extraer una lista de varios archivos de los documentos, descargas y carpetas de OneDrive de la empresa a un servidor externo controlado por el atacante.
La comedia romántica sigue siendo una amenaza activa
El actor de amenazas que utiliza RomCom ha estado activo desde al menos 2022 y participa en una variedad de actividades nefastas, que incluyen ransomware, extorsión y recolección selectiva de credenciales, lo que potencialmente respalda operaciones de recopilación de inteligencia. Como se mencionó anteriormente, el actor malicioso ahora parece estar alejándose de sus anteriores actividades de motivación financiera para centrarse exclusivamente en el ciberespionaje.
Mientras SnipBot demuestra capacidades de amenaza en evolución con nuevos métodos de ofuscación, así como actividad posterior a la explotación, la Unidad 42 destacó “la necesidad de que las organizaciones permanezcan alerta y adopten medidas de seguridad avanzadas para proteger sus sistemas y datos de las amenazas cibernéticas en constante evolución”, dijeron los investigadores. señalaron en su análisis.
Dado el interés de los actores de amenazas de RomCom en el ciberespionaje contra Ucrania y sus partidariosel Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) también información publicada sobre el grupo de amenaza y cómo opera.
“Este grupo ataca activamente a empleados de empresas de defensa y de las Fuerzas de Defensa de Ucrania, actualizando constantemente su arsenal de malware, pero sus actividades maliciosas no se limitan a Ucrania”, advirtió la agencia.
CERT-UA aconsejó a las organizaciones que puedan ser atacadas que permanezcan atentas a los correos electrónicos de remitentes desconocidos, incluso si se hacen pasar por empleados del gobierno, y que se abstengan de descargar o abrir archivos sospechosos.