Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
AhnLab descubrió una campaña de phishing que distribuye archivos LNK maliciosos disfrazados como notificaciones de correo seguro de un importante proveedor de tarjetas de crédito coreano. Al abrirse, el acceso directo lanza un HTA a través de mshta.exe y PowerShell, luego descarga cargas útiles de seguimiento que cambian dependiendo de si Windows Defender está habilitado. Si Defender está activo, los atacantes utilizan curl para recuperar archivos cifrados que posteriormente son descomprimidos y ejecutados. Si Defender está deshabilitado, la cadena cambia a carga directa de DLL y actividad adicional de descargador. El malware resultante soporta robo de información, registro de teclas, recopilación del portapapeles y capacidades de puerta trasera.
Investigación
La investigación mostró que el archivo LNK inicial lanza mshta.exe, que ejecuta un HTA que contiene VBScript ofuscado. Ese HTA descarga pipe.zip, que incluye scripts codificados en Base64 nombrados 1.log, 1.ps1, y 2.log, los cuales son decodificados y ejecutados en la memoria. Cuando Defender está inactivo, el malware en su lugar descarga user.txt and sys.log, descifra sys.log en sys.dll, y lo ejecuta a través de rundll32. El análisis del user.txt develó tres URLs de Google Drive utilizadas para obtener archivos maliciosos adicionales, incluidos notepad.log, net, y app, que se almacenan bajo %LOCALAPPDATA%.
Mitigación
Las defensas recomendadas incluyen verificar la legitimidad de los archivos adjuntos de correos electrónicos, prevenir la ejecución automática de archivos LNK y monitorear el uso sospechoso de mshta.exe and curl. Los equipos de seguridad también deberían buscar y eliminar archivos como 1.log, 1.ps1, 2.log, notepad.log, net, y app desde %TEMP% and %LOCALAPPDATA%. Además, los defensores deberían inspeccionar el sistema en busca de cambios inesperados en el registro y asegurarse de que Windows Defender u otra plataforma de protección de endpoint permanezca habilitada y adecuadamente configurada.
Respuesta
Si se detecta esta actividad, aísle inmediatamente el sistema afectado, termine cualquier mshta.exe, curl, o rundll32 procesos que ejecuten archivos desconocidos, y preserve los artefactos maliciosos para revisión forense. Ejecute un escaneo completo del sistema, restablezca cualquier credencial potencialmente expuesta y monitorice para actividad de puerta trasera posterior vinculada a notepad.log. El contenido de detección también debería ser actualizado con los indicadores de compromiso observados, y los controles de seguridad de correo electrónico deberían fortalecerse para bloquear señuelos de phishing similares en el futuro.
"graph TB %% Class definitions classDef action fill:#99ccff classDef operator fill:#ff9900 classDef builtin fill:#cccccc %% Nodes initial_user_exec["<b>Technique</b> – <b>T1204.002 User Execution: Malicious File</b><br/>Victim opens .lnk disguised as secure email from creditu2011card company."] class initial_user_exec action exec_mshta["<b>Technique</b> – <b>T1218.005 System Binary Proxy Execution: Mshta</b><br/>LNK launches PowerShell which runs mshta.exe to fetch remote HTA containing obfuscated VBScript."] class exec_mshta action exec_powershell["<b>Technique</b> – <b>T1059.001 Command and Scripting Interpreter: PowerShell</b><br/>PowerShell downloads additional payloads via curl."] class exec_powershell action masquerade["<b>Technique</b> – <b>T1036.008 Masquerading: Masquerade File Type</b><br/>LNK file masquerades as secure mail."] class masquerade action obfuscate["<b>Technique</b> – <b>T1027 Obfuscated Files or Information</b><br/>Payloads encrypted with AES, Base64u2011encoded; LNK icon smuggling."] class obfuscate action sandbox_evasion["<b>Technique</b> – <b>T1497.002 Virtualization/Sandbox Evasion: User Activity Based Checks</b><br/>Malware checks Windows Defender status."] class sandbox_evasion action cond_defender["<b>Operator</b> – AND condition based on Defender status"] class cond_defender operator defender_on["<b>Condition</b> – Defender enabled"] class defender_on action defender_off["<b>Condition</b> – Defender disabled"] class defender_off action download_pipe["<b>Action</b> – Downloads pipe.zip, decrypts and extracts 1.log, 1.ps1, 2.log."] class download_pipe action cred_access["<b>Technique</b> – <b>T1539 Browser Session Hijacking</b>, <b>T1185 Web Session Cookie</b>, <b>T1555.003 Credentials from Web Browsers</b><br/>Scripts perform credential access."] class cred_access action collection["<b>Technique</b> – <b>T1056.001 Input Capture: Keylogging</b> and <b>T1115 Clipboard Data</b><br/>Collect keystrokes and clipboard contents."] class collection action download_sys["<b>Action</b> – Downloads user.txt and sys.log, decrypts sys.dll."] class download_sys action load_rundll["<b>Technique</b> – <b>T1218.011 Signed Binary Proxy Execution: Rundll32</b><br/>Loads sys.dll via rundll32."] class load_rundll action persistence_appinit["<b>Technique</b> – <b>T1546.010 Event Triggered Execution: AppInit DLLs</b><br/>sys.dll used for persistence/evasion."] class persistence_appinit action command_control["<b>Technique</b> – <b>T1219 Remote Access Tools</b><br/>notepad.log provides remote command execution, file exfiltration and further data collection."] class command_control action clipboard_phish["<b>Technique</b> – <b>T1204.004 Malicious Copy and Paste</b><br/>Clipboard phishing techniques."] class clipboard_phish action %% Connections initial_user_exec –>|leads to| exec_mshta exec_mshta –>|executes| exec_powershell exec_powershell –>|enables| masquerade masquerade –>|enables| obfuscate obfuscate –>|enables| sandbox_evasion sandbox_evasion –>|triggers| cond_defender cond_defender –>|if Defender enabled| defender_on cond_defender –>|if Defender disabled| defender_off defender_on –>|downloads| download_pipe download_pipe –>|contains| cred_access cred_access –>|enables| collection defender_off –>|downloads| download_sys download_sys –>|loads| load_rundll load_rundll –>|establishes| persistence_appinit persistence_appinit –>|enables| command_control command_control –>|uses| clipboard_phish "
Flujo de Ataque
Detecciones
Posible ejecución mediante el uso de nombre corto de script (vía cmdline)
Ver
Comportamiento de evasión de defensa del LOLBAS MSHTA sospechoso mediante la detección de comandos asociados (vía creación de procesos)
Ver
Posible infiltración/exfiltración de datos/C2 a través de servicios/herramientas de terceros (vía proxy)
Ver
Posible infiltración/exfiltración de datos/C2 a través de servicios/herramientas de terceros (vía dns)
Ver
Ejecución de Rundll32 con sys.dll en entornos donde Windows Defender está desactivado [Creación de procesos de Windows]
Ver
Archivo LNK malicioso con ejecución de comando mshta [Windows Powershell]
Ver
Ejecución de Simulación
Prerequisito: La revisión de telemetría y línea de base debe haber pasado.
-
Narrativa del Ataque y Comandos:
Un adversario ha logrado obtener un punto de apoyo en el punto final y desea ejecutar código arbitrario mientras evade el control tradicional de aplicaciones. Elaboran un archivo HTA malicioso que contiene VBScript ofuscado que, al renderizarse, escribe una puerta trasera de PowerShell en el disco. Para lanzar el HTA, utilizan un acceso directo de Windows (.lnk) que llama apowershell.execon un comando que invocamshta.exe. Ejecutar el acceso directo desencadena la cadena PowerShell →mshta, produciendo la telemetría exacta que la regla monitorea. -
Script de Prueba de Regresión:
# ------------------------------------------------- # 1. Crear HTA malicioso con VBScript ofuscado # ------------------------------------------------- $htaPath = "$env:TEMPevil.hta" $vbscript = @" <script language='VBScript'> ' Obfuscated VBScript payload (example: write a file) Dim fso, f Set fso = CreateObject("Scripting.FileSystemObject") Set f = fso.CreateTextFile("C:WindowsTemppwned.txt", True) f.WriteLine "Compromised by ATT&CK" f.Close </script> "@ Set-Content -Path $htaPath -Value $vbscript -Encoding ASCII # ------------------------------------------------- # 2. Crear un acceso directo (.lnk) que ejecute PowerShell → mshta # ------------------------------------------------- $lnkPath = "$env:TEMPlaunch_malicious.lnk" $ws = New-Object -ComObject WScript.Shell $shortcut = $ws.CreateShortcut($lnkPath) # Comando de PowerShell que lanza mshta con el archivo HTA $psCommand = "mshta.exe `"$htaPath`"" $shortcut.TargetPath = "C:WindowsSystem32WindowsPowerShellv1.0powershell.exe" $shortcut.Arguments = "-NoProfile -WindowStyle Hidden -Command `"$psCommand`"" $shortcut.Save() # ------------------------------------------------- # 3. Ejecutar el acceso directo para disparar la detección # ------------------------------------------------- Write-Host "Executing malicious shortcut..." & $lnkPath # ------------------------------------------------- # 4. Pausar para permitir la recopilación de registros # ------------------------------------------------- Start-Sleep -Seconds 10 -
Comandos de Limpieza:
# Eliminar artefactos creados Remove-Item -Path "$env:TEMPevil.hta" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPlaunch_malicious.lnk" -Force -ErrorAction SilentlyContinue Remove-Item -Path "C:WindowsTemppwned.txt" -Force -ErrorAction SilentlyContinue Write-Host "Cleanup complete."