Campaña de Infostealer con técnicas de AutoIt y Reflective .Net

Los servicios de búsqueda de amenazas de Alpine Security, disfrazados de típico correo electrónico de suplantación de identidad entregado con el enlace para descargar una nueva «factura», han llevado a cabo un análisis de varias campañas mundiales en curso.

Tras la acción de descarga del usuario, ciertas soluciones de EDR monitorearon el binario sin generar ninguna alerta. La amenaza se identificó y neutralizó satisfactoriamente mediante la explotación de los datos de telemetría del servicio Threat Hunting.

El archivo es un archivo binario de 32 bits (~657 MB, comprimido en 7 zip), basado en Visual C++, con una firma digital no válida incrustada.

Tras la ejecución, un intérprete de secuencias de comandos AutoIt legítimo (con el nombre»Ruanda.pif») se descarga para ejecutar un script altamente ofuscado («D» en la muestra analizada). Este script se genera mediante la concatenación de diferentes «fragmentos» de información contenidos en varios otros archivos, creados a partir de varias operaciones concatenadas de copias realizadas desde la línea de comandos.

Al analizar el script ofuscado («D» en la imagen de arriba), observamos que también contiene varias técnicas antianálisis y antisandboxing, como el proceso de búsqueda de procesos relacionados con los entornos de virtualización y las soluciones AV (como vmtoolsd.exe, avastui.exe, etc.).

El objetivo del script AutoIt es eliminar RegAsm.exe binario legítimo, utilizado como contenedor para inyectar código .NET malintencionado mediante Costura Loader (un cargador reflectante que se utiliza para ofuscar el código y confundir y obstaculizar los esfuerzos de ingeniería inversa) de uso común por otros ladrones.

El montaje final está muy confuso y, en el momento de redactar este informe, aún se encuentra en fase de análisis, pero hasta ahora se ha obtenido el siguiente IoC: IP 9192,254,99 ubicada en Bulgaria (AS394711: Limenet, Neterra Ltd). Esta IP identifica un sistema Windows Server (nombre Netbios): WIN-ADPD7O8E49E). El enchufe utilizado es el 7702 (0x1E16), que actualmente está abierto y operativo.

Esta IP parece haber estado relacionada con otros archivos binarios identificados de forma malintencionada, principalmente con ladrones (p. ej. tronco puro), notificada e identificada en VirusTotal en enero de 2024.

Basándonos en el comportamiento identificado, podemos ver denunciado recientemente campañas en Joe Sandbox que utilizan el mismo malware descrito modus operandi. Otras campañas denunciadas etiquetan el binario adjunto inicial como «ESCAIXA_JUSTIFICANTEPAG0», simulando un recibo de pago bancario que se debe descargar.

El uso de AutoIt y RegASM por parte de Stealers y RAT no es algo nuevo (véase, por ejemplo, NanoCore RAT). Como parte de las estrategias de caza, recomendamos supervisar la creación y ejecución del intérprete AutoIt (utilizando, por ejemplo, su firma como criterio). La siguiente consulta corresponde a una de nuestras reglas de KQL para identificar las escrituras en disco de archivos binarios sospechosos correspondientes al intérprete de AutoIt que nos permite identificar dicha amenaza:

‍

Eventos de archivos de dispositivo‍| dónde Marca de tiempo > hace (3h)‍| donde ActionType contiene «Creado» o ActionType contiene «Renombrado»‍| donde FolderPath contiene «\\ users\\» o FolderPath contiene «\\ temp\\»‍| invocar fileProfile ()‍| donde Signer contiene «AutoIt»‍| extender ISPE=parse_json (campos adicionales) .Tipo de archivo‍| donde ISPE contiene «Ejecutable»‍| donde FileName! contiene «AutoIt» o FileName! termina en «.exe»‍| marca de tiempo del proyecto, nombre del dispositivo, ruta de carpeta, SHA1