Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Los actores de amenazas están utilizando creadores de sitios web impulsados por IA para crear páginas de phishing persuasivas que imitan marcas bancarias brasileñas. Estas páginas se basan en la técnica ClickFix, utilizando verificaciones CAPTCHA falsas y mensajes de recuperación del sistema para convencer a las víctimas de ejecutar comandos maliciosos de PowerShell. El resultado es la entrega de SmartRAT, un troyano bancario basado en PowerShell diseñado para el acceso remoto y el robo de información financiera.
Investigación
Zscaler ThreatLabz identificó múltiples dominios de typosquatting y analizó la cadena de infección completa, observando comentarios de código generados por IA y scripts diseñados para resistir la inspección. La investigación también expuso una debilidad en el panel de comando y control construido por IA que permitía eludir la autenticación a través de la manipulación de localStorage . Los investigadores además decodificaron el protocolo de comunicación de SmartRAT y documentaron su uso de cifrado AES-CBC.
Mitigación
Las organizaciones deben desplegar filtros web para bloquear dominios conocidos de typosquatting y maliciosos. Las defensas del endpoint deben configurarse para detectar y restringir actividad sospechosa de PowerShell y la creación de tareas programadas no autorizadas. Los esfuerzos de concienciación al usuario también deberían enseñar a los empleados a reconocer la ingeniería social estilo ClickFix, incluidos los falsos pantallazos azules, mensajes de recuperación o CAPTCHA.
Respuesta
Si se detecta actividad de SmartRAT, aísle inmediatamente los endpoints afectados para detener el tráfico de comando y control y limitar más movimientos. Realice un análisis forense para determinar el método de persistencia, ya sea basado en servicios o en tareas programadas, y busque artefactos relacionados como msedgeupdate.txt. Revise los registros de proxy web para el tráfico hacia la infraestructura identificada e inicie restablecimientos de credenciales para cualquier usuario afectado.
"graph TB %% Class Definitions Section classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef technique fill:#ccffcc %% Initial Access and Execution Phase action_phishing["<b>Acción</b> – <b>T1566 Phishing</b><br/>Los actores de amenaza utilizan dominios de typosquatting<br/>y sitios web generados por IA para atraer a las víctimas."] class action_phishing action action_clickfix["<b>Acción</b> – <b>T1204.004 Ejecución de Usuario: Copiar y Pegar Malicioso</b><br/>Engañar a los usuarios para que peguen un<br/>comando malicioso de PowerShell en la caja de ejecución de Windows."] class action_clickfix action action_ingress["<b>Acción</b> – <b>T1105 Transferencia de Herramientas de Ingreso</b><br/>Descargar un dropper sigiloso llamado st.txt<br/>desde la IP remota 64.95.13.238."] class action_ingress action tool_dropper["<b>Herramienta</b> – <b>Nombre</b>: st.txt<br/><b>Descripción</b>: Dropper sigiloso utilizado para<br/>facilitar la entrega del malware principal."] class tool_dropper tool %% Malware Execution and Persistence Phase malware_smartrat["<b>Malware</b> – <b>Nombre</b>: SmartRAT<br/><b>Descripción</b>: RAT principal utilizado para<br/>vigilancia y robo de datos financieros."] class malware_smartrat malware action_user_exec_file["<b>Acción</b> – <b>T1204.002 Ejecución de Usuario: Archivo Malicioso</b><br/>Ejecuta el malware principal SmartRAT."] class action_user_exec_file action action_gather_info["<b>Acción</b> – <b>T1592.001/002 Recoger Información del Host de la Víctima</b><br/>Recoge detalles de hardware, software y OS<br/>para generar un token de identidad único."] class action_gather_info action action_persistence_service["<b>Acción</b> – <b>T1543.003 Crear o Modificar Proceso del Sistema: Servicio de Windows</b><br/>Crea un servicio de Windows llamado<br/>MicrosoftEdgeUpdateCore para persistencia."] class action_persistence_service action action_persistence_registry["<b>Acción</b> – <b>Persistencia a través de Claves de Ejecución del Registro</b><br/>Utiliza claves de ejecución del registro para mantener el acceso."] class action_persistence_registry action action_priv_esc["<b>Acción</b> – <b>T1548 Escalamiento de Privilegios</b><br/>Solicita elevación de UAC para ejecutar el<br/>servicio con privilegios de SISTEMA."] class action_priv_esc action %% Command and Control and Exfiltration Phase action_c2["<b>Acción</b> – <b>T1071 Comando y Control</b><br/>Utiliza sockets TCP en bruto en un puerto no estándar<br/>51888 para comunicación."] class action_c2 action action_exfiltrate["<b>Acción</b> – <b>T1041 Exfiltración a través del Canal C2</b><br/>Roba datos financieros a través de la<br/>conexión C2 establecida."] class action_exfiltrate action %% Post-Exploitation and Evasion Phase action_video_capture["<b>Acción</b> – <b>T1125 Captura de Video</b><br/>Realiza transmisión de pantalla para vigilancia."] class action_video_capture action action_input_tracking["<b>Acción</b> – <b>T1056 Seguimiento de Entrada</b><br/>Utiliza keylogging para monitorear las entradas del usuario."] class action_input_tracking action action_mfa_interception["<b>Acción</b> – <b>T1111 Interceptación de Autenticación Multifactor</b><br/>Utiliza superposiciones falsas de marca para robar tokens MFA."] class action_mfa_interception action action_masquerading["<b>Acción</b> – <b>T1036 Suplantación</b><br/>Utiliza nombres de archivo señuelo como msedge.txt para evadir la detección."] class action_masquerading action action_file_deletion["<b>Acción</b> – <b>T1070.004 Eliminación de Indicadores: Eliminación de Archivos</b><br/>Utiliza un comando de desinstalación para reducir la<br/>huella forense."] class action_file_deletion action %% Connection Flow action_phishing –>|conduce_a| action_clickfix action_clickfix –>|conduce_a| action_ingress action_ingress –>|descarga| tool_dropper tool_dropper –>|ejecuta| action_user_exec_file action_user_exec_file –>|lanza| malware_smartrat malware_smartrat –>|realiza| action_gather_info malware_smartrat –>|establece| action_persistence_service malware_smartrat –>|establece| action_persistence_registry malware_smartrat –>|intenta| action_priv_esc action_priv_esc –>|habilita| action_c2 action_c2 –>|utiliza_para| action_exfiltrate action_c2 –>|utiliza_para| action_video_capture action_c2 –>|utiliza_para| action_input_tracking action_c2 –>|utiliza_para| action_mfa_interception malware_smartrat –>|utiliza| action_masquerading malware_smartrat –>|realiza| action_file_deletion "
Flujo de Ataque
Detecciones
Puntos de Persistencia Posibles [ASEPs – Software/NTUSER Hive] (mediante registry_event)
Ver
Descargar o Subir mediante Powershell (mediante cmdline)
Ver
Llamar a Métodos .NET Sospechosos desde Powershell (mediante powershell)
Ver
Llamar a Funciones de API de Windows Sospechosas desde Powershell (mediante powershell)
Ver
Archivos Sospechosos en el Perfil de Usuario Público (mediante file_event)
Ver
Detectar Ejecución de SmartRAT PowerShell mediante PowerShell ScriptBlockText [Windows Sysmon]
Ver
Persistencia de SmartRAT mediante Tarea Programada y Modificación del Registro [Creación de Procesos de Windows]
Ver
Detectar Comando de PowerShell y Técnicas utilizadas por SmartRAT [Windows Powershell]
Ver
## Ejecución de Simulación
Prerrequisito: La Comprobación de Telemetría y Línea de Base Pre-vuelo debe haber pasado.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y narrativas DEBEN reflejar directamente los TTPs identificados y deben generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán a un diagnóstico erróneo.
-
Narrativa del Ataque y Comandos: El adversario ha logrado obtener acceso inicial mediante una campaña de phishing (T1566) y ahora está intentando establecer persistencia. Para mezclarse con la actividad legítima del sistema, el atacante utiliza un enfoque de «Vivir de la Tierra», ejecutando un comando malicioso que se hace pasar por un proceso de actualización de Microsoft Edge (T1036). El atacante ejecuta una instrucción de línea de comandos que contiene la cadena
msedgeupdate.txtpara activar un mecanismo de persistencia simulado, que en un escenario real implicaría crear una tarea programada o servicio. -
Guión de Prueba de Regresión:
# Script de Simulación de Persistencia de SmartRAT # Este script genera la telemetría específica de línea de comandos necesaria para activar la regla de detección. $TargetString = "msedgeupdate.txt" $FakePath = "C:UsersPublicDocuments$TargetString" # Cree un archivo ficticio para que la línea de comandos parezca algo realista New-Item -Path $FakePath -ItemType File -Force | Out-Null Write-Host "[+] Simulando persistencia de SmartRAT vía línea de comandos: $TargetString" -ForegroundColor Cyan # Ejecuta el comando que activa la lógica de detección Start-Process cmd.exe -ArgumentList "/c echo 'Simulando actividad de SmartRAT con $TargetString' > $FakePath" -WindowStyle Hidden Write-Host "[+] Comando de simulación ejecutado." -ForegroundColor Green -
Comandos de Limpieza:
# Limpieza del archivo ficticio creado durante la simulación Remove-Item -Path "C:UsersPublicDocumentsmsedgeupdate.txt" -Force -ErrorAction SilentlyContinue Write-Host "[+] Limpieza completa." -ForegroundColor Yellow