Snip3 Loader

Los investigadores de Morphisec han descubierto una nueva amenaza de malware amenazante y altamente sofisticada que han denominado criptor 'Snip3'. La amenaza se ofrece en un esquema Cryptor-as-a-Service y se utiliza en campañas de ataque en curso que ofrecen numerosas cepas RAT (troyanos de acceso remoto) como cargas útiles finales en las máquinas comprometidas. Las características más poderosas del cargador Snip3 son sus capacidades de detección-evitación y anti-análisis basadas en varias técnicas avanzadas, como ejecutar código PowerShell con el parámetro 'remotesigned', usar Pastebin y top4top para la puesta en escena, compilar cargadores runPE en tiempo de ejecución y comprobando la virtualización de Windows Sandbox y VMWare.

La cadena de ataque se compone de múltiples etapas y el vector de ataque inicial se difunde a través de correos electrónicos de phishing. Los mensajes de señuelo intentan engañar al usuario objetivo para que descargue un archivo visual básico dañado. En algunos casos, los actores de la amenaza utilizaron un archivo de instalación grande para ocultar la entrega de su herramienta de malware.

La etapa inicial del ataque Snip3

La primera etapa implica la implementación de un script VB que es responsable de preparar e inicializar la siguiente etapa del ataque de malware: un script de PowerShell de segunda etapa. Los investigadores de Infosec han logrado identificar cuatro versiones principales del script VB junto con 11 subversiones. Lo que diferencia a las 4 versiones es el método exacto utilizado para cargar el PowerShell next-sage, mientras que las subversiones emplean diferentes tipos de ofuscaciones. Cabe señalar que en esta etapa inicial, el actor de amenazas ha implementado una técnica bastante única observada en algunas de las versiones: el script ejecuta PowerShell con un parámetro '-RemoteSigned' como comando.

Segunda etapa de la operación Snip3

La segunda etapa gira principalmente en torno a asegurarse de que el malware no se esté ejecutando en un entorno virtual. Si todo parece estar dentro de las expectativas, el script de PowerShell pasará a cargar RUnPE para ejecutar la carga útil RAT seleccionada dentro de un proceso hueco de Windows de forma reflexiva.

Snipe3 está equipado con medidas anti-VM adicionales en comparación con el código habitual que se ve en la naturaleza y no es capaz de detectar Microsoft Sandbox. Para buscar máquinas virtuales potenciales como VMWare, VirtualBox o Windows Sandbox, el script de PowerShell extrae la cadena del fabricante y la compara con una lista de cadenas codificadas. Para detectar entornos Sandboxie, el malware intenta resolver un identificador de una DLL denominada SbieDll.dll. Si se encuentra una máquina virtual, el malware finaliza sus operaciones sin entregar la carga útil RAT.

El despliegue de una amenaza RAT

En la última etapa de las operaciones de Snip3, la amenaza envía un malware RAT seleccionado al sistema infectado. El mecanismo de entrega difiere de lo que se observa comúnmente en otras campañas amenazantes. Snip3 duplica su sigilo al llevar un código fuente incrustado y comprimido (GZIP) que se compila en tiempo de ejecución. Este código fuente parece ser una versión modificada de runPE de un repositorio de GitHub llamado NYAN-x-CAT.

Hasta ahora, se ha observado que varias amenazas RAT han sido eliminadas como carga útil final por Snip3. La mayoría de las veces, las amenazas implementadas son ASyncRAT o RevengeRAT . Sin embargo, ha habido casos en los que las variantes de Snip3 han entregado AgentTesla o NetWire RAT .

Las organizaciones deben tener en cuenta el IoC (Indicadores de compromiso) revelado y tener en cuenta las capacidades de Snip3 que le permiten eludir fácilmente las soluciones centradas en la detección.