Astaroth Malware se mueve sobre los trabajadores de Cloudflare para evadir la detección

ataque de troyano de malware astaroth En noticias recientes, un informe publicado sobre la propagación de Astaroth , un malware sin archivos que atormentó a los usuarios atrajo la atención de la comunidad de seguridad de Internet. Esta amenaza ejecutó herramientas del sistema que usaban una cadena de conexión compleja que no usaba ejecutables para realizar sus acciones en secreto.

Después del informe publicado, el grupo detrás de las acciones de la campaña de Astaroth decidió cambiar sus tácticas . Específicamente, lo que hicieron fue utilizar Cloudflare Workers para continuar su campaña intentando esquivar la detección. El proceso se realizó en varias etapas, como se explica a continuación.

La etapa uno

Los actores detrás de la campaña comenzaron su trabajo utilizando un esquema clásico de ingeniería social. Lo que hicieron fue enviar un mensaje que se parece a las respuestas automáticas habituales por correo electrónico que las organizaciones reciben para las solicitudes de facturación o auditoría. También se usó un archivo adjunto HTML que no intenta ocultar que en realidad es un archivo HTML. Ese es ahora un caso simple de usar HTML, ya que está creado específicamente para ofuscar y contener un código Javascript.

Comienza con una cadena simple de Base64 para la función ArrayBuffer, seguida de la URL codificada de Base64 utilizada para realizar el siguiente paso del ataque. La tercera sección se utiliza para generar un objeto blob en la memoria del navegador basado en la URL y descargarlo en la sesión del navegador. Hay secciones de relleno del archivo que no contribuyen al proceso.

Al usar Cloudflare, los actores del tratamiento están agregando una capa de seguridad donde las herramientas de análisis automatizadas o los sandboxes recibirían la página de desafío, en lugar de la carga útil real de Astaroth. Cloudflare IP Geolocation agrega un encabezado llamado CF-IPCountry a todas las solicitudes que salen de las máquinas infectadas al servidor host. Uno de los visitantes de IP brasileños puede ver la carga útil real del segundo paso. Para generar el segundo paso del ataque, se analiza el JSON de la URL, luego se convierte de Base64 a búfer de matriz, se escribe en el almacenamiento de blobs del navegador y se renombra para que coincida con el archivo HTML. Una vez hecho esto, se crea un enlace y se hace clic automáticamente para descargarlo en el navegador de la máquina infectada.

Etapa dos

Este paso comienza con un archivo zip que se crea en función de los datos de la URL. El método de creación tiene algunas ventajas frente al método habitual de descargar un archivo zip. El actor de la amenaza puede crear diferentes archivos para cada objetivo diferente, y puede servirlo a través de un único punto de referencia. El tráfico de red puede terminar bloqueando los objetos de descarga de archivos, pero el JSON es una parte natural de la web, por lo que no se bloqueará. Algunos proveedores de seguridad pueden terminar identificando el objeto de archivo en la red y pueden enviarlo para su análisis. Esto terminaría exponiendo la operación con bastante rapidez.

Cloudflare Workers se denominan así derivando el nombre de Web Workers, API para scripts que se ejecutan en segundo plano en un navegador web e interceptan solicitudes HTTP. Cloudflare Workers permite a los usuarios ejecutar JavaScript en los numerosos centros de datos de Cloudflare en todo el mundo. El uso de un trabajador le permite a uno hacer una serie de operaciones diferentes.

Etapa tres

El archivo de script se guarda en el directorio temporal con el nombre Lqncxmm: vbvvjjh.js y se ejecuta con Windows Script Host (Wscript). El actor de la amenaza utiliza esta característica de Cloudflare para su ventaja, ya que agregan un generador de números aleatorios simple y aleatorizan la URL que descarga la carga útil del tercer paso. En el tercer paso, hay diez enlaces de nodo de trabajo aleatorios y únicos utilizados para un número aleatorio entre 20,000 y 50,000, que se usan dos veces para cada uno de los enlaces. Un enlace puede tener hasta 900 millones de combinaciones.

Las búsquedas de muestras de Astaroth usando URLhaus mostraron que al menos un analista pudo tomar enlaces y enviarlos para su análisis. Sin embargo, cada vez que se ejecuta el script, las URL son diferentes. En los sistemas que ejecutan Windows de 32 bits, se omiten los enlaces de Cloudflare y Astaroth utiliza un repositorio privado de Google con un enlace estático.

Los actores de amenazas que usan Astaroth parecen ir más allá para hacer todo lo posible para evitar la detección y dificultar a los investigadores y sus intentos de análisis. Su uso de Cloudflare muestra que están buscando formas innovadoras de generar URL de carga aleatoria y reconstruir sus operaciones en caso de que su trabajo se vea comprometido.

Deja una Respuesta

NO use este sistema de comentarios para soporte o preguntas de facturación. Para problemas de facturación, consulte nuestra página "¿ Preguntas o problemas de facturación?". Para problemas de facturación, consulte nuestra página "Preguntas o Problemas de Facturación?". Para consultas generales (quejas, legal, prensa, marketing, derechos de autor), visite nuestra página "Consultas y Comentarios".