LuxPlague: actor que apunta a usuarios corporativos de Argentina con malware

Analizamos una campaña de un actor de amenazas, al cual hemos denominado LuxPlague, que apunta a usuarios corporativos de Argentina para distribuir una variante del troyano de acceso remoto NjRAT para espiar.

Analizamos una campaña de un actor de amenazas, al cual hemos denominado LuxPlague, que apunta a usuarios corporativos de Argentina para distribuir una variante del troyano de acceso remoto NjRAT para espiar.

Investigadores de ESET descubrieron un actor de amenazas que viene llevando adelante campañas maliciosas enfocadas en usuarios corporativos de Argentina distribuyendo un conocido troyano de acceso remoto (RAT, por sus siglas en inglés) para espiar en los equipos de sus víctimas. Podemos afirmar, con un alto nivel de confianza, que este actor malicioso no es muy sofisticado y que es del mismo país que las organizaciones apuntadas.

Decidimos llamarlo LuxPlague, ya que tras un exhaustivo análisis de distintas muestras de malware utilizadas pudimos determinar que, según los datos de nuestra telemetría, este actor de amenazas es el responsable del mayor porcentaje de detecciones de NjRAT en Argentina, un popular troyano que suele ser utilizado por otros actores maliciosos como plantilla de malware.

A partir del análisis de las muestras que recolectamos del malware, las URL y las direcciones IP asociadas de los servidores de C&C utilizados para controlar remotamente los equipos comprometidos de sus víctimas, creamos un mapa bastante completo de las actividades de este actor malicioso, la cual se remonta al menos a 2018 y se mantenía en actividad a fines de 2021.

Cadena de infección de LuxPlague

Cuando un actor malicioso comienza a enfocarse en un objetivo en particular y utiliza ciertas temáticas específicas resulta más fácil detectar una campaña activa y atribuirla a un determinado grupo. Y esto fue precisamente lo que sucedió con LuxPlague.

Si bien al momento de escribir este artículo este operador se mantiene en actividad, describimos el comportamiento que ha tenido sobre la base de una campaña que hemos descubierto y que comenzó en septiembre 2020. La misma incluía el envío masivo de correos de phishing que pretendía engañar a las potenciales víctimas haciéndole creer que se trataba de una notificación de la Administración Federal de Ingresos Públicos (AFIP) de Argentina.

Imagen 1. Cadena de infección de la campaña de septiembre 2020.

Los correos que hemos detectado contenían como adjunto un archivo comprimido en formato ZIP que contiene un archivo .vbs con un script que descarga un falso archivo JPG de un servicio web de hosting de archivos.

La falsa imagen JPG es en realidad un script Powershell que contiene al troyano codificado en base64. Una vez decodificado lo ejecuta dinámicamente utilizando funciones de .NET framework, por lo que el script no almacena al troyano en el disco directamente.

Imagen 2.Codigo PowerShell que decodifica el malware y luego lo ejecuta.

Como adelantamos, el malware que utiliza LuxPlague es una variante de NjRAT, un troyano de código abierto que se cree fue desarrollado originalmente en Medio Oriente y cuyo código después se filtró. La variante utilizada por LuxPlague fue creada por el mismo actor que desarrollo LimeRAT, una versión más poderosa de NjRAT que ha sido utilizada por otros cibercriminales en múltiples campañas a lo largo del mundo.

Capacidades del RAT distribuido por LuxPLague:

  • Conexión al servidor C&C vía Sockets TCP en tiempo real
  • Realizar capturas de pantalla en el equipo comprometido
  • Realizar captura de imágenes a través de la cámara web
  • Registrar pulsaciones de teclado (Keylogging)
  • Ampliar sus capacidades mediante plugins
  • Enumeración de ventanas
  • Establecer persistencia modificando el Registro de Windows y desinstalación automática del malware
  • Actualizarse
  • Modificar el registro de Windows
  • Descargar archivos comprimidos en formato GZIP, extraer su contenido y ejecutarlo
  • Descargar archivos ejecutables desde un servidor web y ejecutarlos

Este RAT está configurado para resolver la IP de la URL avastsecure32.publicvm[.]org, la cual utiliza para conectarse vía TCP por el puerto 3040.

Imagen 3. Código que se encarga de establecer los valores predeterminados de configuración en el troyano. Resaltado: URL del servidor C&C y el número del puerto.

Tras un análisis de las IP asociadas con las distintas URL que identificamos en las muestras creamos una lista bastante completa de varios de los servidores C&C asociados a este actor malicioso:

• avastsecure32.publicvm[.]com
• daleriamz.ddns[.]net
• framework.ddns[.]net
• defenderup64.ddns[.]net
• winup.publicvm[.]com
• pepito1337.hopto[.]org
• updatesvchost.ddns[.]net
• searchwin.ddns[.]net
• microupdate32.ddns[.]net
• owned123.linkpc[.]net
• saynomore.ddns[.]net
• riamz.ddns[.]net
• menem.ddns[.]net
• olala.ddns[.]net
• jamaica123.ddns[.]net

De la fantasía a la realidad

De acuerdo a la campaña que analizamos creemos que el envío de correos de phishing para distribuir la amenaza comenzó con el compromiso de un equipo de una organización gubernamental Argentina. Una vez logrado esto el actor recolectó una base de datos que contenía direcciones de correo de proveedores de todo tipo de industrias, así como de otras organizaciones gubernamentales, para luego utilizar un programa para el envío masivo de malspam.

Si bien el actor de amenazas detrás de LuxPlague no se caracteriza por ser muy sofisticada y esto se observa también en algunas fallas de seguridad presentes en su accionar, vale la pena mencionar que ha continuado probando herramientas para ofuscar binarios y diseminando esta variante de NjRAT a lo largo de todo 2021, por lo que no sabemos cómo utilizará este operador los equipos comprometidos o si habrá algún giro en el objetivo de sus campañas.

Los productos de ESET detectan la variante utilizada por LuxPlague como MSIL/Blandabindi.

Consejos para estar protegido

Considerando que se distribuye a través de correos de phishing, recuerde:

  • No abrir correos si duda de que sean verdaderos
  • Revisar atentamente la dirección del remitente y si es legítima o no
  • No abrir enlaces ni descargar archivos adjuntos en correos enviados por desconocidos
  • Revisar la extensión de los archivos adjuntos para ver si el formato verdadero está oculto
  • Tener una solución de seguridad instalada en su equipo que detecte el adjunto malicioso

Hashes de la campaña de septiembre de 2020

Hash SHA1Nombre de archivoNombre de detección de ESET
A4E02E1C136641A37A1BEE0A23E1732B17326996Notificacion_AFIP.vbsVBS/TrojanDownloader.Agent.UIS trojan
BFF251CE126CCA54613BA50E1B4815424B186518kzlsh1rsoz84.jpgPowerShell/Injector.AU
581873910CB22EE82D16B263DB10F02A4FC4CA2EMSIL/Bladabindi.AZ trojan

Tabla de MITRE ATT&CK con algunas técnicas que se han utilizado en variantes de njRAT.

Tecnica ( ID)  NombreDescripción
T10710.001Application Layer Protocol: Web ProtocolsnjRAT  has used HTTP for C2 communications.
T1010Application Window DiscoverynjRAT  gathers information about opened windows during the initial infection.
T1547.001Boot or Logon Autostart Execution: Registry Run Keys / Startup FoldernjRAT has added persistence via the Registry key HKCU\Software\Microsoft\CurrentVersion\Run\ and dropped a shortcut in %STARTUP%.
T1059.003Command and Scripting Interpreter: Windows Command ShellnjRAT  can launch a command shell interface for executing commands.
.001Command and Scripting Interpreter: PowerShellnjRAT has executed PowerShell commands via auto-run registry key persistence.
T15550.003Credentials from Password Stores: Credentials from Web BrowsersnjRAT has a module that steals passwords saved in victim web browsers.
T11320.001Data Encoding: Standard EncodingnjRAT uses Base64 encoding for C2 traffic.
T1005Data from Local SystemnjRAT can collect data from a local system.
T15680.001Dynamic Resolution: Fast Flux DNSnjRAT has used a fast flux DNS for C2 IP resolution.
T1041Exfiltration Over C2 ChannelnjRAT has used HTTP to receive stolen information from the infected machine.
T1083File and Directory DiscoverynjRAT can browse file systems using a file manager module.
T15620.004Impair Defenses: Disable or Modify System FirewallnjRAT has modified the Windows firewall to allow itself to communicate through the firewall.
T1070Indicator Removal on HostnjRAT is capable of deleting objects related to itself (registry keys, files, and firewall rules) on the victim.
T1105Ingress Tool TransfernjRAT can download files to the victim’s machine.
T10560.001Input Capture: KeyloggingnjRAT  is capable of logging keystrokes.
T1112Modify RegistrynjRAT can create, delete, or modify a specified Registry key or value.
T1106Native APInjRAT has used the ShellExecute() function within a script.
T1571Non-Standard PortnjRAT has used port 1177 for HTTP C2 communications.
T1027Obfuscated Files or InformationnjRAT has included a base64 encoded executable.
0.004Compile After DeliverynjRAT  has used AutoIt to compile the payload and main script into a single executable after delivery.
T1120Peripheral Device DiscoverynjRAT will attempt to detect if the victim system has a
T1057Process DiscoverynjRAT can search a list of running processes for Tr.exe.
T1012Query RegistrynjRAT can read specific registry values.
T10210.001Remote Services: Remote Desktop ProtocolnjRAT has a module for performing remote desktop access.
T1018Remote System DiscoverynjRAT can identify remote hosts on connected networks
T1091Replication Through Removable MedianjRAT can be configured to spread via removable drives
T1113Screen CapturenjRAT can capture screenshots of the victim’s machines.
T1082System Information DiscoverynjRAT enumerates the victim operating system and computer name during the initial infection.
T1033System Owner/User DiscoverynjRAT enumerates the current user during the initial
T1125Video CapturenjRAT can access the victim's webcam.

Suscríbase aquí para recibir actualizaciones sobre cualquier artículo nuevo en la sección crisis en Ucrania.

Newsletter

Discusión