April no estaba tranquilo en el mundo de la ciberseguridad. Desde capturas falsas sórdidas hasta mejoras de phishing y ransomware dirigidas regionalmente, los atacantes se han vuelto ocupados, encontrando nuevas formas de mejorar los trucos y deslizar las defensas pasadas.
Algunas de estas amenazas han funcionado gracias a las ideas de cualquiera.
Lo que revelaron fue una combinación de ingeniería social inteligente, trucos técnicos y malware en evolución que se ha vuelto difícil de encontrar a simple vista.
Echemos un vistazo más de cerca a lo que hizo que estas amenazas fueran tan peligrosas y lo que los defensores pueden aprender de ellas.
1. ClickFix: haga clic en Captcha
Una estafa conocida como ClickFix da un giro a la típica captcha. En lugar de una casilla de verificación simple, se le pide al usuario que presione varias teclas. Esto desencadena en secreto el código malicioso en el fondo.
Los investigadores que usan cualquiera.
Las primeras versiones usaron texto plano como “No soy un robot”, lo que facilita la detección. La combinación de cadena básica fue suficiente para atraparla. Puede ver esto en la próxima sesión de análisis.
Ver su sesión de análisis
“No soy un robot” aparece dentro de Any.
Luego vinieron los homoglíficos. Estas son letras como letras de otros alfabetos, como griego y cirílico, y engañan la detección basada en cuerdas.
En esta sesión de análisis, puede ver cómo el atacante usa la frase “no un robot”, pero los personajes son diferentes.
No → no (omicron griego, `u+03bf`) robot → robot (cirílico o,` u+043e`)
Finalmente, se agregaron caracteres unicode invisibles como espacios de ancho cero y anulaciones de RTL, dividiendo el texto sin cambiar la forma en que el texto miraba a los humanos.
Vea cómo funciona el análisis de malware interactivo en tiempo real. Obtenga acceso de 14 días a cualquiera.
Durante este ataque, los usuarios aún ven frases fáciles de leer, pero algunas de ellas reverten.
Espacio de ancho cero (u+200b) anulación de izquierda a izquierda (u+202e): (u+202e) ABC → expuesto por el carácter unicode de CBA utilizado en el ataque, any.
Este tipo de ofuscación a nivel de cadena demuestra por qué las herramientas de análisis de comportamiento como cualquier otra. Sandbox son importantes.
En lugar de confiar en las firmas estáticas, los analistas pueden ver exactamente cómo estas técnicas evasivas se desarrollan en tiempo real y adaptan sus métodos de detección en consecuencia.
2. El soporte técnico falso está dirigido a los usuarios
Otra estafa de ClickFix corrió la ronda en abril. Esta vez nos dirigimos a usuarios con sede en Estados Unidos con Páginas falsas de Microsoft Defender y Cloudflare.
El sitio de phishing está oculto detrás de un dominio registrado en 2006 y pretende ser la Cámara de Comercio de Indian American.
Sin embargo, cuando visité una IP en los EE. UU. (Como se ve en la sesión de análisis), lanzé una ventana emergente de pantalla completa que imita el Centro de Seguridad de Windows.
Ver su sesión de análisis
Pop-ups imitando el centro de seguridad de Windows que se muestra dentro de una caja de arena interactiva
Una vez que la pantalla está bloqueada, la víctima se ve afectada por una advertencia sorprendente, instó a llamar a un número de soporte falso y abre la puerta para una mayor explotación.
En algunos casos, la página se suplicará un error de CloudFlay y convencerá al usuario de que ejecute un comando malicioso. Esto se puede ver de forma segura en cualquier interior. Sandbox de carrera:
Error falso de CloudFlare que hace que las víctimas ejecute comandos maliciosos
Para los equipos de seguridad, las repeticiones visuales en este tipo de entorno seguro y aislado pueden ayudar a acelerar el triaje y mejorar el entrenamiento del equipo, especialmente cuando se trata de ataques con diseño social que parecen ser legales.
3. Wormlocker 2.0: Ransomware Reliquias actualizadas
Originalmente descubierto en 2021, Wormlocker ha regresado con una nueva construcción, pero es más agresivo que nunca.
Ver sesiones de análisis en Wormlocker 2.0
Worm Locker 2.0 con notas de rescate dentro de una caja de arena en tiempo real
Cuando lo ejecute, Wormlocker 2.0 dejará caer el archivo .sys malicioso en el escritorio del usuario y descargará la carpeta. Puede ver que este cambio aparece dentro de Any.
Luego, el malware utiliza comandos de Windows como TakeOwn e ICACLS para secuestrar los permisos de los archivos del sistema. Empárate en una carpeta System32 e inmediatamente comience al bloqueo.
Luego, el malware utiliza comandos de Windows como TakeOwn e ICACLS para secuestrar los permisos de los archivos del sistema. Empárate en una carpeta System32 e inmediatamente comience al bloqueo.
Comandos de TakeOwn e ICACLS Permisos de archivo del sistema de secuestro
Para bloquear la recuperación, deshabilitar el administrador de tareas, eliminar archivos ocultos, matar a Explorer e incluso vaciar la configuración de shell para evitar que el escritorio regrese después de un reinicio.
El encriptador utiliza AES-256 en el modo CBC para usar claves derivadas de contraseñas codificadas (Luc QPV BTR). Ingresar esta clave desbloquea tanto el sistema como el archivo encriptado.
Como el toque final, reproduce la nota de rescate de voz a través del script VBS.
Scripts VBS que se muestran en cualquiera.
Lo que hace que cualquiera. Es el comportamiento del malware que incluso los analistas junior pueden ver y comprender.
4. Tycoon2fa: Phishing para seleccionar Target
Tycoon2fa es una campaña sabia y consciente de la ubicación que solo muestra su contenido malicioso a algunos usuarios en una región en particular, a saber, Argentina, Brasil y Medio Oriente.
Los investigadores observaron cómo funciona el fraude utilizando cualquiera.
Si el sistema de un visitante coincide con un criterio específico (como la zona horaria o los detalles del sistema), se redirigen silenciosamente a la página de phishing. Todos los demás son enviados a sitios aleatorios como Tesla y Emirates.
Esto es lo que sucede detrás de escena:
Las imágenes ocultas no se cargan y activan el script a través del evento Oneror: onError = “(nueva función (ATOB (this.dataset.digest))) ();” Ese script recopila datos del sistema como el tamaño de la pantalla, la GPU, los complementos de los navegadores, las zonas horarias, etc. Si el perfil el área de destino, la víctima se envía al sitio de phishing. De lo contrario, serán redirigidos en otro lugar.
Aquí es donde cualquiera de Sandbox interactiva de cualquiera realmente demuestra su valor. Los analistas pueden establecer locales y usar representantes residenciales para simular diferentes regiones, y pueden activar y analizar ataques de phishing geo-objetivo que permanecen ocultos de otras maneras.
Vea lo que realmente hacen las amenazas de hoy
Los ataques vistos en abril, las estafas de ClickFix, el phishing específico de la región y el regreso de Wormlocker ofrecen una idea de la rapidez con la que los actores de amenaza están evolucionando.
Estos no son archivos estáticos que se pueden atrapar con un escaneo rápido. Son dinámicos, adaptativos y visibles hasta que es demasiado tarde.
Es por eso que necesita una solución como cualquier otra. Run Interactive Sandbox. Desde descubrir trucos sutiles hasta simular huellas digitales locales, estas y muchas otras amenazas pueden analizarse, entendirse y detectarse de forma segura en tiempo real antes de que tengan un impacto.
Para los equipos de seguridad, esto significa:
No se necesitan configuraciones más complejas con una respuesta de incidentes más rápida con una visibilidad total sobre el comportamiento de malware, utilizando ejemplos visuales del mundo real con mejor entrenamiento e incorporación para realizar un análisis escalable con enlaces compartibles y sesiones de colaboración.
¡Míralo por ti mismo! Visite cualquiera.
Únase a nuestros seminarios web en vivo gratuitos y domine la detección de amenazas más rápida
No se pierda esta oportunidad de aprender de los principales expertos en seguridad y realizar un análisis de malware real.
Obtenga información procesable que ayude a los equipos a detectar amenazas más rápido, detectar alertas de triaje de manera más eficiente y mejorar la respuesta a los incidentes. ¡Regístrese ahora y asegure su lugar!
