Threat Database Malware Malware BlackSoul

Malware BlackSoul

Se ha detectado una nueva molestia de malware RAT (troyano de acceso remoto) que se está implementando a través de lo que se cree que es una campaña de phishing dirigido a entidades gubernamentales. El malware fue nombrado BlackSoul por los investigadores de infosec que detectaron la operación. Debido a las similitudes en el código de la herramienta de malware y los TTP (Técnicas, Tácticas y Procedimientos) generales de la campaña, los expertos determinaron que los actores de amenazas más probablemente responsables son el grupo de hackers ReconHellcat.

El ataque comienza con un correo electrónico de señuelo falso que contiene un archivo CAB comprometido. El archivo y el archivo que contiene tienen un nombre idéntico: '1-10-22-hb44_final'. La implicación es que el adjunto es un documento del Instituto Nacional de Estándares y Tecnología (NIST), que podría ser información de interés para las personas seleccionadas.

El archivo ejecutable contenido en el archivo lleva el cargador de primera etapa. El malware está equipado con técnicas de ofuscación que son consistentes con herramientas amenazantes anteriores atribuidas al grupo ReconHellcat. Al establecer una conexión con la infraestructura de Comando y Control (C2, C&C), el cargador buscará y mostrará la carga útil final en forma de dos nuevos archivos. También intenta ocultar su actividad al presentar al usuario objetivo una ventana legítima de Microsoft Word con el documento legítimo del sitio web de NIST. Los dos archivos colocados en la máquina comprometida por el cargador son un ejecutable llamado 'blacksoul' y un archivo DLL llamado 'blacksoulLib'.

La carga útil de BlackSoul en sí es una RAT comparativamente simple con una cantidad limitada de funciones y comandos procesables. Reconoce solo cuatro comandos recibidos de los servidores C2, pero son más que suficientes. BlackSoul puede ejecutar comandos arbitrarios, recuperar archivos adicionales, colocarlos en el sistema infectado y extraer archivos de él. Para evitar la detección, el RAT ha sido equipado con varias técnicas de ofuscación. Principalmente, construye cadenas en la pila dinámicamente y luego usa una serie de mecanismos diferentes, como un cifrado XOR fijo y un cifrado Caesar, usando valores de desplazamiento variable para desofuscarlos.

En cuanto al archivo de biblioteca DLL, cuando lo invoca BlackSoul, intenta recopilar datos de los navegadores web Chrome, Firefox y Opera. Si no se pueden obtener dichos datos, el programa finaliza su funcionamiento prematuramente. También ayuda con la conexión inicial a los servidores C2 al decodificar la URL de C2 y la URL de Cloudflare DNS-over-HTTPS (DoH). Además, genera la información de inicio de sesión necesaria y devuelve los datos recopilados a BlackSoul Malware en formato JSON.

ReconHellcat parece estar siguiendo su patrón de lanzar campañas de ataque contra organizaciones gubernamentales. En operaciones anteriores, los piratas informáticos han sido documentados, intentando infiltrarse en organizaciones diplomáticas y organismos gubernamentales de defensa.

Tendencias

Mas Visto

Cargando...