Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Los actores de amenaza están abusando de Google Forms para distribuir archivos ZIP maliciosos que finalmente instalan el RAT PureHVNC. El archivo incluye un PDF señuelo junto con un ejecutable malicioso y un par de DLL que se ejecutan mediante secuestro de DLL. Una vez lanzado, el malware lleva a cabo el reconocimiento del sistema, roba datos y establece persistencia utilizando cambios en el registro y tareas programadas.
Investigación
Los investigadores documentaron varias variantes de la campaña y confirmaron el abuso de msimg32.dll para el secuestro de DLL. Observaron persistencia a través de la clave de ejecución de registro Miroupdate, ejecución escalonada que deja caer un ZIP final en ProgramData y un cargador de Python ofuscado que ejecuta shellcode de Donut. En la etapa final, el RAT PureHVNC se inyecta en SearchUI.exe.
Mitigación
Los usuarios deben evitar descargar archivos de páginas de Google Forms no confiables o enlaces acortados. Se debe verificar cuidadosamente la legitimidad de formularios y URL compartidos, especialmente los entregados a través de LinkedIn. Las organizaciones deben aplicar filtrado de URL y protección de endpoints para bloquear archivos maliciosos conocidos, dominios y rutas de entrega de cargas útiles.
Respuesta
Los equipos de detección deben buscar la presencia de msimg32.dll, la clave de ejecución Miroupdate, tareas programadas que contengan PowerShell en base64 y comportamiento de inyección de proceso PureHVNC. Los archivos ZIP maliciosos deben ser puestos en cuarentena, los mecanismos de persistencia eliminados y todos los dominios de infraestructura asociados bloqueados.
"graph TB %% Class definitions classDef technique fill:#e6f5ff %% Node definitions tech_user_exec["<b>Técnica</b> – <b>T1204.001 Ejecución del Usuario: Enlace Malicioso</b><br/><b>Descripción</b>: Engaña a un usuario para que haga clic en un enlace malicioso que resulta en la ejecución de código malicioso."] class tech_user_exec technique tech_dll_hijack["<b>Técnica</b> – <b>T1574.001 Secuestro del Flujo de Ejecución: DLL</b><br/><b>Descripción</b>: Carga una DLL maliciosa secuestrando el orden de búsqueda normal de DLL o utilizando técnicas de carga lateral."] class tech_dll_hijack technique tech_user_activity["<b>Técnica</b> – <b>T1497.002 Evasión de Virtualización/Sandbox: Comprobaciones Basadas en la Actividad del Usuario</b><br/><b>Descripción</b>: Comprueba la actividad real del usuario (ratón, teclado, pantalla) para determinar si está ejecutándose en un entorno de sandbox o virtual."] class tech_user_activity technique tech_rc_scripts["<b>Técnica</b> – <b>T1037.004 Scripts de Inicialización de Arranque o Inicio de Sesión: Scripts RC</b><br/><b>Descripción</b>: Modifica o crea scripts RC (control de ejecución) en sistemas similares a Unix para ganar persistencia en el arranque o inicio de sesión."] class tech_rc_scripts technique tech_scheduled_task["<b>Técnica</b> – <b>T1053 Tarea/Trabajo Programado</b><br/><b>Descripción</b>: Crea tareas o trabajos programados que ejecutan código malicioso en un momento posterior o de manera recurrente."] class tech_scheduled_task technique tech_powershell["<b>Técnica</b> – <b>T1059.001 Intérprete de Comandos y Scripts: PowerShell</b><br/><b>Descripción</b>: Utiliza PowerShell para ejecutar comandos, scripts o cargas útiles en el sistema víctima."] class tech_powershell technique tech_compress["<b>Técnica</b> – <b>T1027.015 Archivos o Información Ofuscados: Compresión</b><br/><b>Descripción</b>: Comprime o empaqueta archivos maliciosos para evadir detección y reducir tamaño."] class tech_compress technique tech_dynamic_api["<b>Técnica</b> – <b>T1027.007 Archivos o Información Ofuscados: Resolución Dinámica de API</b><br/><b>Descripción</b>: Resuelve llamadas a API en tiempo de ejecución para ocultar la verdadera intención del código ante análisis estáticos."] class tech_dynamic_api technique tech_process_injection["<b>Técnica</b> – <b>T1055 Inyección de Proceso</b><br/><b>Descripción</b>: Inyecta código malicioso en el espacio de direcciones de otro proceso en ejecución."] class tech_process_injection technique tech_process_hollow["<b>Técnica</b> – <b>T1055.012 Inyección de Proceso: Hueco de Proceso</b><br/><b>Descripción</b>: Crea un proceso legítimo en un estado suspendido y reemplaza su memoria con código malicioso."] class tech_process_hollow technique tech_sysinfo["<b>Técnica</b> – <b>T1082 Descubrimiento de Información del Sistema</b><br/><b>Descripción</b>: Recopila detalles del sistema operativo, hardware y configuración de la víctima."] class tech_sysinfo technique tech_browser_info["<b>Técnica</b> – <b>T1217 Descubrimiento de Información del Navegador</b><br/><b>Descripción</b>: Enumera navegadores instalados, extensiones y configuraciones para ayudar en el robo de credenciales."] class tech_browser_info technique tech_browser_creds["<b>Técnica</b> – <b>T1555.003 Credenciales de Almacenes de Contraseñas: Credenciales de Navegadores Web</b><br/><b>Descripción</b>: Extrae nombres de usuario y contraseñas guardadas de navegadores web."] class tech_browser_creds technique tech_file_creds["<b>Técnica</b> – <b>T1552.001 Credenciales No Seguras: Credenciales En Archivos</b><br/><b>Descripción</b>: Busca en el sistema de archivos material de credenciales almacenado en archivos de texto sin formato o mal protegidos."] class tech_file_creds technique tech_private_keys["<b>Técnica</b> – <b>T1552.004 Credenciales No Seguras: Claves Privadas</b><br/><b>Descripción</b>: Localiza archivos de claves privadas que pueden usarse para suplantar a la víctima."] class tech_private_keys technique tech_web_cookie["<b>Técnica</b> – <b>T1550.004 Uso de Material de Autenticación Alternativo: Cookie de Sesión Web</b><br/><b>Descripción</b>: Reutiliza cookies de sesión web recolectadas para autenticar servicios web sin necesidad de contraseñas."] class tech_web_cookie technique %% Connections tech_user_exec –>|desencadena| tech_dll_hijack tech_dll_hijack –>|realiza| tech_user_activity tech_dll_hijack –>|usa| tech_rc_scripts tech_rc_scripts –>|crea| tech_scheduled_task tech_scheduled_task –>|ejecuta| tech_powershell tech_powershell –>|empaqueta| tech_compress tech_compress –>|incluye| tech_dynamic_api tech_compress –>|habilita| tech_process_injection tech_process_injection –>|usa| tech_process_hollow tech_process_hollow –>|recopila| tech_sysinfo tech_process_hollow –>|descubre| tech_browser_info tech_process_hollow –>|roba| tech_browser_creds tech_process_hollow –>|roba| tech_file_creds tech_process_hollow –>|roba| tech_private_keys tech_process_hollow –>|aprovecha| tech_web_cookie "
Flujo de Ataque
Detecciones
Posible Creación de Tarea Programada (vía powershell)
Ver
Utilidad de Compresión Pasó Directorio Poco Común (vía línea de comandos)
Ver
Ejecución de Python desde Carpetas Sospechosas (vía línea de comandos)
Ver
La Posibilidad de Ejecución a Través de Líneas de Comando de PowerShell Ocultas (vía línea de comandos)
Ver
Posibles Puntos de Persistencia [ASEPs – Hive de Software/NTUSER] (vía registro_evento)
Ver
IOCs (SourceIP) para detectar: Ese “resumen de trabajo” en Google Forms podría infectar tu dispositivo
Ver
IOCs (HashSha256) para detectar: Ese “resumen de trabajo” en Google Forms podría infectar tu dispositivo
Ver
IOCs (DestinationIP) para detectar: Ese “resumen de trabajo” en Google Forms podría infectar tu dispositivo
Ver
Detección de Consultas WMI de PureHVNC [Windows Sysmon]
Ver
Ejecución Sospechosa de Extracción de PDF y ZIP con Ejecución de Script de Python [Creación de Proceso de Windows]
Ver
Ejecución de Simulación
Prerrequisito: El Chequeo Previo de Vuelo de Telemetría y Línea Base debe haber pasado.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y tener como objetivo generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa de Ataque y Comandos:
Un operador comprometió el punto final y desplegó PureHVNC. La herramienta lanza un proceso de PowerShell oculto que emite tres consultas WMI distintas para recopilar información del sistema:SELECT Caption FROM Win32_OperatingSystem– recopila la versión del SO.SELECT * FROM AntiVirusProduct– enumera los productos AV instalados.SELECT * FROM Win32_PnPEntity WHERE (PNPClass = 'Image' OR PNPClass = 'Camera')– descubre cámaras y dispositivos de imagen conectados.
Las consultas se ejecutan mediantewmicpara mezclarse con la actividad administrativa legítima, pero las cadenas exactas coinciden con laseleccióndel bloque de la regla de detección.
-
Script de Prueba de Regresión:
# Simulación de consultas WMI de PureHVNC – activa la regla de detección $queries = @( "SELECT Caption FROM Win32_OperatingSystem", "SELECT * FROM AntiVirusProduct", "SELECT * FROM Win32_PnPEntity WHERE (PNPClass = 'Image' OR PNPClass = 'Camera')" ) foreach ($q in $queries) { # Usa wmic para ejecutar la consulta; wmic imprime la salida en stdout wmic /namespace:rootcimv2 path __Namespace where "Name='root'" call CreateInstance $q 2>$null # Forza una breve pausa para asegurar que cada evento se registre por separado Start-Sleep -Milliseconds 500 } -
Comandos de Limpieza:
# Eliminar cualquier archivo temporal y terminar procesos wmic restantes Get-Process wmic -ErrorAction SilentlyContinue | Stop-Process -Force # No se crean artefactos persistentes con el script anterior.