Software Convertidor Gratis – Convierte Cualquier Sistema de Limpio a Infectado en Segundos
Seguir
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Las campañas de malvertising en sitios legítimos están promoviendo utilidades de “convertidor” falsas que parecen inofensivas pero que instalan malware de acceso remoto persistente en segundo plano. Una vez ejecutado, el instalador generalmente coloca componentes de puerta trasera en %LocalAppData% y crea tareas programadas que lanzan repetidamente la carga, asegurando que el atacante mantenga el acceso a través de los reinicios. La operación se basa en un conjunto rotativo de dominios similares, binarios firmados (pero maliciosos) y un flujo de trabajo de mando y control basado en HTTP simple. Los defensores pueden priorizar la detección en la creación anómala de tareas programadas, la ejecución sospechosa desde rutas escribibles por el usuario y el tráfico saliente a la infraestructura C2 identificada.
Investigación
Los investigadores reconstruyeron la ruta de infección desde anuncios maliciosos de Google a páginas de aterrizaje alojadas en dominios suplantados como pokemoninfinitefusion.net, convertyfileapp.com y conmateapp.com, que finalmente entregan las cargas finales. Los binarios entregados son ejecutables .NET firmados con certificados robados, y establecen persistencia creando una tarea programada que ejecuta UpdateRetriever.exe desde %LocalAppData%. La telemetría mostró que el malware contacta periódicamente a confetly.com para recibir actualizaciones o instrucciones. Los analistas también validaron artefactos asociados al sistema de archivos y configuración, incluidos un marcador id.txt y las definiciones de la tarea programada utilizadas para mantener activa la puerta trasera.
Mitigación
Habilitar y operacionalizar la creación de registros para la creación de tareas programadas (ID de Evento de Seguridad 4698) y telemetría de modificación de registros (por ejemplo, ID de Evento de Sysmon 13). Reducir el riesgo de ejecución bloqueando o controlando estrictamente los lanzamientos de procesos desde %LocalAppData% utilizando AppLocker o WDAC, y alertar sobre tareas programadas que apuntan a directorios escribibles por el usuario. Tratar los certificados de firma de código sospechosos o recién observados como de alto riesgo: revocarlos o bloquearlos cuando sea posible, y agregar controles de dominio para la infraestructura maliciosa conocida. En la capa de red, desplegar detecciones para la actividad HTTP saliente a confetly.com y patrones de URL relacionados, y considerar prevenir el tráfico directo a internet desde estaciones de trabajo de usuarios cuando sea factible.
Respuesta
Cuando se detecta una tarea programada sospechosa, o cuando se observan ejecutables corriendo desde %LocalAppData%, aislar el punto final y preservar evidencia (XML de la tarea, binarios descargados y registros proxy/DNS relevantes). Bloquear confetly.com y cualquier infraestructura relacionada inmediatamente para interrumpir el mando y control. Eliminar la tarea programada maliciosa, erradicar los artefactos de la carga y realizar una remediación completa del punto final para confirmar que no queda persistencia secundaria. Finalmente, realizar una búsqueda en toda la empresa de los mismos indicadores (nombres/rutas de tareas, UpdateRetriever.exe, id.txt y los dominios listados) para delimitar sistemas adicionales afectados.
"graph TB %% Class Definitions classDef technique fill:#c2e0ff classDef operator fill:#ffcc66 %% Nodes u2013 Techniques initial_access["<b>Technique</b> – <b>T1659 Malicious Advertising</b><br/><b>Description</b>: The adversary leverages malicious online ads to deliver malicious content to victims via content injection."] class initial_access technique user_execution["<b>Technique</b> – <b>T1204 User Execution</b><br/><b>Description</b>: Victim manually clicks the malicious advertisement and runs the downloaded payload."] class user_execution technique dropper["<b>Technique</b> – <b>T1036.001 Masquerading: Invalid Code Signature</b><br/><b>Description</b>: A signed converter executable is used to masquerade as a legitimate tool, subverting trust controls."] class dropper technique subvert_trust["<b>Technique</b> – <b>T1553 Subvert Trust Controls</b><br/><b>Description</b>: The signed binary defeats security mechanisms that rely on code signing trust."] class subvert_trust technique powershell["<b>Technique</b> – <b>T1059.001 PowerShell</b><br/><b>Description</b>: PowerShell script is executed to create a scheduled task for persistence."] class powershell technique scheduled_task["<b>Technique</b> – <b>T1053 Scheduled Task</b><br/><b>Description</b>: A scheduled task is created to run the UpdateRetriever executable at regular intervals."] class scheduled_task technique persistence["<b>Technique</b> – <b>T1053 Scheduled Task (Persistence)</b><br/><b>Description</b>: The scheduled task provides longu2011term execution of the malicious updater."] class persistence technique c2_https["<b>Technique</b> – <b>T1071.001 Web Protocols: Web</b><br/><b>Description</b>: Command and control traffic is sent over HTTPS using standard web protocols."] class c2_https technique compression["<b>Technique</b> – <b>T1027.015 Archive via Utility</b><br/><b>Description</b>: Payloads are stored inside ZIP archives to evade detection."] class compression technique %% Operator Node (AND logic) op_and(("AND")) class op_and operator %% Connections u2013 Flow initial_access –>|leads_to| user_execution user_execution –>|delivers| dropper dropper –>|uses| subvert_trust dropper –>|stores_payloads_in| compression dropper –>|executes| powershell powershell –>|creates| scheduled_task scheduled_task –>|enables| persistence persistence –>|communicates_with| c2_https "
Attack Flow
Detections
Possible Defense Evasion Activity By Suspicious Use of Wevtutil (via cmdline)
View
Suspicious Scheduled Task (via audit)
View
Scheduled Task via COM Object (via powershell)
View
IOCs (HashSha256) to detect: Free Converter Software – Convert Any System from Clean to Infected in Seconds Part 7
View
IOCs (HashSha256) to detect: Free Converter Software – Convert Any System from Clean to Infected in Seconds Part 5
View
IOCs (HashSha256) to detect: Free Converter Software – Convert Any System from Clean to Infected in Seconds Part 6
View
IOCs (HashSha256) to detect: Free Converter Software – Convert Any System from Clean to Infected in Seconds Part 4
View
IOCs (HashSha256) to detect: Free Converter Software – Convert Any System from Clean to Infected in Seconds Part 1
View
IOCs (HashSha256) to detect: Free Converter Software – Convert Any System from Clean to Infected in Seconds Part 3
View
IOCs (HashSha256) to detect: Free Converter Software – Convert Any System from Clean to Infected in Seconds Part 2
View
IOCs (HashSha1) para detectar: Free Converter Software – Convierte cualquier sistema de limpio a infectado en segundos
View
Modificación del Registro de Tareas Programadas para Persistencia de Malware [Evento del Registro de Windows]
View
Detectar la Creación de Tareas Programadas para Persistencia de Malware [Registro de Eventos de Seguridad de Microsoft Windows]
View
Detectar Creación de Archivos de Payload Malicioso y UUID de ConvertMate [Evento de Archivo de Windows]
View
Simulation Execution
Prerequisite: The Telemetry & Baseline Pre‑flight Check must have passed.
Rationale: This section details the precise execution of the adversary technique (TTP) designed to trigger the detection rule. The commands and narrative MUST directly reflect the TTPs identified and aim to generate the exact telemetry expected by the detection logic.
-
Attack Narrative & Commands:
An attacker who has already obtained local system access wishes to maintain persistence across reboots. They decide to abuse the Windows Task Scheduler’s registry backend because it is a “living‑off‑the‑land” method that avoids creating new executable files. Usingreg.exe, they add a new task definition directly under theTaskCacheTaskshive, pointing to a malicious payload located in%LocalAppData%. This write generates a Sysmon Event 13 with aRegistryPathmatching the rule’s selector, causing the alert to fire. -
Regression Test Script:
# ------------------------------------------------------------------------- # PowerShell script to simulate T1547.014 / T1574.014 – Scheduled Task persistence # ------------------------------------------------------------------------- # Variables $taskGuid = [guid]::NewGuid().ToString("B").ToUpper() # e.g. {A1B2C3D4-...} $payload = "$env:LOCALAPPDATAmalwareevil.exe" $regPath = "HKLM:SoftwareMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks$taskGuid" # Ensure payload directory exists (simulated) New-Item -Path (Split-Path $payload) -ItemType Directory -Force | Out-Null # (In a real attack, the malicious binary would be dropped here) # Create the registry key for the scheduled task New-Item -Path $regPath -Force | Out-Null # Populate minimal required values (Task XML would be far larger; we keep it simple) New-ItemProperty -Path $regPath -Name "Path" -Value $payload -PropertyType String -Force | Out-Null New-ItemProperty -Path $regPath -Name "Id" -Value $taskGuid -PropertyType String -Force | Out-Null New-ItemProperty -Path $regPath -Name "SecurityDescriptor" -Value "O:BAG:SYD:(A;;FA;;;SY)(A;;FA;;;BA)" -PropertyType String -Force | Out-Null Write-Host "[+] Registry task written to $regPath – detection rule should fire." -
Cleanup Commands:
# Remove the malicious scheduled‑task registry entry $taskGuid = (Get-ItemProperty -Path "HKLM:SoftwareMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks*").Id $regPath = "HKLM:SoftwareMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks$taskGuid" Remove-Item -Path $regPath -Recurse -Force # Optionally remove the dummy payload Remove-Item -Path "$env:LOCALAPPDATAmalware" -Recurse -Force Write-Host "[+] Cleanup completed."