Documento Falso, Acceso Real: Suplantación de Foxit Permite Control VNC Encubierto

Resumen

Actores de amenazas están distribuyendo ejecutables maliciosos que parecen ser instaladores legítimos de Foxit PDF. El instalador falso recupera un paquete MSI dañino que coloca componentes de UltraVNC dentro de un directorio falso temático de GPU y mantiene persistencia a través de una clave de registro Run. Una vez instalado, el malware configura un servidor VNC oculto que inicia conexiones salientes a un dominio malicioso, dando a los atacantes acceso remoto sigiloso al sistema comprometido.

Investigación

La investigación descubrió archivos falsos como datei.exe and personalfoxypdf.msi, que descargaron e instalaron UltraVNC en C:intel-GPU. Un script por lotes luego enumeró los GUID de los perfiles de red, creó excepciones de firewall, escribió un identificador único en IDD.txt, y añadió una entrada de registro Run para iniciar gpu.exe con parámetros que se conectaron a hallonews.servemp3.com:5500. Los investigadores también observaron el malware terminando forzosamente rundll32.exe y mostrando una imagen de pasaporte señuelo para distraer a la víctima.

Mitigación

Las organizaciones deben aplicar listas de permitidos de aplicaciones, validar las firmas de código de los instaladores antes de la ejecución, bloquear archivos MSI no confiables y monitorear entradas de registro Run que apunten a ejecutables desconocidos. También se debe restringir el tráfico saliente a dominios sospechosos. La concienciación del usuario sigue siendo esencial, especialmente acerca de los riesgos de ejecutar instaladores inesperados disfrazados como software de confianza.

Respuesta

Si se detecta esta actividad, aísle el punto final afectado inmediatamente, termine el proceso UltraVNC, elimine el C:intel-GPU directorio, y borre la entrada de registro Run maliciosa. Reconfigure cualquier credencial potencialmente expuesta, realice una investigación forense completa, y actualice las reglas de detección para cubrir los indicadores de compromiso identificados.

Ejecución de Simulación

Requisito previo: El Chequeo Pre‑vuelo de Telemetría & Base debe haber pasado.

Narrativa & Comandos de Ataque

1. Cree el directorio escondido “intel‑GPU” para imitar la ruta legítima de un proveedor de GPU.
2. Soltar cargas útiles maliciosas (gpu.exe, UltraVNC.ini, etc.) en ese directorio. El ejecutable es una copia del binario del servidor UltraVNC renombrado para camuflaje.
3. Desplegar un script por lotes (gpu.cmd) que:
   • Agrega una regla de firewall permitiendo VNC entrante (puerto 5900).
   • Registra el servicio VNC para persistencia a través de sc create.
   • Escribe configuración mínima en UltraVNC.ini.
4. Ejecute el script por lotes usando cmd.exe (Ejecución de Proxy de Binario Firmado).

Estos pasos generan los eventos exactos de creación de archivos listados en la regla de detección, más eventos de creación de procesos y reglas de firewall que pueden usarse para enriquecimiento.

Script de Prueba de Regresión

# -------------------------------------------------
#  Simulación de Control VNC Sigiloso – PowerShell
# -------------------------------------------------
# 1. Preparar directorio oculto
$targetDir = "$env:ProgramDataintel-GPU"
if (-Not (Test-Path $targetDir)) {
    New-Item -Path $targetDir -ItemType Directory -Force | Out-Null
    # Ocultar la carpeta (opcional)
    attrib +h $targetDir
}

# 2. Soltar archivos falsos de GPU (estos son marcadores benignos para la demo)
$files = @("gpu.txt","gpu.exe","gpu.cmd","UltraVNC.ini","IDD.txt")
foreach ($f in $files) {
    $path = Join-Path $targetDir $f
    Set-Content -Path $path -Value "Marcador para $f" -Encoding ASCII -Force
}

# 3. Escribir un UltraVNC.ini mínimo (la configuración real sería más extensa)
@"
[VNC]
Password=redteam
"@ | Set-Content -Path (Join-Path $targetDir "UltraVNC.ini") -Encoding ASCII -Force

# 4. Crear un script por lotes que añada una regla de firewall y registre el servicio
$batchPath = Join-Path $targetDir "gpu.cmd"
@"
@echo off
rem Añadir regla de firewall para VNC (puerto 5900)
netsh advfirewall firewall add rule name=`"UltraVNC`" dir=in action=allow protocol=TCP localport=5900
rem Registrar servicio UltraVNC (usando el exe renombrado)
sc create UltraVNC binPath= `""$targetDirgpu.exe`"" start= auto
"@ | Set-Content -Path $batchPath -Encoding ASCII -Force

# 5. Ejecutar el script por lotes vía cmd.exe (proxy de binario firmado)
Start-Process -FilePath "cmd.exe" -ArgumentList "/c `"$batchPath`"" -WindowStyle Hidden -Wait

Write-Host "Simulación de VNC sigiloso completada."

Comandos de Limpieza

# -------------------------------------------------
#  Limpieza de Artefactos de VNC Sigiloso
# -------------------------------------------------
$targetDir = "$env:ProgramDataintel-GPU"

# Eliminar regla de firewall
netsh advfirewall firewall delete rule name="UltraVNC" > $null 2>&1

# Eliminar el servicio
sc stop UltraVNC > $null 2>&1
sc delete UltraVNC > $null 2>&1

# Eliminar el directorio y todos los archivos
if (Test-Path $targetDir) {
    Remove-Item -Path $targetDir -Recurse -Force
}

Write-Host "Limpieza completa."