RATA MINEBRIDGE

Los ataques dirigidos a investigadores de seguridad parecen estar ganando popularidad entre los ciberdelincuentes. Un grupo de amenazas que se cree que ha comenzado a realizar tales ataques es TA505. La evidencia señala que TA505 ha estado activo desde al menos 2014. El grupo es conocido por aprovechar MINEBRIDGE RAT en sus operaciones.

La última campaña emplea una cadena de ataque de múltiples etapas que finalmente implementa MINEBRIDGE RAT en el sistema informático objetivo. Los piratas informáticos atraen a sus víctimas con hojas de vida (CV) falsas en forma de documentos de Word basados en macros. Cuando se ejecuta, el archivo malicioso muestra un mensaje de confirmación: "Archivo convertido correctamente desde PDF" y muestra un currículum vitae que supuestamente ha sido enviado por un analista de inteligencia de amenazas. Sin embargo, esto es solo un señuelo, diseñado para desviar la atención de la víctima del código macro subyacente que construye una línea de comando en segundo plano capaz de obtener contenido codificado desde una dirección IP específica. El archivo autoextraíble (SFX) descargado se colocará en la carpeta% appdata% del usuario.

Un complejo ataque de varias etapas ofrece MINEBRIDGE RAT

El archivo SFX representa la primera etapa de la cadena de ataque MINEBRIDGE RAT. Se ejecuta a través de certutil.exe y da como resultado binarios legítimos de TeamViewer, varios archivos DLL y archivos de documentos adicionales que se colocan en el sistema comprometido. Uno de los binarios entregados llamado 'defrender.exe' es responsable de iniciar la siguiente etapa del ataque. Cabe señalar que el binario está diseñado para aparecer como un binario legítimo de Windows Defender.

La etapa 2 del ataque incluye la ejecución de la aplicación TeamViewer que luego se ve obligada a realizar una carga lateral de DLL. Carga el archivo msi.dll proporcionado que, a su vez, descomprime el shellcode y lo ejecuta. El shellcode tiene la tarea de entregar el binario empaquetado en UPX de la carga útil final: MINEBRIDGE RAT.

Cuando está completamente implementada, la amenaza permite a los atacantes realizar una amplia gama de actividades maliciosas. Pueden espiar a los usuarios comprometidos, así como implementar cargas útiles de malware adicionales. MINEBRIDGE RAT crea tres amenazas distintas, cada una con una responsabilidad diferente:

Establecer comunicación C&C y desplegar el mecanismo de persistencia
Comprobación del estado inactivo del sistema mediante el seguimiento de la sincronización de la última entrada
Evitar ventanas emergentes de notificación accidentales al eliminar el proceso ShowNotificationDialog

El mecanismo de persistencia de la amenaza se logra a través de un archivo LNK llamado 'Windows Logon.lnk' que se coloca en el directorio de inicio del sistema.