Hackers desconocidos están apuntando a personas asociadas con el gobierno tailandés, utilizando una nueva puerta trasera difícil de manejar denominada “Yokai”, que potencialmente lleva el nombre de un tipo de fantasma que se encuentra en el videojuego Phasmophobia, o de espíritus del folclore japonés.
Los investigadores de Netskope encontraron recientemente dos archivos de acceso directo (LNK) disfrazados de archivos .pdf y .docx, con nombres sutiles como si pertenecieran a archivos oficiales. Asuntos del gobierno de Estados Unidos con Tailandia. La cadena de ataque vinculado a estos documentos falsos utilizó inteligentemente archivos binarios legítimos de Windows para generar la puerta trasera previamente desconocida, que parece ser un programa desarrollado apresuradamente y diseñado para ejecutar comandos de shell. Esto conlleva un riesgo de fallo involuntario del sistema, anotaron los investigadores.
Ghost in the Machine: señuelos con temática estadounidense en un ataque de phishing
Del tailandés, los documentos señuelo se traducen como “Departamento de Justicia de Estados Unidos.pdf” y “Las autoridades estadounidenses solicitan urgentemente cooperación internacional en asuntos penales.docx”. » En concreto, se refieren a Woravit “Kim” Mektrakarn, antiguo propietario de una fábrica en California vinculado a la desaparición y presunto asesinato de un empleado en 1996. Mektrakarn nunca fue detenido y se cree que huyó a Bangkok.
“Los señuelos también sugieren que están dirigidos a la policía tailandesa”, señala Nikhil Hegde, ingeniero principal de Netskope. “Dadas las capacidades de la puerta trasera, podemos suponer que el motivo del atacante era obtener acceso a los sistemas policiales tailandeses”.
Como cualquier otro ataque de phishing, abrir cualquiera de estos documentos provocaría que la víctima descargara malware. Pero el camino del punto A al punto B no fue tan sencillo como podría pensarse.
Abusar de utilidades legítimas de Windows
Para comenzar su cadena de ataque, los atacantes utilizaron “esentutl”, una herramienta legítima de línea de comandos de Windows utilizada para administrar bases de datos de Extensible Storage Engine (ESE). Específicamente, abusaron de su capacidad para acceder y escribir en flujos de datos alternativos (ADS).
En el sistema de archivos de nueva tecnología (NTFS) de Windows, los archivos normalmente contienen algo más que su contenido principal: su “flujo” principal. Una imagen o un documento de texto, por ejemplo, también incluirá metadatos (incluso datos ocultos) que no serán visibles en la lista normal del archivo porque no son muy relevantes para los usuarios. Sin embargo, un canal no controlado para agregar datos ocultos a un archivo aparentemente inocuo es un lujo para un ciberatacante.
“Los atacantes suelen utilizar ADS para ocultar cargas maliciosas en archivos aparentemente inofensivos”, explica Hegde. “Cuando los datos están ocultos en un ADS, no cambia el tamaño visible ni las propiedades del archivo principal. Esto permite a los atacantes evadir los escáneres de archivos básicos que sólo inspeccionan el flujo principal de un archivo”.
Abrir los archivos de acceso directo asociados con esta campaña desencadenaría un proceso oculto, durante el cual Esentutl se utilizaría para extraer documentos gubernamentales señuelo, así como un cuentagotas malicioso, de dos fuentes de datos alternativas. El dropper llevaría consigo una copia legítima de la herramienta iTop Data Recovery, utilizada como puerta de entrada a carga lateral El Yokai de puerta trasera.
Dentro del malware de puerta trasera de Yokai
Al ingresar a un nuevo sistema, Yokai se registra en su base de comando y control (C2), organiza un canal encriptado para la comunicación y luego espera sus órdenes. Puede ejecutar cualquier comando de shell normal para robar datos, descargar malware adicional, etc.
“Hay elementos sofisticados en Yokai”, dice Hegde. Por ejemplo, “sus comunicaciones C2, una vez descifradas, están muy estructuradas”. Sin embargo, en otros aspectos resulta aproximado.
Si se ejecuta con privilegios de administrador, Yokai crea una segunda copia de sí mismo y su copia crea una tercera copia, hasta el infinito. Por otro lado, para evitar ejecutarse varias veces en la misma máquina, comprueba la presencia de un archivo mutex: si el archivo existe, termina por sí solo, y si no existe, lo crea. Esta verificación se lleva a cabo después de la etapa de autorreplicación, pero sólo después de que el malware haya comenzado a aparecer sin control. “Esto conduce a ejecuciones duplicadas repetitivas y rápidas que terminan inmediatamente después de que se descubre el mutex. Este comportamiento sería claramente visible para un EDR, disminuyendo así el aspecto sigiloso de la puerta trasera”, explica Hegde.
Incluso un usuario habitual podría notar los extraños efectos en su máquina. “La generación rápida crea una desaceleración notable. Si el sistema ya está bajo una gran carga, la creación y ejecución de procesos puede que ya sean más lentas debido a conflictos de recursos, lo que exacerba aún más los problemas de rendimiento del sistema”, explica.
En general, Hegde añade: “Esta yuxtaposición de sofisticación y amateurismo es lo que más me llama la atención, casi como si dos personas diferentes estuvieran involucradas en su desarrollo. Dadas las cadenas de versión encontradas en la puerta trasera y sus variantes, es probable que todavía se esté ejecutando. desarrollado.”