More_eggs Malware

El malware More_eggs es una sofisticada amenaza troyana de puerta trasera que se ofrece en un esquema MaaS (Malware-as-a-Service). Se cree que el desarrollador de la amenaza es el grupo de hackers Golden Chickens y han podido atraer a varios grupos importantes de APT (Advanced Persistent Threat) como clientes, incluidos FIN6, Evilnum y Cobalt Group. Las capacidades maliciosas de More_eggs permiten que la amenaza permanezca en su mayor parte sin ser detectada al tiempo que permiten que el grupo de piratas informáticos en particular escale el ataque descargando diferentes cargas útiles de malware en etapa final de acuerdo con sus objetivos específicos.

Correos electrónicos de ofertas de trabajo falsas se difunden More_eggs Backdoor

El vector de compromiso inicial en las campañas de ataque more_eggs suele ser un correo electrónico de spear-phishing dirigido que lleva un archivo adjunto como arma. La última operación que involucra esta amenaza de puerta trasera fue descubierta por el equipo de investigación de eSentire. Según sus hallazgos, un grupo de piratas informáticos no identificado hasta ahora ha comenzado a dirigirse a empleados de alto rango con ofertas de trabajo falsas. El archivo zip malicioso adjunto al correo electrónico lleva el nombre de un puesto de trabajo tomado del perfil de LinkedIn del objetivo específico. Por ejemplo, si el trabajo del usuario elegido aparece como Senior Product Manager en LinkedIn, entonces el archivo zip tomaría la redacción exacta y le agregaría 'posición' - 'Senior Product Manager - posición'. Al abrir el archivo, se inicia el proceso de instalación del troyano more_eggs sin archivos.

Cadena de ataque

El proceso de instalación de more_eggs pasa por varias etapas y varios cargadores intermedios. En el primer paso, al interactuar con el archivo entregado a través del correo electrónico de phishing, la víctima ejecuta VenomLNK, una etapa inicial del troyano more_eggs. VenomLNK abusa de la Instrumentación de administración de Windows para habilitar el cargador de complementos de la siguiente etapa llamado TerraLoader. A su vez, TerraLoader secuestra los procesos legítimos de Windows cmstp y regsvr32 . Para enmascarar las actividades nefastas que ocurren en segundo plano, en este punto la amenaza presenta a su víctima con un documento de Word señuelo diseñado para aparecer como una aplicación de trabajo legítima. Mientras tanto, TerraLoader continúa con sus tareas instalando msxsl en el perfil de itinerancia del usuario objetivo y carga una nueva carga útil llamada TerraPreter de un archivo de control ActiveX obtenido de Amazon Web Services.

En la siguiente etapa del ataque, la carga útil TerraPreter recién establecida comienza a dirigirse a un servidor de Comando y Control (C2, C&C) a través de la copia armada de mxsxl. La baliza alerta al actor de la amenaza que more_eggs está completamente establecido en el sistema de la víctima y está listo para continuar. Luego, los piratas informáticos pueden instruir a la amenaza para que descargue y ejecute cargas útiles de etapa final, como ransomware e infostealers, o que comience a filtrar datos confidenciales del usuario.

Campañas anteriores de More_eggs

Las técnicas de detección-evitación de more_eggs, como la explotación de procesos nativos de Windows junto con una funcionalidad versátil, han ayudado a Golden Chickens a atraer a varios grupos de piratas informáticos ATP como clientes. Los investigadores de Infosec han visto la amenaza de puerta trasera empleada por FIN6, Evilnum y Cobalt Group. Aunque los tres pueden describirse como dirigidos a empresas del sector financiero, sus operaciones son bastante diferentes. FIN6 se ha especializado en el robo de datos de tarjetas de pago que luego se venden en plataformas de comercio clandestino. Sus principales objetivos son los dispositivos POS (punto de venta) y las empresas de comercio electrónico. Evilnum, por otro lado, persigue a las empresas de tecnología financiera y los proveedores de plataformas de negociación de acciones. Se dirigen a información privada confidencial sobre la empresa infiltrada y sus clientes robando hojas de cálculo, listas de clientes, operaciones comerciales y credenciales de cuenta. Cobalt Group también apunta a empresas financieras y hasta ahora ha utilizado more_eggs en varias operaciones.