Detección de VenomRAT: Un Nuevo Ataque Multi-Etapa Usando ScrubCrypt para Desplegar la Carga Útil Final con Plugins Maliciosos
Tabla de contenidos:
Los investigadores en ciberseguridad han desvelado un nuevo ataque sofisticado de varias etapas, en el que los adversarios aprovechan la herramienta de evasión anti-malware ScrubCrypt para desplegar VenomRAT junto con múltiples plugins dañinos, incluyendo nefastos Remcos, XWorm, NanoCore RAT, y otras cepas maliciosas.
Detectar VenomRAT desplegado a través de ScrubCrypt
Con la proliferación de los ciberataques y el empleo de métodos de intrusión cada vez más sofisticados, los defensores cibernéticos requieren soluciones avanzadas para fortalecer sus capacidades de defensa cibernética a gran escala. SOC Prime Platform para defensa cibernética colectiva ofrece tecnología de punta para detección y caza de amenazas mientras sirve al repositorio más grande del mundo de detecciones basadas en comportamiento contra los últimos TTPs.
Para detectar la actividad maliciosa asociada con la última campaña de ScrubCrypt, los profesionales de seguridad pueden confiar en un conjunto de detección curado disponible en la plataforma SOC Prime. Simplemente haga clic en el botón Explorar Detección a continuación y profundice inmediatamente en la lista de reglas Sigma relevantes compatibles con 28 tecnologías SIEM, EDR y Data Lake. Todas las detecciones están mapeadas al marco MITRE ATT&CK v14.1 y enriquecidas con inteligencia de amenazas personalizada.
Además, los expertos en ciberseguridad pueden explorar un conjunto de contenido de detección que aborda los ataques de VenomRAT buscando en el Threat Detection Marketplace con la etiqueta `VenomRAT` o usando este enlace.
Análisis del ataque de propagación de VenomRAT a través de ScrubCrypt
El 8 de abril de 2024, los investigadores de FortiGuard Labs emitieron un informe arrojando luz sobre una nueva campaña ofensiva avanzada lanzada a través de un vector de ataque de phishing. Los hackers emplean el marco ScrubCrypt para distribuir una carga útil de VenomRAT junto con un conjunto de otros plugins maliciosos empleando numerosas capas de ofuscación y técnicas de evasión.
La cadena de infección se inicia con correos electrónicos de phishing con archivos SVG dañinos. Al hacer clic en un adjunto atrayente dentro del correo electrónico se descarga un archivo ZIP con un archivo Batch ofuscado con la utilidad BatCloak, que los atacantes han utilizado durante mucho tiempo para evadir la detección. Posteriormente, los hackers aplican ScrubCrypt para propagar VenomRAT y más plugins dañinos en los sistemas comprometidos mientras establecen una conexión con el servidor C2.
La carga útil inicial entregada a través de ScrubCrypt tiene dos objetivos principales: establecer persistencia y cargar el malware dirigido. VenomRAT, una iteración modificada de un nefasto Quasar RAT, ha sido detectado en el ámbito de amenazas cibernéticas desde 2020. Los adversarios lo aplican para acceder de manera ilícita y tomar el control de los sistemas afectados. Al igual que otros RATs, VenomRAT permite a los atacantes manipular dispositivos comprometidos de manera remota, facilitando diversas actividades maliciosas sin el conocimiento o autorización de la víctima.
Además de VenomRAT, los hackers propagan NanoCore RAT a través de instancias afectadas utilizando un archivo VBS ofuscado. También introducen XWorm RAT, malware capaz de robar datos sensibles o habilitar acceso remoto. El cuarto plugin aplicado en esta campaña ofensiva es el notorio Remcos RAT, que ha sido utilizado activamente en campañas de phishing contra Ucrania. Un plugin más del conjunto de herramientas del adversario es un stealer, que no solo se distribuye a través del mencionado script VBS ofuscado, sino que también está integrado en un archivo de ejecución .NET que está ofuscado usando SmartAssembly. Este plugin incluye una matriz codificada que representa el archivo DLL malicioso destinado a robar datos sensibles del usuario. Este último rastrea continuamente el sistema del usuario y pone los ojos en carteras criptográficas específicas.
La aparición de ciberataques sofisticados similares, en los que los adversarios muestran la capacidad de mantener la persistencia, evadir la detección, y desplegar diversas cargas útiles alimenta la necesidad crítica de medidas de defensa cibernética robustas para minimizar los riesgos de intrusiones. Aprovechando el Detective de Ataque de SOC Prime, las organizaciones pueden elevar la defensa cibernética a través de la validación automatizada del conjunto de detección para prevenir ataques antes de que ocurran.