Está en marcha una activa campaña APT dirigida a empresas tecnológicas, que también utiliza una función gráfica NVIDIA legítima.
Un grupo sospechoso de amenaza persistente avanzada (APT) de China ha sido visto atacando a compañías tecnológicas utilizando una aplicación de lector de pantalla troyanada, reemplazando la característica incorporada «Facilidad de acceso» del narrador en Windows.
Según BlackBerry Cylance, los atacantes también implementan una versión del malware de código abierto conocido como la puerta trasera PcShare para obtener un punto de apoyo inicial en los sistemas de las víctimas.
Usando las dos herramientas, los adversarios pueden controlar subrepticiamente máquinas Windows a través de pantallas de inicio de sesión de escritorio remoto, sin la necesidad de credenciales.
PcShare Backdoor
Los ataques comienzan entregando la puerta trasera de PcShare a las víctimas a través de campañas de spearphishing. Ha sido modificado y diseñado para funcionar cuando está cargado lateralmente por una aplicación NVIDIA legítima.
Está «específicamente diseñado para las necesidades de la campaña, con cifrado adicional de comando y control (C2) y funcionalidad de omisión de proxy, y cualquier funcionalidad no utilizada eliminada del código», explicaron investigadores con BlackBerry Cylance, en un análisis publicado el miércoles . La funcionalidad no utilizada incluye transmisión de audio / video y monitoreo del teclado, lo que sugiere que se está utilizando estrictamente para instalar otro malware.
Curiosamente, llega con un cargador a medida que utiliza la técnica de carga lateral de DLL antes mencionada.
«La aplicación legítima NVIDIA Smart Maximize Helper Host (parte del controlador de gráficos NVIDIA GPU) carga lateralmente el archivo DLL, en lugar del NvSmartMax.dll original que el programa normalmente usa», dijo la firma. «Su responsabilidad principal es descifrar y cargar la carga útil codificada almacenada en su sección .data o en un archivo DAT separado».
El uso de PcShare de la aplicación legítima permite que el ataque tome niveles adicionales de sigilo, dijeron los investigadores.
«El uso de la técnica de carga lateral de DLL junto con un cargador a medida que utiliza inyección de memoria asegura que el binario principal de puerta trasera nunca se deje caer en el disco», explicaron los investigadores. «También se implementa una técnica anti-sandboxing simple pero efectiva de codificación de carga útil basada en la ruta de ejecución para evitar la detección».
Además, la infraestructura C2 también está ofuscada; Si bien la URL a la que se dirige el malware se entrega en texto plano, la dirección apunta a un archivo remoto que contiene los detalles reales de cómo comunicarse con el C2.
«Esto permite a los atacantes cambiar fácilmente la dirección C2 preferida, decidir el momento de la comunicación y, mediante la aplicación del filtro del lado del servidor, restringir la revelación de la dirección real a las solicitudes procedentes de regiones específicas o en momentos específicos», dijeron los investigadores.
Después de obtener acceso a la máquina de la víctima, los atacantes luego despliegan una variedad de herramientas posteriores a la explotación, muchas de ellas basadas en código disponible públicamente que a menudo se encuentran en los portales de programación chinos, según los investigadores. Uno de ellos es un troyano a medida, Fake Narrator, que abusa de las características de accesibilidad de Microsoft para obtener acceso a nivel de SISTEMA en la máquina comprometida.
Narrador abusivo
Una vez que los atacantes hayan obtenido privilegios administrativos en el sistema de la víctima, el siguiente orden del día es reemplazar Narrator.exe con una versión troyanizada, que le dará al atacante la capacidad de ejecutar cualquier programa con privilegios del sistema.
El ejecutable Narrador es una utilidad de Windows que lee el texto en la pantalla en voz alta para las personas con discapacidad visual. Se puede invocar en la pantalla de inicio de sesión con un método abreviado de teclado, que proporciona acceso permanente a nivel de sistema.
«Una vez que se habilita el Narrador falso en la pantalla de inicio de sesión a través de ‘Facilidad de acceso’, winlogon.exe ejecutará el malware con privilegios de sistema», explicaron los investigadores.
Tras la ejecución, el Narrador falso troyano primero ejecutará el Narrador legítimo original, luego registrará una clase de ventana («NARRATOR») y creará una ventana («Narrador»).
«El procedimiento de la ventana crea un diálogo con un control de edición y un botón llamado ‘r’, mientras que un hilo separado monitorea constantemente las pulsaciones del teclado», explicaron los investigadores. “Si el malware detecta que se ha escrito una contraseña específica (codificada en el binario como cadena ‘showmememe’), mostrará el diálogo creado previamente. Esto permitirá que el atacante especifique el comando o la ruta a un archivo para ejecutar mediante un control de edición «.
Escribir la contraseña definida del atacante le permitirá generar cualquier ejecutable, que también se ejecuta bajo la cuenta del SISTEMA, en la pantalla de inicio de sesión. Los investigadores explicaron que esta técnica finalmente permite que un actor malintencionado mantenga un shell persistente en un sistema sin requerir credenciales válidas.
«Este binario es bastante novedoso … [en eso] genera una copia del Narrator.exe original y dibuja una ventana superpuesta oculta, donde espera para capturar combinaciones de teclas específicas conocidas solo por el atacante», explicaron los investigadores. «Cuando se ha escrito la frase de contraseña correcta, el malware mostrará un cuadro de diálogo que permite al atacante especificar la ruta a un archivo para ejecutar».
En la naturaleza
Hasta ahora, los ataques han afectado a las compañías tecnológicas en el área del sudeste asiático, según la telemetría de BlackBerry Cylance. En cuanto a quién está detrás de ellos, la atribución precisa de estos ataques ha demostrado ser esquiva.
«El uso de la puerta trasera de PcShare, así como la ubicación geográfica de las víctimas, tienen similitudes con un conocido actor de amenazas llamado Tropic Trooper, que se dirige activamente a instituciones gubernamentales y empresas de la industria pesada en Taiwán y Filipinas», dijeron los investigadores.
Fuente: