Una nueva variante del malware RomCom llamada SnipBot se está utilizando en ataques centrados en la red para robar datos de sistemas comprometidos.
Los investigadores de la Unidad 42 de Palo Alto Networks descubrieron la nueva versión del malware después de analizar un módulo DLL utilizado en el ataque SnipBot.
La última campaña de SnipBot parece estar dirigida a una variedad de víctimas en diversos sectores, incluidos los servicios de TI, el derecho y la agricultura, robando datos y realizando ataques a sus redes.
Actividad posterior a la infección en ataques SnipBot
Fuente: Unidad 42
desarrollo de comedia romántica
RomCom es una puerta trasera utilizada para distribuir ransomware cubano en múltiples campañas de publicidad maliciosa (1, 2) y campañas de phishing dirigidas (1, 2).
La versión anterior, denominada RomCom 4.0 por los investigadores de Trend Micro a finales de 2023, era más ligera y sigilosa que las variantes anteriores, pero conservaba un conjunto de comandos sólido.
Las capacidades de RomCom 4.0 incluyen ejecutar comandos, robar archivos, soltar nuevas cargas útiles, modificar el registro de Windows y utilizar el protocolo TLS más seguro para comunicaciones de comando y control (C2).
SnipBot, que la Unidad 42 considera RomCom 5.0, emplea un conjunto ampliado de 27 comandos.
Estos comandos brindan a los operadores más control sobre las operaciones de extracción de datos, permitiéndoles apuntar a tipos de archivos o directorios específicos, o usar la herramienta de archivo de archivos 7-Zip para comprimir datos robados o implementar una carga útil de archivo que se extrae en el host. Evitación.
Además, SnipBot emplea ofuscación del flujo de control basada en mensajes de ventana, dividiendo su código en bloques que se activan en secuencia mediante mensajes de ventana personalizados.
Las nuevas técnicas anti-sandbox incluyen la verificación de hash de archivos ejecutables y procesos creados, y la verificación de la existencia de al menos 100 entradas en “RecentDocs” y 50 subclaves en la clave de registro “Shell Bags”.
También vale la pena mencionar que el módulo principal de SnipBot, “single.dll”, se almacena de forma cifrada en el Registro de Windows desde donde se carga en la memoria. Los módulos adicionales descargados del servidor C2, como 'keyprov.dll', también se descifran y ejecutan en la memoria.
vector de ataque
La Unidad 42 pudo recuperar artefactos de ataque de las transmisiones de VirusTotal, lo que les permitió rastrear a SnipBot hasta su vector de infección inicial.
Por lo general, esto comienza con un correo electrónico de phishing que contiene un enlace para descargar un archivo aparentemente inofensivo, como un documento PDF, diseñado para incitar al destinatario a hacer clic en el enlace.
Los investigadores también describieron un vector inicial un poco más antiguo que involucraba un sitio falso de Adobe donde se suponía que las víctimas descargarían las fuentes faltantes para poder leer el archivo PDF adjunto.
Hacer esto activará una serie de redireccionamientos ('fastshare(.)click', 'docstorage(.)link', 'publicshare(.)link') entre múltiples dominios bajo el control del atacante, con el final Se entrega un descargador ejecutable malicioso del archivo. Una plataforma compartida como “temp(.)sh”.
Flujo de ejecución moderno de SnipBot
Fuente: Unidad 42
Los descargadores suelen estar firmados con un certificado legítimo para evitar advertencias de las herramientas de seguridad de la víctima al recuperar el archivo DLL ejecutable del C2.
Una táctica común para cargar estas cargas útiles es utilizar el secuestro de COM para inyectar la carga útil en 'explorer.exe'. Esto también proporciona persistencia entre reinicios del sistema.
Registre la DLL maliciosa como un objeto COM
Fuente: Unidad 42
Después de comprometer un sistema, el atacante recopila información sobre la red corporativa y los controladores de dominio. Luego roba ciertos tipos de archivos de sus directorios Documentos, Descargas y OneDrive.
La Unidad 42 establece que sigue una segunda fase de descubrimiento utilizando la utilidad AD Explorer, que permite ver y editar Active Directory (AD) y navegar por la base de datos de AD.
Los datos de interés se archiva con WinRAR y luego se extraen utilizando el cliente PuTTY Secure Copy.
Los investigadores dicen que los objetivos de los atacantes siguen sin estar claros debido a la variedad de víctimas objetivo de los ataques SnipBot y RomCom, pero sospechan que los objetivos de los atacantes han pasado de la ganancia financiera al espionaje.
https://www.bleepingcomputer.com/news/security/new-romcom-malware-variant-snipbot-spotted-in-data-theft-attacks/
