- BeeHackers Weekly Updates
- Posts
- Boletín 2 de Diciembre
Boletín 2 de Diciembre
Ramón Salado
December 2nd, 2024
Análisis Técnico del troyano bancario Ursnif
Recientemente, CRIL identificó una campaña maliciosa activa que utiliza un archivo LNK malicioso como vector de infección inicial, distribuido dentro de un archivo ZIP, posiblemente a través de correos electrónicos no deseados. Este archivo LNK está hábilmente camuflado como un PDF, lo que engaña a los usuarios para que piensen que están abriendo un documento legítimo.
Cuando se ejecuta, el archivo LNK ejecuta un comando a través de cmd.exe para invocar la herramienta legítima certutil.exe en el sistema afectado. Este proceso decodifica y prepara la carga útil de la siguiente etapa incrustada dentro del archivo LNK. La carga útil decodificada se identifica como un archivo de aplicación HTML (HTA) malicioso, que se ejecuta utilizando la utilidad legítima mshta.exe. Tras la ejecución, el archivo HTA abre un documento PDF señuelo para engañar a la víctima y, al mismo tiempo, coloca un archivo DLL malicioso incrustado en su contenido. Luego, el DLL se ejecuta utilizando regsvr32.exe.
La DLL funciona como un cargador, descifrando tanto el shellcode como otro archivo DLL cifrado de su sección de recursos y luego ejecutando el shellcode. Una vez que se ejecuta el shellcode, carga la DLL descifrada, que posteriormente carga otra DLL maliciosa integrada identificada como Ursnif, un conocido troyano bancario. Ursnif luego establece una conexión con su servidor de Comando y Control (C&C) y recupera cargas útiles adicionales diseñadas para robar información confidencial de la máquina de la víctima. La siguiente imagen muestra la cadena de infección de esta campaña.
Técnicas MITRE ATT&CK®
Táctica | Técnica | Procedimiento |
Acceso inicial ( TA0001 ) | Suplantación de identidad ( T1566 ) | Es probable que esta campaña llegue a los usuarios a través de correos electrónicos no deseados. |
Ejecución ( TA0002 ) | Intérprete de comandos y secuencias de comandos: Windows Command Shell ( T1059.003 ) | Ejecuta Certutil.exe para decodificar las cargas útiles de la siguiente etapa |
Evasión de defensa ( TA0005 ) | Mascarada: tipo de archivo Masquerade ( T1036.003 ) | El archivo .lnk tiene un nombre que parece un archivo PDF para engañar a los usuarios. |
Evasión de defensa (TA0005) | Ejecución del proxy binario del sistema: Mshta ( T1218.005 ) | Abuso de mshta.exe para ejecutar mediante proxy un archivo hta malicioso |
Evasión de defensa ( TA0005 ) | Desofuscar/Decodificar archivos o información ( T1140 ) | Desofuscar/Decodificar archivos o información |
Mando y Control ( TA0011 ) | Protocolo de capa de aplicación: Protocolos web ( T1071.001 ) | envía solicitudes HTTP POST para comunicarse con su servidor C&C. |
Exfiltración ( TA0010 ) | Exfiltración sobre el canal C2 ( T1041 ) | La información del sistema y potencialmente otros datos se filtran a través del canal C&C establecido. |
Indicadores de compromiso
Indicador | Tipo de indicador | Comentarios |
fdc240fb8f4a17e6a2b0d26635d8ab613db89135a5d95834c5a888423d2b1c82 | SHA-256 | Archivo zip |
dd20336df4d95a3da83bcf7ef7dd5d5c89157a41b6db786c1401bf8e8009c8f2 | SHA-256 | Archivo LNK malicioso |
13560a1661d2efa15e58e358f2cdefbacf2537cad493b7d090b5c284e9e58f78 | SHA-256 | Archivo HTA |
hxxps://docusign-staples[.]com/api/key | URL | Servidor remoto |
aea3ffc86ca8e1f9c4f9f45cf337165c7d0593d4643ed9e489efdf4941a8c495 | SHA-256 | Archivo DLL |
budalixt[.]arriba/índice.html | URL | C&C |
11a16f65bc93892eb674e05389f126eb10b8f5502998aa24b5c1984b415f9d18 | SHA-256 | Archivo LNK similar |
468d7a8c161cb7408037797ea682f4be157be922c5f10a812c6c5932b4553c85 | SHA-256 | Archivo ZIP similar |
 SOC 24/7 Nuestro servicio de ciberSOC desarrolla una monitorización de seguridad sobre su infraestructura, detectando de manera temprana cualquier incidente de seguridad. |  Auditoría de Seguridad Nuestro equipo de RedTeam hace una evaluación de la seguridad, simulando un ciberataque externo, poniendo así a prueba a toda la organización. |