Campanya Infostealer utilitzant tècniques AutoIT i Reflective .Net

Disfressats d'un correu electrònic típic de phishing lliurat amb l'enllaç per descarregar una nova “factura”, els serveis Alpine Security Threat Hunting han realitzat una anàlisi de diverses campanyes globals en curs.

Seguint l'acció de descàrrega de l'usuari, certa solució EDR monitoritzava el binari sense generar cap alerta. L'amenaça va ser identificada i neutralitzada amb èxit mitjançant l'explotació de dades telemètriques dins del servei de caça d'amenaces.

El fitxer és un binari de 32 bits (~657 MB, comprimit amb 7 zip), basat en Visual C ++, amb una Signatura Digital no vàlida incrustada.

Després de l'execució, un intèrpret de scripts AutoIt legit (sota el nom”Ruanda.PIF”) es descarrega, per tal d'executar un script altament ofuscat (“D” en la mostra analitzada). Aquest script es genera per la concatenació de diferents “trossos” d'informació continguda en diversos altres fitxers, creats basats en diverses operacions concatenades de còpia realitzades des de l'indicador d'ordres.

Analitzant l'script ofuscat (“D” a la imatge anterior), observem que també conté diverses tècniques anti-anàlisi i anti-sandboxing com el procés de cerca de processos relacionats amb entorns de virtualització i solucions AV (com vmtoolsd.exe, avastui.exe, etc).

L'objectiu de l'script AutoIT és deixar anar RegAsm.exe legit binary, utilitzat com a contenidor per tal d'injectar codi.NET maliciós utilitzant Costura Loader (un carregador reflectant utilitzat per ofuscar el codi i confondre i dificultar esforços d'enginyeria inversa) comunament utilitzat per altres furtadors.

El muntatge final està altament ofuscat i en aquests moments d'aquest informe encara es troba en fase d'anàlisi, però fins ara, s'ha obtingut el següent IoC: IP 91.92.254.99 situat a Bulgària (AS394711: Limenet, Neterra Ltd). Aquesta IP identifica un sistema Windows Server (nom de Netbios: GUANYAR-ADPD7O8E49E). El sòcol utilitzat és el 7702 (0x1E16), que actualment està obert i operatiu.

Aquesta IP sembla haver estat relacionada amb altres binaris identificats maliciosos, principalment furtants (i.e. purèlog), reportat i identificat en VirusTotal el gener de 2024.

A partir de la conducta identificada, podem veure recent reportat campanyes a Joe Sandbox utilitzant el mateix malware descrit mode de funcionament. Diverses altres campanyes denunciades etiqueten el binari adjunt inicial com “ESCAIXA_JUSTIFICANTEPAG0”, simulant un rebut de pagament bancari requerit per ser descarregat.

L'ús d'AutoIt així com de RegasM per part de Stealers i RAT no és una cosa nova (vegeu, per exemple, NanoCore RAT). Com a part de les estratègies de caça, recomanem controlar la creació i execució de l'intèrpret AutoIT (utilitzant, per exemple, la seva signatura com a criteri). La següent consulta correspon a una de les nostres regles en KQL per identificar escriptures en disc de binaris sospitosos corresponents a l'intèrpret AutoIT que ens permet identificar aquesta amenaça:

‍

DeviceFileEvents‍| on Timestamp > fa (3h)‍| on ActionType conté “Creat” o ActionType conté “Canviat”‍| on FolderPath conté “\\ usuaris\\” o FolderPath conté “\\ temp\\”‍| invocar FileProfile ()‍| on Signer conté “AutoIt”‍| estendre ispe=Parse_json (AdditionalFields) .FileType‍| on l'ISPE conté “Executable”‍| on Nom del fitxer! conté “AutoIt” o nom de fitxer! finalitza amb “.exe”‍| projecte Timestamp, DeviceName, FolderPath, SHA1