Visual Studio es el potente entorno de desarrollo integrado de Microsoft, utilizado principalmente para desarrollar aplicaciones con .NET Framework.
Admite varios lenguajes de programación, incluidos “C#”, “VB.NET” y “C++”.
Cyble Research and Intelligence Labs identificaron recientemente que los piratas informáticos habían convertido el código de Visual Studio en una herramienta de acceso remoto.
Los investigadores descubrieron recientemente una sofisticada campaña de ciberataque que comienza con un archivo malicioso “.LNK”.
Este archivo es un “correo electrónico no deseado” que muestra un mensaje falso de “instalación exitosa” en “chino” mientras descarga en secreto un “paquete Python” (“python-3.12.5-embed-amd64.zip”. a través de.
Este archivo crea un directorio en “%LOCALAPPDATA%\Microsoft\Python” y contiene un “script de Python ofuscado” (“update.py”) obtenido de “paste(.)ee” que no tuvo detecciones. “Virus totales”.
Analice enlaces sospechosos utilizando la nueva herramienta de navegación segura de ANY.RUN: pruébela gratis
El malware establece persistencia mediante la creación de una tarea programada llamada 'MicrosoftHealthcareMonitorNode' que se ejecuta cada 4 horas o cuando se inicia sesión con 'privilegios SYSTEM'.
Si Visual Studio Code ('VSCode') no está presente, el malware descarga 'VSCode CLI' de los servidores de Microsoft ('az764295.vo.msecnd(.)net') y lo utiliza para crear un túnel remoto, “Un 8-. Código de activación alfanumérico de caracteres que permite el “acceso remoto no autorizado”.
Luego, el script se ejecuta desde “Directorios importantes” (“C:\Program Files, C:\Program Files (x86)”, “C:\ProgramData”, “C:\Users”), “Procesos en ejecución”. Recopila amplia información del sistema. . “Configuración de idioma del sistema”, “Ubicación geográfica”, “Nombre de la computadora”, “Nombre de usuario”, “Dominio de usuario”, “Nivel de privilegios”.
Cadena de infección (Fuente – Cyble)
Los datos recopilados se codifican en “Base64” y se filtran a un “servidor C&C” en “requestrepo(.)com/r/2yxp98b3” utilizando tácticas similares a las del grupo APT chino “Stately Taurus”.
Después de interceptar con éxito los datos filtrados, el actor de amenazas accedió a hxxps://github(.)com/login/device y utilizó el código de activación alfanumérico robado para autenticarse en GitHub para explotar el acceso no autorizado a través del sistema.
Esto le permite establecer una conexión de túnel VSCode con el sistema de la víctima, dándole un control integral sobre los archivos, directorios y la interfaz de línea de comando (terminal) de la máquina.
Acceder a archivos mediante túneles VScode (fuente: Cyble)
A través de esta conexión de túnel VSCode comprometida, los atacantes pueden acceder a poderosas herramientas de piratería como Mimikatz (para recolección de credenciales), LaZagne (para recuperación de contraseñas), In-Swor (para reconocimiento del sistema) y Tscan (para escaneo de red). .
La cadena de ataque comienza con un archivo .LNK malicioso (acceso directo de Windows) que contiene un script Python ofuscado, eludiendo las medidas de seguridad tradicionales.
Una vez que se establece este acceso no autorizado, el atacante puede realizar una variedad de actividades maliciosas.
Manipular archivos del sistema Extraer datos confidenciales Modificar la configuración del sistema Implementar cargas útiles de malware adicionales
Esta técnica de ataque avanzada demuestra cómo herramientas de desarrollo legítimas como VSCode pueden convertirse en armas mediante ingeniería social y explotación técnica.
Recomendaciones
Todas las recomendaciones se enumeran a continuación: –
Utilice protección avanzada para terminales. Verifique sus tareas programadas con regularidad. Capacite a los usuarios sobre archivos/enlaces sospechosos. Restrinja las instalaciones de software y incluya aplicaciones en la lista blanca. Supervise la actividad inusual y revise los registros.
Seminario web gratuito sobre cómo proteger su pequeña empresa de las ciberamenazas avanzadas -> Seminario web gratuito
