Recientemente se descubrió un nuevo vector de ataque que aprovecha XenoRAT. XenoRAT es una herramienta de acceso remoto de código abierto que se entrega a través de archivos XLL de Excel.
Este enfoque sofisticado muestra que los actores de amenazas están evolucionando sus tácticas para eludir las medidas de seguridad e infiltrarse en los sistemas.
Los investigadores de Hunt descubrieron esta nueva muestra de XenoRAT por casualidad mientras analizaban un repositorio de malware. Se descubrió que el malware, generalmente conocido por los jugadores, se generó utilizando el marco Excel-DNA y empaquetado como un archivo XLL protegido por ConfuserEx.
Los analistas de seguridad de Hunt señalaron que XenoRAT está codificado en C# y es conocido por su accesibilidad y uso generalizado en varias campañas.
Anteriormente asociado con atacar a los jugadores mediante phishing y suplantación de software, ahora ha ampliado su alcance.
Maximizar el retorno de la inversión en ciberseguridad: consejos de expertos para líderes de PYME y MSP: asista al seminario web gratuito
análisis técnico
La muestra de malware disfrazada de “Detalles de pago” emplea un proceso de ataque de varios pasos como se muestra a continuación:
Entrega inicial: archivo XLL generado con ADN de Excel Ofuscación: uso intensivo de ConfuserEx para impedir el análisis Cadena de ejecución: desencadena una serie compleja de eventos que incluyen: – Iniciar archivo por lotes ofuscado Ejecutar archivo SFX RAR Mostrar señuelo en PDF Ilusión de legitimidad Recurso de archivo XLL malicioso (fuente: Hunt)
Los atacantes implementan varios métodos sofisticados para evitar ser detectados.
Explotación de ADN de Excel: aproveche las herramientas legítimas de desarrollo de Excel para cargar ensamblados .NET comprimidos directamente en la memoria Ofuscación: módulo “PRINCIPAL” altamente ofuscado para ocultar la funcionalidad Manipulación de la marca de tiempo: marca de tiempo de compilación inusual para evitar los filtros de seguridad (22/10/2052)
El servidor de comando y control (C2) identificado se comunica a través del puerto TCP 1391 y está alojado en Bulgaria. Se detecta un certificado autofirmado en el puerto RDP y puede estar disponible para monitoreo futuro.
Este nuevo vector de ataque destaca la adaptabilidad de los actores de amenazas y los riesgos potenciales asociados con extensiones de archivos menos comunes. Los expertos en seguridad recomiendan lo siguiente:
Implementar un monitoreo más estricto de archivos XLL y otras extensiones poco comunes. Mejorar la detección de malware ofuscado. Actualizar y parchear periódicamente los sistemas para reducir posibles vulnerabilidades.
A medida que los actores de amenazas continúan evolucionando sus tácticas, permanecer alerta y adaptar las medidas de seguridad sigue siendo fundamental en la lucha continua contra las amenazas de malware.
¿Es miembro del equipo SOC/DFIR? Analice archivos y enlaces de malware con ANY.RUN -> Pruébelo gratis
