En el siempre evolucionante campo de la ciberseguridad, los atacantes están constantemente buscando nuevas vías para desplegar sus actividades maliciosas. Una táctica emergente que ha captado la atención de expertos y usuarios por igual es el uso de sitios de medios de comunicación para difundir malware a través de dispositivos USB.
Fue descubierto que un actor de amenazas con motivaciones financieras empleaba dispositivos USB para llevar a cabo la infección inicial. Estos atacantes se valían de plataformas en línea legítimas, como GitHub, Vimeo y Ars Technica, para alojar cargas útiles codificadas que se camuflaban en contenido aparentemente inofensivo.
Los atacantes escondían estas cargas útiles a plena vista, colocándolas en perfiles de usuarios de foros en sitios de noticias tecnológicas o en las descripciones de videos en plataformas de alojamiento de medios.
Es importante destacar que estas cargas útiles no representaban ningún peligro para los usuarios que visitaban estas páginas web, ya que consistían únicamente en cadenas de texto. No obstante, desempeñaban un papel crucial en la cadena de ataque de la campaña, ya que permitían la descarga y ejecución de malware en los ataques.
La firma de seguridad Mandiant ha estado rastreando a los piratas informáticos responsables de esta campaña, identificados como UNC4990, quienes han estado activos desde el año 2020 y se han centrado principalmente en atacar a usuarios en Italia.
Conoce más sobre: USB Maliciosos desatan Criptojacking en empresas de Italia
La cadena de ataques se inicia cuando las víctimas hacen doble clic en un archivo de acceso directo LNK malicioso que se encuentra en una unidad USB. Aún se desconoce la forma en que estos dispositivos USB maliciosos llegan a las víctimas para dar inicio a la secuencia de ataques.
Una vez que se ejecuta el acceso directo, este activa un script de PowerShell denominado "explorer.ps1", el cual, a su vez, descarga una carga útil intermedia que descifra una URL empleada para la descarga e instalación del descargador de malware llamado 'EMPTYSPACE'.
Estas cargas útiles intermedias consisten en cadenas de texto que se descodifican para generar una URL destinada a la descarga de la siguiente carga útil: 'EMPTYSPACE'.
El grupo de amenazas UNC4990 ha experimentado con diversos enfoques para alojar estas cargas útiles intermedias. Inicialmente, optaron por codificar archivos de texto en GitHub y GitLab. Luego, cambiaron su estrategia, aprovechando Vimeo y Ars Technica para alojar cargas útiles compuestas de cadenas codificadas en Base64 y cifradas mediante AES.
Video alojado en Vimeo que encierra código malicioso dentro de su descripción
Es importante destacar que los atacantes no explotan vulnerabilidades en estos sitios web; en cambio, aprovechan las características normales de los mismos, como una página "Acerca de" en un perfil de foro de Ars Technica o una descripción de video en Vimeo. De esta manera, logran alojar de manera encubierta las cargas útiles ofuscadas sin despertar sospechas.
Adicionalmente, es relevante mencionar que estas cargas útiles no representan una amenaza directa para los visitantes de los sitios utilizados de manera abusiva, ya que únicamente consisten en cadenas de texto inofensivas. Todos los casos documentados por Mandiant hasta el momento han sido eliminados de las plataformas intermedias afectadas.
Una ventaja de alojar las cargas útiles en plataformas legítimas y de buena reputación es que los sistemas de seguridad confían en ellas, lo que disminuye la probabilidad de que sean identificadas como sospechosas.
Además, los actores de amenazas se benefician de las sólidas redes de entrega de contenido de estas plataformas y tienen una mayor resistencia ante las eliminaciones. Al incrustar las cargas útiles en contenido legítimo y mezclarlas con grandes volúmenes de tráfico legítimo, se dificulta la identificación y eliminación del código malicioso.
Incluso en el caso de su detección, los atacantes pueden fácilmente reintroducirlo en una plataforma diferente que permita comentarios o perfiles públicamente visibles.
Te podrá interesar leer: BadUSB: El Enemigo Invisible en su Puerto USB
El script de PowerShell se encarga de descodificar, descifrar y ejecutar la carga útil intermedia obtenida de fuentes legítimas, lo que resulta en la implantación de 'EMPTYSPACE' en el sistema infectado, permitiendo que este establezca una conexión con el servidor de comando y control (C2) de la campaña.
En etapas posteriores del ataque, 'EMPTYSPACE' descarga una puerta trasera denominada 'QUIETBOARD' junto con mineros de criptomonedas que extraen Monero, Ethereum, Dogecoin y Bitcoin. Las direcciones de billetera asociadas a esta campaña han generado ganancias que superan los 55.000 dólares, sin incluir Monero, que permanece oculto.
'QUIETBOARD' es una sofisticada puerta trasera de múltiples componentes utilizada por UNC4990, con una amplia gama de funcionalidades que incluyen:
'QUIETBOARD' también establece una persistencia que se mantiene incluso después de reiniciar el sistema y admite la adición dinámica de nuevas capacidades a través de módulos adicionales. Mandiant subraya que UNC4990 tiende a experimentar con sus campañas con el fin de encontrar las mejores rutas para su cadena de ataques y mejorar sus tácticas.
A pesar de las medidas de prevención aparentemente simples, el malware basado en USB sigue siendo una amenaza importante y continúa siendo un medio eficaz de propagación utilizado por ciberdelincuentes. La táctica de utilizar sitios legítimos para ocultar cargas útiles intermedias demuestra que las amenazas pueden esconderse en lugares inesperados y en apariencia seguros, desafiando las convenciones de seguridad tradicionales.
Desarrollo en la Funcionalidad del Script PowerShell
Conoce más sobre: Análisis de Malware con Wazuh
El uso de sitios de medios de comunicación para distribuir malware a través de dispositivos USB destaca la necesidad de vigilancia constante en el ámbito digital. Tanto usuarios individuales como organizaciones deben adoptar prácticas de seguridad proactivas para protegerse contra estas tácticas cada vez más sofisticadas. La educación continua, la actualización de software y la adopción de herramientas de seguridad adecuadas son fundamentales para mantenerse un paso adelante de los ciberdelincuentes. En última instancia, la colaboración entre individuos, empresas y el sector tecnológico es esencial para construir un ecosistema digital más seguro para todos.