Cargador de ratas AHK utilizado en campañas de entrega en curso

Se ha descubierto una campaña de malware en curso que utiliza el lenguaje de secuencias de comandos AutoHotkey (AHK) para ofrecer una variedad de RAT, incluidos LimeRAT, AsyncRAT, Houdini, Vjw0rm y Revenge RAT. Desde febrero, se han identificado al menos 4 versiones independientes.

Según Morphisec la distribución RAT comienza con un script AutoHotKey (AHK). Este es un ejecutable independiente que contiene el intérprete AHK, el script AHK y cualquier archivo que se haya instalado usando el orden FileInstall. En la campaña, los atacantes utilizan scripts / ejecutables maliciosos junto con una aplicación legítima para ocultar sus intenciones.

Los atacantes encapsularon la RAT caída con un ejecutable AHK en la primera versión del asalto. El ataque se detectó el 17 de febrero y deshabilitó Microsoft Defender con el script Batch y un archivo de acceso directo (.LNK) que apuntaba a ese script.

Una segunda versión, que apareció el 31 de marzo, bloqueó las conexiones a las soluciones antivirus al alterar el archivo de la víctima. archivo de host. Al resolver la dirección IP del host local en lugar de la real, la manipulación impidió la resolución de DNS para ciertos dominios.

La tercera cadena de carga, descubierta el 8 de abril, entregó LimeRAT a través de VBScript ofuscado, que luego se decodifica en un comando de PowerShell que recupera una carga útil C #.

Los actores de amenazas se adaptan a las nuevas medidas de seguridad

A medida que los actores de amenazas estudian medidas de seguridad básicas como emuladores, antivirus y autenticación de usuarios, desarrollan estrategias para eludirlas y evadirlas.

Las mejoras en el La estrategia descrita en el estudio tuvo un efecto insignificante en la efectividad de estas campañas. Además, se mejoró la metodología para eludir los controles de seguridad pasivos. El mal uso de la memoria de procesos es un denominador común entre estas tácticas evasivas, ya que suele ser un objetivo estático y predecible para el adversario.

Los controles de línea de base todavía son necesarios para mantener a raya los ataques automatizados. Sin embargo, la técnica manual utilizada por atacantes creativos como este requiere un enfoque moderno de la ciberseguridad.

Leave a Reply

Your email address will not be published. Required fields are marked *