Investigadores de seguridad cibernética han descubierto una campaña de ciberespionaje en curso dirigida a usuarios en la India. La campaña utiliza un backdoor multi-etapa para obtener acceso persistente a las máquinas de las víctimas y exfiltrar datos.
La actividad, documentada por la Unidad de Respuesta a Amenazas (TRU) de eSentire, se basa en correos electrónicos de phishing que suplantan la identidad del Departamento de Impuestos sobre la Renta de la India. El objetivo final de los atacantes es desplegar una variante del troyano bancario Blackmoon y una herramienta empresarial legítima llamada SyncFuture TSM.
Fases del Ataque y Tácticas de Evasión
- Phishing Inicial: La campaña comienza con correos electrónicos de phishing que contienen avisos falsos de penalización fiscal. Estos correos engañan a las víctimas para que descarguen un archivo ZIP malicioso.
- Carga Inicial y Sideloading: El archivo ZIP contiene un ejecutable (“Inspection Document Review.exe”) que está diseñado para realizar un sideloading de una DLL maliciosa. Esta DLL realiza comprobaciones para detectar depuradores y contacta a un servidor externo para obtener la siguiente etapa de la carga útil.
- Bypass de UAC y Mascarada de Procesos: El shellcode descargado utiliza una técnica basada en COM para eludir la solicitud de Control de Cuentas de Usuario (UAC) y obtener privilegios administrativos. También modifica el Bloque de Entorno del Proceso (PEB) para hacerse pasar por el proceso legítimo de Windows “explorer.exe”, evitando la detección.
- Evasión de Antivirus (Avast): La siguiente etapa del malware recupera el ejecutable “180.exe” del dominio “eaxwwyr[.]cn”. Este instalador Inno Setup ajusta su comportamiento si detecta que el antivirus Avast Free (“AvastUI.exe”) se está ejecutando. Si Avast está presente, el malware utiliza simulación automatizada de ratón para navegar por la interfaz de Avast y agregar archivos maliciosos a su lista de exclusión sin desactivar el motor antivirus. Esto se logra mediante una DLL que es una variante del malware Blackmoon.
- Despliegue de RMM Legítimo: El archivo final agregado a la lista de exclusión es “Setup.exe”, que despliega “mysetup.exe”, identificado como SyncFuture TSM. Los actores de la amenaza están abusando de esta herramienta comercial de Gestión de Monitoreo Remoto (RMM) para obtener la capacidad de controlar remotamente los puntos finales, registrar las actividades del usuario y exfiltrar datos de interés.
Herramientas y Objetivos de los Atacantes
- Blackmoon (KRBanker): Un troyano bancario conocido por atacar empresas en Corea del Sur, EE. UU. y Canadá desde 2015. En esta campaña, se utiliza una variante para facilitar el acceso persistente y la evasión.
- SyncFuture TSM: Una herramienta empresarial legítima desarrollada por Nanjing Zhongke Huasai Technology Co., Ltd. Los atacantes la reorientan como un marco de espionaje “todo en uno” para establecer persistencia, monitorear la actividad de la víctima y gestionar el robo de información sensible.
- Persistencia y Control: La campaña también despliega scripts que manipulan los permisos de archivos y directorios para garantizar la persistencia y la capacidad de orquestar diferentes servicios de forma sigilosa.
Conclusiones
Los actores de la amenaza detrás de esta campaña demuestran una sofisticada combinación de técnicas para eludir la detección y establecer un control duradero. Al combinar el sideloading de DLL, la escalada de privilegios, la evasión de software de seguridad y la reutilización de herramientas comerciales legítimas, los atacantes logran un marco de espionaje robusto para el robo de datos y el monitoreo continuo de las víctimas. Este enfoque resalta la tendencia de los atacantes a abusar de software legítimo para sus actividades maliciosas, lo que dificulta la detección por parte de las defensas de seguridad tradicionales.