Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Malware de Airstalk

Malware de Airstalk

Por Mezo en Software malicioso, Amenaza persistente avanzada (APT)
Traducir a:

Una nueva familia de malware, atribuida a un presunto grupo patrocinado por un estado-nación (designada como CL-STA-1009), se distribuye mediante un método que concuerda con una intrusión en la cadena de suministro. El malware implantado, llamado Airstalk, aprovecha la infraestructura de gestión de dispositivos móviles (MDM) empresarial para ocultar el tráfico de comando y control (C2) y extraer datos confidenciales, como artefactos del navegador, de los equipos comprometidos.

Cómo la amenaza se oculta a plena vista

Airstalk reutiliza la API de AirWatch (ahora Workspace ONE Unified Endpoint Management) como su canal C2 encubierto. En lugar de usar la API para la gestión legítima de dispositivos, el malware utiliza atributos de dispositivo personalizados y funciones de carga de archivos (blobs) para intercambiar mensajes con sus operadores, convirtiendo efectivamente un endpoint MDM en un servidor de correo no autorizado para las comunicaciones del atacante y la carga de grandes volúmenes de datos.

Dos implementaciones: PowerShell frente a .NET

Se han observado dos versiones distintas: una puerta trasera en PowerShell y una variante .NET con más funcionalidades. Ambas implementan un protocolo C2 multihilo y permiten realizar operaciones de robo de datos, como la captura de pantallas y la obtención de cookies, historial de navegación y marcadores. Existen indicios de que algunos archivos fueron firmados con un certificado que los investigadores consideran susceptible de ser robado.

Variante de PowerShell: Comportamiento y capacidades de C2

El implante de PowerShell se comunica a través del punto de conexión /api/mdm/devices/. Al iniciarse, establece contacto mediante un simple protocolo de enlace CONNECT/CONNECTED, recibe tareas empaquetadas como mensajes 'ACTIONS', las ejecuta y devuelve los resultados mediante mensajes 'RESULT'. Cuando una tarea genera una gran cantidad de datos, Airstalk los carga utilizando la función de blobs de la API de MDM.

Las ACCIONES observadas que son compatibles con la puerta trasera de PowerShell incluyen:

  • Haz una captura de pantalla.
  • Recuperar cookies de Google Chrome.
  • Enumera todos los perfiles de usuario de Chrome.
  • Obtener marcadores para un perfil de Chrome específico.
  • Recopila el historial de navegación de un perfil de Chrome específico.
  • Enumera todos los archivos que se encuentran en el directorio del usuario.
  • Se desinstala automáticamente.

La variante .NET: Objetivos y capacidades mejoradas

La versión .NET amplía el alcance y la sofisticación. Se dirige a navegadores empresariales adicionales (Microsoft Edge e Island), intenta suplantar la identidad de un ejecutable auxiliar de AirWatch (AirwatchHelper.exe) y agrega tres tipos de mensajes adicionales utilizados para notificaciones de discrepancias de versión, salida de depuración y balizamiento.

Principales diferencias y comportamientos adicionales de la variante .NET:

Utiliza tres hilos de ejecución dedicados para manejar tareas C2, exfiltrar registros de depuración y realizar balizas periódicas a C2.

Admite un conjunto de comandos más amplio para la exfiltración dirigida y el control remoto, incluyendo comandos para volcar perfiles de navegador específicos, cargar archivos, abrir URL, listar el contenido de directorios y más.

Algunas muestras de .NET están firmadas con un certificado atribuido a 'Aoteng Industrial Automation (Langfang) Co., Ltd' que los analistas creen que probablemente fue robado; las primeras muestras tienen una marca de tiempo de compilación del 28 de junio de 2024.

A diferencia de la versión de PowerShell, las muestras de la variante .NET analizadas no crean de forma consistente una tarea programada para la persistencia.

El conjunto de comandos ampliado observado en los ejemplos de .NET incluye:

  • Captura de pantalla
  • ActualizarChrome (exfiltrar un perfil específico de Chrome)
  • FileMap (lista el contenido de un directorio)
  • RunUtility (aún no implementado en las muestras observadas)
  • Perfiles de Chrome empresariales (enumerar perfiles de Chrome)
  • Subir archivo (exfiltrar archivos/artefactos y credenciales)
  • Abrir URL (abrir una URL en Chrome)
  • Desinstalar
  • Marcadores de Chrome empresariales (recuperar marcadores de un perfil de Chrome)
  • EnterpriseIslandProfiles (enumerar los perfiles del navegador de Island)
  • ActualizarIsla (exfiltrar un perfil específico de la Isla)
  • ExfilAlreadyOpenChrome (extraer cookies del perfil actual de Chrome)

Distribución e impacto

Aún no se ha determinado quiénes fueron los objetivos ni el método de distribución exacto. Sin embargo, el uso de las API de MDM como servidor de comando y control (C2) y el enfoque explícito en navegadores empresariales, en particular Island, diseñado para implementaciones corporativas, apuntan claramente a una vulneración de la cadena de suministro o de proveedores externos dirigida a empresas de externalización de procesos de negocio (BPO). Los proveedores de BPO son objetivos atractivos porque las cookies de sesión y los perfiles de usuario robados pueden otorgar a los atacantes acceso a numerosos entornos de clientes; el acceso persistente a través de la infraestructura del proveedor amplifica el impacto.

Conclusión

Airstalk evidencia una tendencia preocupante: los atacantes abusan de plataformas de gestión de confianza para mezclar tráfico malicioso con telemetría administrativa legítima. Para las organizaciones que dependen de proveedores externos o servicios de BPO, esta técnica aumenta considerablemente el riesgo de que una sola vulneración se propague a través de múltiples entornos de clientes. La vigilancia constante de la actividad de MDM, la procedencia de los certificados y la integridad de las cadenas de herramientas de los proveedores es fundamental para detectar y limitar este tipo de amenaza.

Tendencias

Mas Visto

Cargando...