Neurevt un troyano dirigido a los usuarios mexicanos
Resumen
- Cisco Talos descubrió una nueva versión del troyano Neurevt con capacidades de spyware y de backdoor en junio de 2021 utilizando la telemetría del producto Cisco Secure Endpoint.
- Esta versión de Neurevt parece estar dirigida a usuarios de instituciones financieras mexicanas.
- Esta amenaza demuestra varias técnicas dentro del framework de MITRE ATT&CK, de las cuales sobresalen: T1547 – Ejecución automática de arranque o inicio de sesión , T1055 – Inyección de proceso , T1546 – Ejecución de desencadenadores de eventos , T1056 – Enlace de API de credenciales , T1553 – Controles de confianza subvertidos , T1562 – Deterioro de las Defensas , T1112 – Modificar registro , T1497 -Evasion de Virtualización\Sandbox , T1083 – Descubrimiento de archivos y directorios , T1120 – Descubrimiento de dispositivos periféricos , T1057 – Descubrimiento de procesos , T1012 – Registro de consultas , T1518 – Descubrimiento de software y T1082 – Descubrimiento de información del sistema .
- Cisco Secure Endpoint, SNORTⓇ y Cisco Umbrella pueden proteger a los usuarios de la descarga de este malware, protegiendo sus cuentas bancarias en línea de posibles robos.
¿Qué hay de nuevo?
Aunque Neurevt ha existido por un tiempo , muestras recientes en Cisco Secure Endpoint muestran que los atacantes combinaron este troyano con puertas traseras y ladrones de información. Este troyano parece apuntar a organizaciones mexicanas. Talos está rastreando estas campañas incorporando URLs en los droppers asociados, que pertenecen a muchos de los principales bancos de México.
¿Cómo funciona?
El malware comienza con un comando de PowerShell ofuscado que descarga un archivo ejecutable que pertenece a la familia Neurevt. El troyano coloca otros ejecutables, scripts y archivos en las carpetas que crea durante el tiempo de ejecución. El payload descargado termina en una ubicación benigna del sistema de archivos y se ejecuta, elevando así su privilegio al robar información del token de servicio. Ejecuta las etapas siguientes del archivo ejecutable, que instala procedimientos de enlace en las pulsaciones de teclas del monitor y los eventos de entrada del mouse. Captura la pantalla del monitor y la información del portapapeles. Luego, Neurevt detecta el entorno virtualizado y depurador, deshabilita el firewall, modifica la configuración del proxy de Internet en la máquina de la víctima para evadir las detecciones y frustrar el análisis. En lugar de llamar a API conocidas para la comunicación HTTP, el malware usa System.Web Namespace e incluye clases HTTP para permitir la comunicación navegador-servidor con el servidor de comando y control (C2) para exfiltrar los datos.
¿Que debemos hacer?
Los usuarios de banca en línea en México deben tener cuidado al operar sus computadoras, acceder a correos electrónicos y archivos adjuntos, y abstenerse de acceder a sitios web no seguros. Este troyano roba principalmente el nombre de usuario y las contraseñas de los usuarios en los sitios y también puede apuntar a otra información intelectual. Las organizaciones y las personas deben mantener sus sistemas actualizados con los últimos parches de seguridad para los sistemas operativos y las aplicaciones y, si es posible, habilitar la autenticación multi-factor en sus cuentas.
Detalles técnicos Mientras investigábamos la actividad maliciosa en los registros de Cisco Secure Endpoint, detectamos la ejecución de un comando de PowerShell. Los atacantes suelen aprovechar PowerShell al ofuscar los scripts. En este caso, no pudimos ubicar la fuente de este comando de PowerShell, pero lo más probable es que sea un documento de Microsoft Office o un código JavaScript
El atacante intenta eludir la política de ejecución de PowerShell del endpoint comprometido y crea un nuevo objeto de cliente web Google Chrome para conectarse a un dominio saltoune[.]xyz y descargar un archivo ejecutable, que es la primera etapa del malware. Comenzamos nuestra investigación observando de cerca el dominio saltoune[.]xyz. Fue creado el 21 de junio de 2021 y registrado con NameCheap con sede en Reykjavik, Islandia. La dirección IP del servicio del dominio saltoune[.]xyz es 162[.]213[.]251[.]176, detectada como maliciosa por cinco proveedores de seguridad en VirusTotal. El dominio aloja un archivo Win32 EXE malicioso con el valor sha256 de 86aab09b278fe8e538d8cecd28f2d7a32fe413724d5ee52e2815a3267a988595.
Cisco Umbrella Investigate mostró un aumento en las solicitudes de DNS al dominio malicioso.
Ejecutamos el malware de etapa 1 en el entorno de Cisco Secure Network Analytics y descubrimos que la actividad comenzó con la creación de directorios y archivos.
El malware Stage 1 crea un hilo que establece claves de registro para ejecutar el archivo con la extensión “.vbs” con los ID del programa.
El proceso WScript.exe inicia y modifica la configuración de Internet. Las claves de registro de ZoneMap desactivan la detección automática de la intranet. Asigna los sitios locales a la zona de intranet, omite el servidor proxy y asigna todas las rutas de red a la zona de intranet.
El proceso WScript.exe lee el archivo “C: \ LMPupdate \ set \ 435246.vbs” e inicia el shell de Windows y ejecuta el archivo por lotes “C: \ LMPupdate \ set \ 183.bat”.
El archivo por lotes cambia el nombre del archivo C:\LMPupdate\set\x0329847998 a un archivo RAR protegido con contraseña, 43939237cx.rar. Ejecuta unpakedree.exe para extraer el contenido del archivo RAR con la contraseña “67dah9fasdd8kja8ds9h9sad”.
El shell de Windows inicia un proceso WScript.exe y ejecuta el archivo 3980392cv.vbs.
Esto lanza otra instancia de shell de Windows y ejecuta el archivo por lotes 48551.bat.
La instancia 48551.bat ejecuta el malware de segunda etapa xc829374091FD.exe como un proceso que crea un subproceso con el nombre “xc829374091FD.exe” escribiendo su imagen en la memoria virtual del proceso secundario. El archivo por lotes elimina los archivos de la carpeta “C:\LMPupdate\set” y elimina la carpeta vacía para borrar sus huellas.
El proceso xc829374091FD.exe creará el proceso explorer.exe y se cambiará el nombre a “13q77qiq.exe” en el directorio \ProgramData\Google Updater 2.09\13q77qiq.exe.
El valor hash sha256 de “13q77qiq.exe” es 5624eea08b241314b8bd13ee9429449c53085a6bb2bcc481655f1f28b4314122. “13q77qiq.exe” es un ejecutable portátil de 32 bits, escrito en ruso, que utiliza el subsistema de interfaz gráfica de usuario (GUI) de Windows, con un número de versión de 234 234 23 (234 234 234 23).
El proceso explorer.exe lee el ejecutable 13q77qiq.exe y lo escribe en el espacio temporal local del administrador: \Users\ADMINI~1\AppData\Local\Temp\13q77qiq_1.exe. Este proceso también asigna memoria en su proceso de memoria virtual y escribe la imagen de 13q77qiq_1.exe, en la que se exhibe el mecanismo de inyección del proceso.
El malware contacta con algunos dominios para descargar los ejecutables:
- http://morningstarlincoln[.]co[.]uk/ con la dirección IP 79[.]170[.]44[.]146. Cuando se conecta, descarga un archivo PE con el valor hash SHA256 de 35617cfc3e8cf02b91d59209fc1cd07c9c1bc4d639309d9ab0198cd60af05d29.
- http://russk17[.]icu con la dirección IP 23[.]95[.]225[.]105. Cuando se contacta, descarga un archivo ejecutable llamado “seer.exe” con el valor hash SHA256 de 4d3ee3c1f78754eb21b3b561873fab320b89df650bbb6a69e288175ec286a68f.
Detectamos URLs incrustadas mientras miramos las cadenas en el archivo PE con el valor hash SHA256 35617cfc3e8cf02b91d59209fc1cd07c9c1bc4d639309d9ab0198cd60af05d29. Pertenecen a muchas de las principales instituciones financieras de México.
Mirando de cerca el archivo PE, nos mostró funciones con la capacidad de acceder a los paneles de la página web y los cuadros de texto de los sitios web bancarios anteriores. Los atacantes utilizan estas técnicas para robar credenciales y tokens 2FA.
A continuación se muestran algunas de las llamadas a funciones definidas por criminales y su ubicacion:
Escalada de privilegios y persistencia
El atacante aprovechó las funciones del registro de Windows para establecer la persistencia y la escalada de privilegios.
Las técnicas MITRE ATT & CK utilizadas son:
- T1547 – Ejecuciónautomática de arranque o inicio de sesión
- T1055 – Inyección de proceso
- T1546 – Ejecución de desencadenadores de eventos
- T1056 – Enlace de API de credenciales
Detectamos algunos procesos que configuran las Opciones de ejecución de archivos de imagen en el registro para garantizar que se ejecute código malicioso cuando se inicie otra aplicación y agregue la ruta a las claves de registro de inicio automático. El proceso Explorer.exe crea un valor de depuración.Esto es usualmente un precedimiento estandar para desarrolladores, pero en este caso, está fuera de lugar porque está automatizado.
Clave de registro: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RSTRUI.exe
Valor: Debuggre blvzufu.exes\\0
Clave de registro: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\3K77573KMES7W.exe
Valor: DisableExceptiomChainVaidation
Clave de registro:
HKCU\Software\Microscoft\Windows\CurrentVersion\Runonce
Valor: C:\ProgramData\Google Updater 2.09\13q77qiq.exe
HKCU\Software\Microscoft\Windows\CurrentVersion\Run
Valor: C:\ProgramData\Google Updater 2.09\13q77qiq.exe
HKLM\Software\Microscoft\Windows\CurrentVersion\Runonce
Valor: C:\ProgramData\Google Updater 2.09\13q77qiq.exe
El malware manipula y enumera los privilegios de usuario/cuenta llamando a GetTokenInformation y AdjustTokenPrivileges.
Evasión defensiva
Detectamos varias técnicas que utilizó el atacante para evadir la detección, que analizaremos a continuación.
T1553 – Subvertir controles de confianza
El proceso Explorer.exe lee el flujo de datos alternativo del identificador de zona. Los archivos descargados agregarán un identificador de zona, también conocido como marca de la web, al flujo de datos alternativo. El malware verificará si tiene metadatos de identificador de zona y lo eliminará si existe, evitando así las protecciones de la aplicación.
C:\ProgramData\Google Updater 2.09\q99ig1gy1.exe: Zone. Identifier
T1562 – Deterioro de las defensas
El proceso Explorer.exe establece el valor de la clave de registro en cero y deshabilita el firewall de Windows. También modificó las entradas de registro de la zona de seguridad de Internet Explorer. El atacante debilitó la seguridad de Internet Explorer al permitir controles ActiveX sin firmar, desactivar el bloqueo de ventanas emergentes y cambiar los permisos de Java, entre otras opciones.
T1112 – Modificar registro
Detectamos una clave de registro con una gran cantidad de datos colocados en el campo de datos diseñados para ocultar la presencia del atacante: HKEY_CURRENT_USER\Software\AppDataLow\Software\{B56DA420-0B5E-0394-E271-7DACAF8D4BB5}\14FD1F9A\46a66ff9b34
T1497 – Evasion de Virtualización\Sandbox
El proceso Explorer.exe intenta conectarse a un controlador de VirtualBox y un dispositivo VMware o ubicar una DLL de VirtualBox o de VMware. Este atacante intentó detectar la presencia de VirtualBox y VMware como medio de anti-análisis. Neurevt también usa las API GetTickCount e IsDebuggerPresent como técnicas anti-análisis.
Descubrimiento y recolección
Neurevt puede enumerar información de la máquina de la víctima. A continuación se muestran las técnicas utilizadas por el atacante.
- T1083 – Descubrimiento de archivos y directorios
- T1120 – Descubrimiento de dispositivos periféricos
- T1057 – Descubrimiento de procesos
- T1012 – Registro de consultas
- T1518 – Descubrimiento de software
- T1082 – Descubrimiento de información del sistema
El malware tiene funciones que verifican el sistema operativo, enumera los controladores del sistema, las unidades de disco disponibles actualmente en la máquina de la víctima, recopila información sobre las unidades de disco o directorios del sistema, detecta la versión de Java Runtime Environment, recupera la lista de distribución del teclado y enumera la ubicación de la información del usuario.
El malware también puede tomar capturas de pantalla del monitor de la víctima.
También puede copiar los datos en el portapapeles, vaciarlos y luego cerrar el portapapeles.
El malware también escribe los datos del búfer de pantalla de la consola activa en un archivo.
Neurevt establece la distribución del teclado llamando a la API GetKeyboardLayout, ActivateKeyboardLayout y llama a GetKeyboardState que copia el estado de 256 teclas virtuales al búfer y llama a GetKeyState, que recupera el estado de las teclas virtuales de los caracteres de control del teclado Line Feed, Vertical Tab y Form Feed. Llama MapVirtualKeyW, que mapea el código de la llave virtual en el código de escaneo. Neurevt instala un procedimiento de enlace que monitorea los mensajes generados como resultado de un evento de entrada de las pulsaciones de teclas y la actividad del mouse en un cuadro de diálogo, cuadro de mensaje, menú o barra de desplazamiento.
También supervisa los mensajes de pulsación de tecla publicados en una cola de mensajes de la aplicación.
Neurevt espera los mensajes de varios objetos, busca el mensaje, verifica si es una ventana Unicode, recibe el mensaje, traduce el código de escaneo de la clave virtual a los caracteres y los envía.
Exfiltración
El malware usa System.Web Namespace para habilitar la comunicación navegador-servidor con el servidor C2 utilizando un servidor web Nginx. El método de puerta trasera HTTP se utiliza colocando la información de la máquina comprometida en la sección de datos de la solicitud HTTP POST a los dominios russk18[.]icu y moscow13[.]en.
Conclusión
Esta versión de Neurevt exhibió múltiples funcionalidades. Una vez infectado, el atacante obtiene acceso al sistema de la víctima y modifica la configuración del sistema para ocultar su existencia. El troyano accederá a los tokens de servicio del sistema de la víctima y elevará sus privilegios, accediendo así al sistema operativo, la información de la cuenta del usuario, las credenciales de los sitios web bancarios, la captura de capturas de pantalla y la conexión a los servidores C2 para robar propiedad intelectual e información personal. Este troyano puede afectar a usuarios individuales y organizaciones que conducen a una filtración de datos o daño a la reputación que eventualmente resulta en una pérdida de valor financiero.
Las organizaciones y los defensores pueden tomar medidas proactivas para mitigar el riesgo de infección y robo de datos, como restringir el acceso de los usuarios a sitios web sospechosos y descargar contenidos maliciosos. Talos también fomenta la implementación del control de acceso basado en roles para el uso de herramientas administrativas de Windows, aplicación de la política de ejecución de PowerShell y bloquear direcciones IP, dominios y tráfico de red sospechosos de C2.
Las personas que utilizan sus sistemas personales deben asegurarse de tener instaladas las últimas actualizaciones, incluidos los motores de análisis antivirus, los sistemas operativos y de las aplicaciones. Se debe deshabilitar la ejecución automática de los scripts del navegador. Los usuarios deben tener cuidado al acceder a sitios web que descargan su contenido al sistema de archivos de su computadora.
Cobertura
Las formas en que nuestros clientes pueden detectar y bloquear esta amenaza se enumeran a continuación.
Se han publicado las siguientes firmas ClamAV para detectar esta amenaza:
Win.Trojan.Neurevt-9880046-0
Win.Trojan.Neurevt-9880047-0
Win.Trojan.Neurevt-9880048-0
Win.Trojan.Neurevt-9880049-1
Los clientes de Open Source Snort Subscriber Rule Set pueden mantenerse actualizados descargando el último paquete de reglas disponible para su compra en Snort.org .
Se ha publicado el SID 57989 para detectar esta amenaza.
IOC
DOMINIOS:
russk18[.]icu
russk19[.]icu
russk20[.]icu
russk21[.]icu
russk22[.]icu
moscow13[.]en
moscow11[.]en
HASHES:
86aab09b278fe8e538d8cecd28f2d7a32fe413724d5ee52e2815a3267a988595
b5624eea08b241314b8bd13ee9429449c53085a6bb2bcc481655f1f28b4314122
4d3ee3c1f78754eb21b3b561873fab320b89df650bbb6a69e288175ec286a68f
35617cfc3e8cf02b91d59209fc1cd07c9c1bc4d639309d9ab0198cd60af05d29
URL:
http://saltoune[.] xyz/pb/aa.exe
https://saltoune[.] xyz/pb/aa.exe
http://morningstarlincoln[.]co[.]uk/site/bmw/studi.exe
http://russk17[.]icu/mailo/seer.exe
Fuente: https://blog.talosintelligence.com/2021/08/neurevt-trojan-takes-aim-at-mexican.html