Artículo gentiliza de Any.Run para Segu-Info

Los investigadores de ANY.RUN descubrieron una nueva familia de malware llamada DeerStealer. Los atacantes están distribuyendo el software malicioso a través de sitios web que imitan una de las páginas oficiales de Google. La campaña está en curso desde julio.

Cadena de ataque detallada

El ataque comienza con un sitio web falso que promociona Google Authenticator, su herramienta de autenticación de dos factores (ver análisis en la sandbox).

La página legítima de Google que probablemente utilizaron los operadores de la campaña para crear un clon malicioso es safety[.]google/intl/en_my/cybersecurity-advancements. Se le solicita al usuario que descargue la aplicación falsa haciendo clic en el botón "Download" en la esquina superior derecha de la página (Figura 1).

Esto desencadena dos acciones:

• La IP y el país del visitante se envían al bot de Telegram controlado por los atacantes (Figura 2).
• El programa falso Google Authenticator se descarga en la computadora del usuario desde GitHub.

Los investigadores han elaborado una lista de dominios utilizados por los atacantes para alojar sus páginas falsas (Figura 3).

El archivo descargado tiene una firma válida que pertenece a Reedcode ltd. (Figura 4). Sin embargo, no es el ejecutable final, ya que se utiliza simplemente para ejecutar la carga útil DeerStealer.

La carga útil en sí se ejecuta únicamente en la memoria, sin descargar ningún archivo a la computadora (ver análisis). Esta carga útil emplea varias técnicas de ofuscación para dificultar el análisis.

Cada llamada a la API se realiza a través de un método especial que obtiene la dirección de la función API de una variable global y luego salta a esa dirección utilizando la instrucción JMP RAX (Figura 5).

El malware extrae datos confidenciales del dispositivo infectado, incluidos datos del navegador y del cliente FTP (Figura 6), junto con información del sistema. Los datos transmitidos se cifran mediante XOR de un solo byte y con la clave 0xC.

Acerca de DeerStealer

DeerStealer es una amenaza emergente que ha estado activa durante el último mes. Según Any.run, el malware comparte la misma infraestructura de comando y control (C2) con XFiles, otro malware con capacidades de robo.

Sin embargo, existen dos diferencias principales entre las dos familias:

• DeerStealer está escrito en C y se compila en código de máquina, mientras que XFiles utiliza la plataforma .NET.
• XFiles utiliza una única solicitud POST para enviar todos los datos recopilados en la máquina infectada. Por otro lado, DeerStealer comienza su comunicación enviando un ID de hardware del host y, después de recibir la respuesta del C2, extrae toda la información robada. Es probable que el malware DeerStealer sea simplemente una versión de XFiles reescrita en otro lenguaje.

Este tipo de análisis de malware y phishing se puede realizar en la sandbox de ANY.RUN con una cuenta gratuita.