Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Troyano bancario Troyano bancario Blackmoon

Troyano bancario Blackmoon

Por Mezo en Troyano bancario, Amenaza persistente avanzada (APT)
Traducir a:

Analistas de ciberseguridad han descubierto una campaña de intrusión activa de varias etapas dirigida a personas y organizaciones indias. La operación parece ser de naturaleza ciberespionaje y se basa en un sistema de puertas traseras en capas para obtener acceso encubierto y a largo plazo a los sistemas comprometidos.

El phishing como vector de infección inicial

La campaña comienza con correos electrónicos de phishing que se hacen pasar por correspondencia oficial del Departamento de Impuestos sobre la Renta de la India. Estos mensajes incitan a los destinatarios a descargar un archivo ZIP bajo el pretexto de avisos de sanciones fiscales. Una vez abierto, el archivo inicia la cadena de infección que, en última instancia, permite la vigilancia persistente y el robo de datos.

Archivo armado y ejecución sigilosa

El archivo ZIP entregado contiene cinco componentes, todos ocultos excepto un ejecutable señuelo llamado "Inspection Document Review.exe". Este archivo se utiliza de forma abusiva para instalar una biblioteca de enlaces dinámicos maliciosa incrustada en el archivo. La DLL maliciosa realiza comprobaciones para evadir el depurador y se comunica con un servidor remoto de comando y control para recuperar la carga útil de la siguiente etapa.

Escalada de privilegios y enmascaramiento de procesos

El shellcode descargado utiliza una técnica basada en COM para eludir el Control de Cuentas de Usuario (UAC), otorgando privilegios elevados. Posteriormente, modifica su propio Bloque de Entorno de Proceso (PEB) para suplantar la identidad del proceso legítimo Windows explorer.exe, lo que reduce la probabilidad de detección por parte de herramientas de seguridad y analistas.

Entrega de carga útil adaptativa

Una etapa posterior, '180.exe', se obtiene del dominio eaxwwyr[.]cn. Este archivo es un instalador Inno Setup de 32 bits que modifica su flujo de ejecución según la presencia de software de seguridad específico en el host infectado, lo que permite al malware ajustar dinámicamente sus tácticas de evasión.

Evasión de software de seguridad y vínculo con Blackmoon

Cuando se detecta software defensivo, el malware evita la desactivación directa. En su lugar, simula movimientos del ratón para navegar por la interfaz de seguridad y añade silenciosamente componentes maliciosos a la lista de exclusión. Esta actividad se ve facilitada por una DLL considerada una variante de la familia de malware Blackmoon (KRBanker), históricamente asociada con ataques a empresas en Corea del Sur, Estados Unidos y Canadá desde su aparición en 2015.

Abuso de una herramienta empresarial legítima

Uno de los archivos añadidos a la lista de exclusión es «Setup.exe», una utilidad legítima de SyncFutureTec Company Limited. Este programa descarga «mysetup.exe», identificado como SyncFuture TSM (Terminal Security Management), una solución comercial de monitorización y gestión remota desarrollada por Nanjing Zhongke Huasai Technology Co., Ltd. Aunque está diseñado para la administración empresarial, en esta campaña se ha reutilizado como una plataforma integral de espionaje.

Componentes de soporte y manipulación del sistema

Tras la implementación, se instalan elementos adicionales para preparar y controlar el entorno:

  • Scripts por lotes que crean directorios personalizados, modifican listas de control de acceso, alteran permisos de escritorio y realizan tareas de limpieza y restauración.
  • Un ejecutable de orquestador, 'MANC.exe', que coordina servicios y permite un registro extenso de actividades.

Impacto operativo y relevancia estratégica

Al abusar de una herramienta empresarial legítima junto con malware personalizado, los operadores obtienen control remoto sobre los endpoints infectados, visibilidad continua de la actividad de los usuarios y un mecanismo centralizado para la exfiltración de datos confidenciales. El uso coordinado de la carga lateral de DLL, la escalada de privilegios, la reutilización de herramientas comerciales, las medidas antianálisis y la evasión de software de seguridad reflejan un alto grado de madurez técnica y una clara intención de mantener un control persistente y granular sobre los sistemas comprometidos.

Tendencias

Mas Visto

Cargando...