Se ha detectado un descargador de malware previamente indocumentado en ataques de phishing para implementar ladrones de credenciales y otras cargas útiles maliciosas.

Apodado » Saint Bot «, se dice que el malware apareció por primera vez en la escena en enero de 2021, con indicios de que está en desarrollo activo.

«Saint Bot es un programa de descarga que apareció recientemente, y poco a poco está cobrando impulso. Se vio caer a ladrones (es decir, Taurus Stealer) o cargadores adicionales ( ejemplo ), pero su diseño le permite utilizarlo para distribuir cualquier tipo de malware. «, dijo Aleksandra» Hasherezade «Doniec, analista de inteligencia de amenazas en Malwarebytes.

«Además, Saint Bot emplea una amplia variedad de técnicas que, aunque no son novedosas, indican cierto nivel de sofisticación considerando su apariencia relativamente nueva».

La cadena de infección analizada por la firma de ciberseguridad comienza con un correo electrónico de phishing que contiene un archivo ZIP incrustado («bitcoin.zip») que dice ser una billetera bitcoin cuando, de hecho, es un script de PowerShell bajo la apariencia de un archivo de acceso directo .LNK. Este script de PowerShell luego descarga el malware de la siguiente etapa, un ejecutable de WindowsUpdate.exe, que, a su vez, suelta un segundo ejecutable (InstallUtil.exe) que se encarga de descargar dos ejecutables más llamados def.exe y putty.exe.

Mientras que el primero es un script por lotes responsable de deshabilitar Windows Defender, putty.exe contiene la carga útil maliciosa que finalmente se conecta a un servidor de comando y control (C2) para su posterior explotación.

La ofuscación presente en cada etapa de la infección, sumada a las técnicas de anti-análisis adoptadas por el malware, permite a los operadores de malware explotar los dispositivos en los que fueron instalados sin llamar la atención.

Además de realizar «comprobaciones de autodefensa» para verificar la presencia de un depurador o un entorno virtual, Saint Bot está diseñado para no ejecutarse en Rumania y en países seleccionados de la Comunidad de Estados Independientes (CEI), que incluye a Armenia, Bielorrusia, Kazajstán y Moldavia. , Rusia y Ucrania.

La lista de comandos admitidos por el malware incluye:

  • descargar y ejecutar otras cargas útiles recuperadas del servidor C2
  • actualizar el malware del bot
  • desinstalarse a sí mismo de la máquina comprometida

Si bien estas capacidades pueden parecer muy pequeñas, el hecho de que Saint Bot sirva como descargador de otro malware lo hace lo suficientemente peligroso.

Curiosamente, las cargas útiles se obtienen de archivos alojados en Discord, una táctica que se ha vuelto cada vez más común entre los actores de amenazas, que abusan de las funciones legítimas de dichas plataformas para las comunicaciones C2, evitan la seguridad y entregan malware.

«Cuando los archivos se cargan y almacenan dentro de Discord CDN, se puede acceder a ellos usando la URL de CDN codificada por cualquier sistema, independientemente de si Discord se ha instalado, simplemente navegando a la URL de CDN donde se aloja el contenido», investigadores de Cisco Talos reveló en un análisis a principios de esta semana, convirtiendo así software como Discord y Slack en objetivos lucrativos para alojar contenido malicioso.

«Saint Bot es otro pequeño descargador», dijo Hasherezade. «[No es] tan maduro como SmokeLoader, pero es bastante nuevo y actualmente está desarrollado activamente. El autor parece tener algún conocimiento del diseño de malware, que es visible por la amplia gama de técnicas utilizadas. Sin embargo, todas las técnicas implementadas son bien conocido y bastante estándar, [y] no ha mostrado mucha creatividad hasta ahora «.

Fuente y redacción: thehackernews.com

Compartir