Imagen Director

Investigadores de ciberseguridad han descubierto una campaña de ciberespionaje en curso dirigida específicamente a usuarios de la India. El ataque utiliza una puerta trasera de varias etapas y aprovecha técnicas de evasión sofisticadas para lograr acceso persistente y filtración de datos de los sistemas comprometidos.

Vector de ataque inicial y cargas útiles maliciosas

La campaña comienza con correos electrónicos de phishing que se hacen pasar por el Departamento de Impuestos sobre la Renta de la India. Estos correos electrónicos engañan a las víctimas para que descarguen un archivo malicioso. El objetivo final de los actores de la amenaza es implementar una variante del troyano bancario Blackmoon (también conocido como KRBanker) y reutilizar una herramienta empresarial legítima, SyncFuture TSM (Terminal Security Management), con fines de espionaje.

Si bien SyncFuture TSM es un producto genuino de Nanjing Zhongke Huasai Technology Co., Ltd., una empresa china, los atacantes explotan sus capacidades como un poderoso marco de espionaje todo en uno. Esto les permite mantener una persistencia resiliente y gestionar de forma centralizada el robo de información confidencial.

Proceso de ataque de varias etapas

  1. Compromiso inicial y descarga de DLL: El archivo ZIP malicioso distribuido mediante phishing contiene cinco archivos. Todos los archivos excepto “Inspection Document Review.exe” están ocultos. El ejecutable se utiliza para realizar la descarga de DLL, aprovechando una DLL maliciosa presente en el archivo. Esta DLL realiza comprobaciones para detectar retrasos inducidos por el depurador antes de recuperar la carga útil de la siguiente etapa desde un servidor externo.
  2. Evasión y escalada de privilegios: El código shell descargado emplea una técnica basada en COM para omitir el mensaje de Control de cuentas de usuario (UAC) y obtener privilegios administrativos. Para evitar la detección, modifica su propio bloque de entorno de proceso (PEB) para hacerse pasar por el proceso legítimo de Windows “explorer.exe”.
  3. Implementación de Blackmoon y evasión de antivirus: La carga útil de la siguiente etapa, “180.exe”, se recupera del dominio “eaxwwyr[.]cn”. Este instalador de Inno Setup primero comprueba la presencia de Avast Free Antivirus (“AvastUI.exe”). Si se detecta Avast, el malware ejecuta una simulación automática del mouse para navegar por la interfaz del antivirus y agregar archivos maliciosos a su lista de exclusión sin deshabilitar el motor antivirus. Esta técnica de omisión la lleva a cabo una DLL identificada como una variante de la familia de malware Blackmoon.
  4. Implementación de la carga útil final (SyncFuture TSM): Tras la evasión y ejecución exitosas, el malware implementa “mysetup.exe”, que se identifica como SyncFuture TSM. Los atacantes utilizan esta herramienta comercial legítima para obtener control remoto sobre los puntos finales infectados, monitorear la actividad del usuario en tiempo real y filtrar datos de interés.

Actividades posteriores a la explotación

Para mantener el control y preparar el entorno para el robo de datos, los atacantes ejecutan archivos y scripts adicionales:

  • Scripts por lotes que crean directorios personalizados y modifican listas de control de acceso (ACL) para otorgar permisos a todos los usuarios.
  • Scripts por lotes para manipular los permisos de los usuarios en las carpetas del escritorio.
  • Un script por lotes de limpieza y restauración.
  • Un ejecutable llamado “MANC.exe” que organiza servicios y permite un registro extenso.

Conclusiones

Esta campaña demuestra un alto nivel de sofisticación al combinar múltiples técnicas de ataque, incluidos métodos antianálisis, omisión de UAC, descarga de DLL y el abuso de herramientas comerciales de administración remota. Al reutilizar software legítimo para espionaje, los actores de amenazas establecen un poderoso control sobre los entornos comprometidos y obstaculizan los esfuerzos de detección, asegurando un monitoreo continuo y el robo de datos. La campaña destaca una tendencia creciente entre los ciberdelincuentes a utilizar herramientas legítimas para evadir las defensas de seguridad tradicionales.