Durante los últimos dos meses, los investigadores de Check Point se encontraron con una novedosa campaña de phishing a gran escala dirigida específicamente a más de 40 empresas destacadas, que abarcan diversas industrias en Colombia. El objetivo principal de los atacantes era implantar subrepticiamente el infame malware "Remcos" en los sistemas de las víctimas.
Este malware avanzado, a menudo comparado con un RAT versátil como la "navaja suiza", otorga control total a los agresores, permitiéndoles explotar la computadora comprometida para una variedad de propósitos nefastos.
Los troyanos de acceso remoto (RAT) son malware diseñado para permitir a un atacante controlar de forma remota una computadora infectada. Una vez que el RAT se ejecuta en un sistema comprometido, el atacante puede enviarle comandos y recibir datos en respuesta.
Las consecuencias de una infección por Remcos suelen incluir el robo de datos, las posteriores infiltraciones de malware y el secuestro de cuentas de usuario. Nuestro informe completo profundiza en la intrincada mecánica del ataque y destaca las astutas tácticas empleadas por estas entidades maliciosas.
Flujo de ataque
1. Correo electrónico fraudulento: los atacantes comienzan enviando correos electrónicos falsos que parecen provenir de fuentes confiables como bancos o empresas en Colombia. Estos correos electrónicos pueden hablar sobre asuntos urgentes, deudas impagas u ofertas interesantes.
2. Archivo adjunto de correo electrónico: dentro de estos correos electrónicos, hay un archivo adjunto que parece inofensivo, como un archivo ZIP o RAR. Dice que tiene documentos o facturas importantes de interés.
3. Comandos ocultos: el archivo contiene un archivo por lotes (BAT) altamente ofuscado. Tras la ejecución, el archivo BAT ejecuta comandos de PowerShell que también están muy ofuscados. Esta ofuscación de múltiples capas dificulta que las soluciones de seguridad detecten y analicen la carga maliciosa.
4. Carga de módulos .NET: Las instrucciones hacen que tu computadora cargue dos partes importantes que son como herramientas. Estos módulos son esenciales para las etapas posteriores del ataque.
5. Primer módulo .NET: Evasión y desenganche: el trabajo de la primera herramienta es ocultar y engañar a las defensas de su computadora. Intenta desactivar los elementos de seguridad para que no queden atrapados los elementos malos.
6. Segundo módulo .NET: Cargando "LoadPE" y Remcos: El segundo módulo .NET carga dinámicamente otro componente llamado "LoadPE" desde los recursos del archivo. "LoadPE" es responsable de la carga reflexiva, una técnica que permite cargar un archivo ejecutable portátil (PE) (en este caso, el malware Remcos) directamente en la memoria sin necesidad de almacenarlo en el disco.
7. Carga reflectante con "LoadPE": Utilizando el componente "LoadPE", los atacantes cargan la carga útil final, el malware Remcos, directamente desde sus recursos a la memoria. Esta técnica de carga reflexiva mejora aún más la capacidad del malware para evadir las soluciones antivirus y de seguridad de terminales tradicionales, ya que evita los mecanismos de detección estándar basados en archivos.
8. La carga útil final: Remcos - Navaja suiza RAT: Con la carga exitosa del malware Remcos en la memoria, el ataque ya está completo. Remcos, una potente herramienta de administración remota (RAT), otorga a los atacantes control total sobre el sistema comprometido. Sirve como una navaja suiza para los atacantes, permitiéndoles ejecutar una amplia gama de actividades maliciosas, incluido el acceso no autorizado, la filtración de datos, el registro de teclas, la vigilancia remota y más.
En la investigación técnica completa, el informe de los investigadores profundiza en los detalles del ataque, enfatizando las técnicas encubiertas utilizadas por los actores maliciosos para ejecutar su campaña de manera efectiva.
“Nuestro análisis ofrece una visión del intrincado mundo de las técnicas de evasión y los procedimientos de desofuscación empleados por los atacantes. Al descifrar las funcionalidades ocultas de los módulos maliciosos BAT y .NET, pudimos arrojar luz sobre la complejidad del flujo de ataque. Comprender estas complejidades técnicas es esencial para mejorar las defensas de ciberseguridad y diseñar contramedidas efectivas para protegerse contra campañas de phishing tan avanzadas”, dijo Manuel Rodríguez gerente de Ingeniería para NOLA de Check Point Software.
Los usuarios de Check Point permanecen protegidos de las amenazas descritas en esta investigación.
Harmony Email & Collaboration detecta y bloquea los ataques de phishing más avanzados en las comunicaciones entrantes, salientes e internas, en tiempo real, antes de que lleguen a los usuarios finales.