Seguir 
Resumen
Un sitio web malicioso que se hace pasar por un servicio gratuito de eliminación de fondos entrega un marco de malware de múltiples etapas conocido como CastleLoader. Una vez ejecutado, el cargador instala NetSupport RAT junto con un ladrón personalizado de .NET diseñado para extraer credenciales de navegador, datos de billeteras de criptomonedas e información de sesión de Telegram. El malware se comunica con su infraestructura de comando y control a través de canales cifrados que dependen de protocolos personalizados y cifrado ChaCha20. La campaña también emplea múltiples técnicas de evasión, incluyendo vaciado de proceso, inyección de APC, y abuso de ReplaceTextW, para reducir la detección y mantener la ejecución.
Investigación
Los investigadores rastrearon el ataque hasta una carga útil inicial copiada en el portapapeles de la víctima a través de un falso aviso de “No soy un robot”, seguido del uso de finger.exe para recuperar un comando de un servidor remoto. Un análisis más profundo descubrió una cadena de Python de traer-tu-propio-intérprete que descargó componentes adicionales de malware, un cargador de código de shell personalizado protegido con RC4, y un cargador PE reflexivo que llamó a NtAllocateVirtualMemory directamente. Los investigadores encontraron que CastleLoader obtenía tareas cifradas de su servidor de comando y control, las descifraba en la memoria y lanzaba cargas útiles secundarias a través de varios métodos de ejecución diferentes.
Mitigación
Los defensores deben bloquear la ejecución de utilidades de Windows innecesarias como finger.exe and regsvr32.exe, aplicar AppLocker o políticas de control de aplicaciones comparables, y restringir el tráfico saliente a dominios no confiables y puertos inusuales. Las organizaciones también deben considerar limitar el acceso al cuadro de diálogo Ejecutar donde sea operativamente posible y monitorear el uso sospechoso de ReplaceTextW y actividad inusual de objetos COM. El endurecimiento del navegador puede ayudar a reducir la exposición al robo de credenciales basado en DPAPI, mientras que mantener actualizadas las extensiones de billeteras de criptomonedas puede disminuir el riesgo de compromiso de la billetera.
Respuesta
Los equipos de seguridad deberían buscar CastleLoader detectando el comando característico del portapapeles, monitoreando el tráfico a los dominios de comando y control identificados, y buscando las cadenas de agente de usuario personalizadas del malware. Los investigadores también deben revisar cualquier tarea programada creada en %ProgramData% y buscar el valor de mutex asociado. Si se confirma la infección, aísle el anfitrión afectado, termine cualquier proceso activo de NetSupport RAT y elimine los archivos maliciosos depositados en %ProgramData% and %LocalAppData%.
"graph TB %% Class Definitions classDef technique fill:#ffcc99 classDef operator fill:#ff9900 %% Node Definitions tech_content_injection["<b>Technique</b> – <b>T1659 Content Injection</b><br/><b>Description</b>: El adversario inyecta contenido malicioso en archivos legítimos o flujos de datos para entregar cargas útiles."] class tech_content_injection technique tech_user_exec_link["<b>Technique</b> – <b>T1204.001 User Execution: Malicious Link</b><br/><b>Description</b>: La víctima es engañada para hacer clic en un hipervínculo malicioso que lanza código malicioso."] class tech_user_exec_link technique tech_user_exec_copypaste["<b>Technique</b> – <b>T1204.004 User Execution: Malicious Copy and Paste</b><br/><b>Description</b>: La víctima copia y pega código o comandos maliciosos en una aplicación de confianza."] class tech_user_exec_copypaste technique tech_obfuscation["<b>Technique</b> – <b>T1027 Obfuscated Files or Information</b><br/><b>Description</b>: El malware está oculto utilizando técnicas de ofuscación para eludir la detección."] class tech_obfuscation technique tech_deobfuscate["<b>Technique</b> – <b>T1140 Deobfuscate/Decode Files or Information</b><br/><b>Description</b>: El código malicioso se decodifica o desofusca para revelar su verdadera funcionalidad."] class tech_deobfuscate technique tech_encrypted_channel["<b>Technique</b> – <b>T1573 Encrypted Channel</b><br/><b>Description</b>: La comunicación está cifrada para proteger los datos en tránsito del análisis."] class tech_encrypted_channel technique tech_process_injection_apc["<b>Technique</b> – <b>T1055.009 Process Injection (APC)</b><br/><b>Description</b>: El código se inyecta en un proceso objetivo utilizando llamadas de procedimiento asincrónicas."] class tech_process_injection_apc technique tech_process_hollowing["<b>Technique</b> – <b>T1055.012 Process Injection (Process Hollowing)</b><br/><b>Description</b>: Se crea un proceso legítimo y su memoria es reemplazada con código malicioso."] class tech_process_hollowing technique tech_reflective_loading["<b>Technique</b> – <b>T1620 Reflective Code Loading</b><br/><b>Description</b>: El código malicioso se carga directamente en la memoria sin tocar el disco."] class tech_reflective_loading technique tech_screen_capture["<b>Technique</b> – <b>T1113 Screen Capture</b><br/><b>Description</b>: Captura capturas de pantalla del escritorio de la víctima para reconocimiento."] class tech_screen_capture technique tech_regsvr32["<b>Technique</b> – <b>T1218.010 Regsvr32 Proxy Execution</b><br/><b>Description</b>: Usa regsvr32 para ejecutar código malicioso a través de un proxy DLL."] class tech_regsvr32 technique tech_masquerading["<b>Technique</b> – <b>T1036.011 Masquerading (conhost copy)</b><br/><b>Description</b>: El binario malicioso se renombra o copia para parecerse a conhost.exe y evitar sospechas."] class tech_masquerading technique tech_relocate_malware["<b>Technique</b> – <b>T1070.010 Relocate Malware (random filenames)</b><br/><b>Description</b>: Los archivos de malware se mueven y renombran con nombres aleatorios para dificultar su descubrimiento."] class tech_relocate_malware technique tech_credential_theft["<b>Technique</b> – <b>T1552.004 Credential Theft (DPAPI/AES)</b><br/><b>Description</b>: Extrae credenciales protegidas por DPAPI o cifrado AES."] class tech_credential_theft technique tech_keylogging["<b>Technique</b> – <b>T1056.001 Keylogging</b><br/><b>Description</b>: Captura pulsaciones de teclas ingresadas por el usuario para obtener información sensible."] class tech_keylogging technique %% Connections tech_content_injection –>|leads_to| tech_user_exec_link tech_user_exec_link –>|leads_to| tech_user_exec_copypaste tech_user_exec_copypaste –>|leads_to| tech_obfuscation tech_obfuscation –>|leads_to| tech_deobfuscate tech_deobfuscate –>|leads_to| tech_encrypted_channel tech_encrypted_channel –>|leads_to| tech_process_injection_apc tech_process_injection_apc –>|leads_to| tech_process_hollowing tech_process_hollowing –>|leads_to| tech_reflective_loading tech_reflective_loading –>|leads_to| tech_screen_capture tech_screen_capture –>|leads_to| tech_regsvr32 tech_regsvr32 –>|leads_to| tech_masquerading tech_masquerading –>|leads_to| tech_relocate_malware tech_relocate_malware –>|leads_to| tech_credential_theft tech_credential_theft –>|leads_to| tech_keylogging "
Flujo de ataque
Detecciones
Puntos de persistencia posibles [ASEPs – Software/NTUSER Hive] (via registry_event)
Ver
Posibles patrones de ataque ClickFix en línea de comando (via cmdline)
Ver
Ejecución de Taskkill sospechosa (via cmdline)
Ver
Uso explícito de COMSPEC sospechoso (via process_creation)
Ver
Posible descubrimiento de sistema remoto o verificación de conectividad (via cmdline)
Ver
Intento de ejecución de binario de NetSupport Manager desde directorio sospechoso (via process_creation)
Ver
Uso sospechoso de CURL (via cmdline)
Ver
Binarios / scripts sospechosos en ubicación de autoarranque (via file_event)
Ver
IOCs (HashSha256) para detectar: ClickFix elimina tu fondo pero deja el malware
Ver
IOCs (SourceIP) para detectar: ClickFix elimina tu fondo pero deja el malware
Ver
IOCs (DestinationIP) para detectar: ClickFix elimina tu fondo pero deja el malware
Ver
Detección del uso malicioso de finger.exe con cifrado RC4 o AES-CBC [Conexión de red de Windows]
Ver
Ejecución de CastleLoader a través de Regsvr32 y vaciado de proceso con PowerShell [Creación de proceso de Windows]
Ver
Ejecución de simulación
Requisito previo: La verificación previa al vuelo de Telemetría y Línea Base debe haber pasado.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa de ataque y comandos:
Un adversario que ya ha comprometido una cuenta de bajos privilegios desea usar un binario de Windows firmado (finger.exe) para ocultar la ejecución de una carga útil de cifrado personalizado. Ellos invocan el binario con un argumento diseñado que incluye la cadena “RC4” (o “AES‑CBC”) para indicar el cifrado escogido. Dado que el binario está firmado, es menos probable que Windows AppLocker u otras soluciones de lista blanca lo bloqueen, y la palabra clave de línea de comando satisface la regla Sigma cifrado condición. -
Script de prueba de regresión:
# ------------------------------------------------------------ # Uso malicioso simulado de finger.exe con cifrado RC4 # ------------------------------------------------------------ # Asegúrese de que finger.exe esté en el PATH o especifique la ruta completa. $fingerPath = "$env:SystemRootSystem32finger.exe" if (-not (Test-Path $fingerPath)) { Write-Error "finger.exe no se encontró en $fingerPath" exit 1 } # Crear una línea de comando que incluya la palabra clave RC4 $maliciousCmd = "$fingerPath -p RC4 -target 10.0.0.5" Write-Host "Ejecutando el comando malicioso: $maliciousCmd" Invoke-Expression $maliciousCmd # Opcional: Dormir para permitir la ingestión de SIEM Start-Sleep -Seconds 5 -
Comandos de limpieza:
# Terminar cualquier proceso persistente de finger.exe Get-Process -Name finger -ErrorAction SilentlyContinue | Stop-Process -Force Write-Host "Limpieza completa."