Check Point Research

Check Point Research: actividad de actores chinos en 2023

/ Ciberseguridad / Por

Check Point Research monitoreó a un actor de amenazas chino que se enfocó en ministerios de Relaciones Exteriores y embajadas en Europa.

Esta tendencia se suma a una serie de actividades previamente informadas por Check Point Research que evidencian un cambio en el enfoque del ecosistema cibernético chino, con un particular interés en entidades europeas y su política exterior.

Los ataques llevados a cabo por este actor de amenazas chino han despertado preocupación en la comunidad de ciberseguridad. Check Point Research ha identificado varios vectores de ataque utilizados, entre ellos, sofisticadas técnicas de phishing, campañas de spear-phishing dirigidas a funcionarios clave, así como la explotación de vulnerabilidades en sistemas y aplicaciones utilizados por los ministerios y embajadas. Además, se ha observado el uso de malware personalizado y herramientas de acceso remoto para establecer una presencia persistente en las redes comprometidas.

La focalización en ministerios de Relaciones Exteriores y embajadas europeas sugiere una clara intención de recopilar información relacionada con la política exterior de los países objetivo. Las motivaciones detrás de estos ataques pueden incluir obtener ventajas geopolíticas, conocer las posiciones políticas y estratégicas de Europa, o incluso interferir en las relaciones diplomáticas entre países.

Dada la gravedad y la persistencia de estos ataques, es fundamental que los países europeos y las organizaciones afectadas refuercen sus medidas de seguridad cibernética. La colaboración entre el sector público y privado, así como la adopción de las mejores prácticas de seguridad, son aspectos esenciales para contrarrestar eficazmente esta creciente amenaza.

Check Point Research: reconoce a actores chinos
Check Point Research: reconoce a actores chinos

La actividad del actor de amenazas chino dirigida a ministerios de Relaciones Exteriores y embajadas europeas plantea serias preocupaciones en términos de ciberseguridad. Este enfoque selectivo resalta la necesidad de una mayor vigilancia y cooperación tanto a nivel nacional como internacional para proteger los intereses y la seguridad de las naciones europeas. A medida que el ciberespacio evoluciona, es imperativo estar preparados y adoptar medidas proactivas para enfrentar estas amenazas emergentes.

En este informe se ha detectado una campaña de actividad cibernética que utiliza el contrabando de HTML para dirigirse a entidades gubernamentales en Europa del Este. Esta campaña específica ha estado en curso desde al menos diciembre de 2022 y es probable que sea una continuación directa de una campaña anterior atribuida a RedDelta, y en cierta medida a Mustang Panda.

La peculiaridad de esta campaña radica en el uso de nuevos métodos de entrega, en particular el contrabando de HTML, para implementar una nueva variante de PlugX, un implante comúnmente asociado con diversos actores de amenazas chinos. Aunque la carga útil en sí sigue siendo similar a las variantes anteriores de PlugX, los métodos de entrega utilizados resultan en bajas tasas de detección, lo que ha permitido que la campaña pase desapercibida en gran medida hasta hace poco.

El contrabando de HTML es una técnica sofisticada que implica ocultar el código malicioso dentro de documentos HTML legítimos y enviarlos a través de canales de comunicación aparentemente seguros. Esta técnica es altamente efectiva para evadir los sistemas de detección tradicionales, ya que el código malicioso se encuentra enmascarado dentro del contenido legítimo del documento.

La carga útil utilizada en esta campaña consiste en una nueva variante de PlugX, una herramienta de acceso remoto (RAT) que proporciona a los atacantes un control total sobre los sistemas comprometidos. Esta RAT es conocida por su asociación con actores de amenazas chinos y ha sido utilizada en diversas campañas cibernéticas con objetivos similares.

La combinación de métodos de entrega novedosos y la utilización de una herramienta de acceso remoto ampliamente utilizada como PlugX ha permitido que esta campaña tenga éxito en su objetivo de pasar desapercibida y comprometer las entidades gubernamentales en Europa del Este.

Es importante destacar que las bajas tasas de detección enfatizan la necesidad de implementar soluciones de seguridad cibernética más avanzadas y actualizadas que puedan detectar y mitigar estas nuevas técnicas de ataque.

La campaña descrita en este informe utiliza el contrabando de HTML como método de entrega para implementar una nueva variante de PlugX, un implante asociado con actores de amenazas chinos. El éxito de esta campaña en eludir las medidas de detección tradicionales destaca la importancia de adoptar enfoques de seguridad cibernética más sofisticados y actualizados para contrarrestar las tácticas en constante evolución utilizadas por los actores de amenazas.

Resultados clave:

  • Check Point Research descubre una campaña dirigida llevada a cabo por un actor de amenazas chino dirigida a entidades gubernamentales en Europa, con un enfoque en entidades de política exterior e interior.
  • La campaña aprovecha el contrabando de HTML, una técnica en la que los atacantes ocultan cargas maliciosas dentro de documentos HTML.
  • Luego de una cadena de infección compleja que involucra archivos o archivos MSI, los ataques implementan PlugX, un implante comúnmente asociado con los actores de amenazas chinos.
  • La campaña, llamada SmugX , se superpone con la actividad informada anteriormente por los actores chinos APT  RedDelta  y  Mustang Panda . Aunque esos dos se correlacionan hasta cierto punto con Camaro Dragon, no hay pruebas suficientes para vincular la campaña SmugX con el grupo Camaro Dragon.

Contrabando HTML 101

El contrabando de HTML es una técnica bien documentada y ampliamente utilizada por ciberdelincuentes y actores patrocinados por el estado por igual. Esta técnica se utiliza para incrustar archivos maliciosos dentro de documentos HTML, lo que les permite evadir las medidas de detección basadas en la red, dificultando su identificación y bloqueo.

En la campaña conocida como SmugX, se ha empleado HTML Smuggling para llevar a cabo sus ataques. La forma en que se implementa esta técnica en SmugX resulta en la descarga de un archivo JavaScript o ZIP malicioso. Al abrir estos documentos HTML maliciosos, se desencadena una serie de eventos que permiten la ejecución de la carga útil incrustada en el código.

El proceso se lleva a cabo de la siguiente manera:

  1. Decodificación y almacenamiento de la carga útil: La carga útil maliciosa incrustada dentro del código HTML se descodifica y se guarda en un “blob” de JavaScript, especificando el tipo de archivo correspondiente, como “application/zip” en el caso de un archivo ZIP.
  2. Creación dinámica del enlace: En lugar de utilizar el elemento HTML <a>, el código JavaScript crea dinámicamente un enlace que apunta al archivo almacenado en el blob.
  3. Creación de un objeto URL: A continuación, se crea un objeto URL utilizando la función “createObjectURL” para el blob que contiene el archivo malicioso.
  4. Configuración del atributo “download”: El atributo “download” del enlace se establece con el nombre de archivo deseado, lo que permitirá que se descargue con dicho nombre cuando el enlace sea activado.
  5. Inicio de la descarga: Finalmente, el código JavaScript invoca la acción de hacer clic en el enlace, lo que simula a un usuario haciendo clic en el enlace, lo que a su vez inicia la descarga del archivo malicioso.

Es importante tener en cuenta que, para versiones anteriores del navegador que no soporten todas las funcionalidades requeridas para esta técnica, se emplea el método “msSaveOrOpenBlob” para guardar el blob con el nombre de archivo deseado. Esto asegura que la técnica pueda ser efectiva incluso en entornos donde no se soporten todas las funcionalidades más modernas.

El uso de HTML Smuggling en la campaña SmugX permite a los atacantes evadir las medidas de seguridad tradicionales, lo que dificulta su detección y hace que la campaña sea más efectiva en su objetivo de distribuir y ejecutar archivos maliciosos. La sofisticación y el sigilo de esta técnica subrayan la importancia de mantener las soluciones de seguridad cibernética actualizadas y adaptadas a las tácticas en constante evolución empleadas por los actores de amenazas.

Figura 1: la implementación ofuscada de HTML Smuggling.
Figura 1: la implementación ofuscada de HTML Smuggling.

Señuelos y objetivos

Los temas atractivos se centran en gran medida en las políticas internas y externas europeas y se utilizaron principalmente para dirigirse a los ministerios gubernamentales de Europa del Este.

Figura 2: objetivos y señuelos de la campaña SmugX según Check Point Research
Figura 2: objetivos y señuelos de la campaña SmugX según Check Point Research

La mayoría de los documentos tenían contenido relacionado con la diplomacia. En más de un caso, el contenido estaba directamente relacionado con China.

Los señuelos subidos a VirusTotal incluyen:

  • Una carta procedente de la embajada de Serbia en Budapest.
  • Un documento que establece las prioridades de la Presidencia sueca del Consejo de la Unión Europea.
  • Una invitación a una conferencia diplomática emitida por el Ministerio de Relaciones Exteriores de Hungría.
  • Un artículo sobre dos abogados chinos de derechos humanos condenados a más de una década de prisión.

Además, los nombres de los propios archivos archivados sugieren fuertemente que las víctimas previstas eran diplomáticos y entidades gubernamentales. Aquí hay algunos ejemplos de los nombres que identificamos:

  • Borrador del Plan de Acción del Proceso de Praga_SOM_EN
  • 2262_3_PrepCom_Proposal_next_meeting_26_abril
  • Comentarios FRANCIA – Cumbre UE-CELAC – 4 de mayo
  • 202305 Planificación indicativa RELEX
  • China encarcela a dos abogados de derechos humanos por subversión

Figura 3 – Algunos de los señuelos utilizados en esta campaña reconocidos por Check Point Research
Figura 3 – Algunos de los señuelos utilizados en esta campaña reconocidos por Check Point Research

Reconocimiento

Durante el curso de la presente investigación, se ha descubierto un documento denominado “China Tries to Block Prominent Uyghur Speaker at UN.docx” que fue cargado en VirusTotal, un servicio de análisis de archivos para detectar malware y otras amenazas. Este documento emplea una técnica de imagen remota, conocida como seguimiento de píxeles, con el objetivo de acceder a una URL específica, en este caso, “https://www.jcswcd[.]com/?wd=cqyahznz”, que contiene una imagen de un solo píxel, prácticamente imperceptible para el usuario.

La técnica de seguimiento de píxeles se utiliza comúnmente como una herramienta de reconocimiento y recolección de información. Cuando el documento es abierto o visualizado, el código del mismo solicita la carga de la imagen remota desde la URL mencionada. Es importante destacar que el usuario no es consciente de esta solicitud, ya que la imagen de un solo píxel es prácticamente invisible.

Al solicitar la imagen remota, el servidor controlado por los atacantes registra la solicitud, recopilando información relevante del destinatario. Esta información puede incluir la dirección IP del usuario, el agente de usuario (información del navegador y sistema operativo utilizado), y en algunos casos, la hora en la que se accedió al documento. Esencialmente, los atacantes pueden rastrear y registrar datos sobre el comportamiento del destinatario, como cuándo y dónde se abrió el documento.

El uso de esta técnica permite a los atacantes obtener una visión más detallada del comportamiento y las acciones del destinatario, lo que podría ser utilizado para fines maliciosos, como llevar a cabo ataques más dirigidos o diseñar campañas de ingeniería social más efectivas. Además, al recopilar información sobre la dirección IP y el agente de usuario, los atacantes podrían identificar vulnerabilidades específicas del sistema del destinatario y utilizar esta información para futuros ataques dirigidos.

En conclusión, la identificación de este documento que emplea la técnica de seguimiento de píxeles resalta la importancia de mantener una sólida seguridad cibernética y estar alerta ante posibles técnicas de reconocimiento utilizadas por actores de amenazas cibernéticas. La prevención y detección temprana de este tipo de tácticas son fundamentales para proteger la privacidad y seguridad de los usuarios frente a posibles intentos de ciberespionaje y ataques dirigidos.

Figura 4 - Archivo de reconocimiento.</p> <p>Cadenas de infección
Figura 4 – Archivo de reconocimiento.

Cadenas de infección

Figura 5: descripción general de las cadenas de infección de PlugX explicado por Check Point Research
Figura 5: descripción general de las cadenas de infección de PlugX explicado por Check Point Research

Hay dos cadenas principales de infección, las cuales se originan en un archivo HTML que guarda la segunda etapa en la carpeta de descargas de acuerdo con la configuración del navegador de la víctima. La segunda etapa puede variar: una cadena utiliza un archivo ZIP que contiene un archivo LNK malicioso y la otra cadena utiliza JavaScript para descargar un archivo MSI desde un servidor remoto.

Cadena de archivo SmugX

El escenario descrito revela un sofisticado ataque de ciberseguridad que emplea técnicas avanzadas de evasión para llevar a cabo la infección. En este caso, el HTML ha sido utilizado para contrabandear un archivo ZIP, el cual contiene un archivo LNK malicioso. A través de la ejecución de PowerShell, se procede a extraer y desplegar los contenidos del archivo ZIP en la carpeta temporal del sistema.

Los archivos contenidos en el ZIP malicioso son los siguientes:

  1. Un ejecutable legítimo: Este archivo, denominado “robotaskbaricon.exe” o “passwordgenerator.exe”, es utilizado como cebo para engañar al usuario y hacer que lo ejecute sin sospechas. Su verdadero propósito es descargar la carga útil maliciosa.
  2. Un archivo DLL malicioso: El archivo “RoboForm.dll” es un componente clave del ataque. Se trata de un archivo DLL que ha sido comprometido con código malicioso.
  3. La carga útil de PlugX: Esta es la carga maliciosa principal del ataque, almacenada en el archivo “data.dat”. PlugX es un troyano de acceso remoto (RAT) que proporciona a los atacantes un control total sobre el sistema comprometido.

Es importante destacar que este ataque se basa en una vulnerabilidad previa en la versión de RoboForm anterior a la 9.3.7 para Windows, la cual fue abordada por la empresa en una actualización lanzada el 1 de noviembre de 2022. Si los usuarios mantienen sus sistemas actualizados, estarán protegidos contra esta vulnerabilidad específica.

En la secuencia de comandos de PowerShell proporcionada, se lleva a cabo el proceso de extracción y ejecución de los archivos maliciosos. Primero, se busca el archivo LNK específico que contiene el archivo ZIP. A continuación, PowerShell extrae los datos del archivo LNK y guarda el archivo ZIP en la carpeta temporal del usuario. Luego, el contenido del ZIP es expandido y se ejecuta el ejecutable malicioso “passwordgenerator.exe”.

La ejecución de este ejecutable malicioso desencadena la activación de la carga útil de PlugX almacenada en el archivo “data.dat”. A partir de este punto, los atacantes pueden tener un control completo y remoto sobre el sistema comprometido, lo que les permite llevar a cabo una serie de acciones maliciosas.

Este tipo de ataque resalta la importancia de mantener los sistemas actualizados con las últimas actualizaciones y parches de seguridad. Además, se destaca la necesidad de implementar soluciones de seguridad proactivas que puedan detectar y mitigar ataques de este tipo, así como de educar a los usuarios sobre las prácticas seguras de navegación y manejo de archivos para evitar ser víctimas de ciberataques sofisticados.

Cadena JavaScript SmugX

En el segundo escenario, se emplea la técnica de contrabando HTML (HTML Smuggling) para descargar un archivo JavaScript. Una vez ejecutado este archivo, se procede a la descarga y ejecución de un archivo MSI desde el servidor controlado por los atacantes.

El archivo MSI descargado crea una nueva carpeta dentro del directorio “%appdata%\Local”, en la cual se almacenan tres archivos que han sido extraídos del paquete MSI. Estos archivos consisten en:

  1. Un ejecutable legítimo secuestrado: Este archivo es un programa legítimo que ha sido comprometido por los atacantes para llevar a cabo actividades maliciosas. La ejecución de este ejecutable proporciona una fachada legítima para las acciones maliciosas realizadas en el sistema comprometido.
  2. La DLL del cargador: Esta DLL es un componente clave utilizado por los atacantes para cargar y ejecutar la carga útil maliciosa. La DLL actúa como un intermediario entre la carga útil y el sistema comprometido, facilitando su ejecución y evitando la detección.
  3. La carga útil cifrada: Esta carga útil, como se ha mencionado anteriormente, está cifrada para ocultar su contenido y el propósito malicioso que tiene. Una vez descifrada y ejecutada, la carga útil puede llevar a cabo diversas acciones maliciosas en el sistema comprometido.

Es importante tener en cuenta que este escenario aprovecha la técnica de contrabando HTML para evadir las medidas de seguridad y lograr la descarga y ejecución de los archivos maliciosos. La ubicación específica donde se almacenan los archivos extraídos del paquete MSI en la carpeta “%appdata%\Local” es una estrategia utilizada por los atacantes para ocultar su presencia y dificultar su detección.

Para protegerse contra este tipo de ataque, es esencial contar con soluciones de seguridad actualizadas que puedan detectar y bloquear la descarga y ejecución de archivos maliciosos. Además, mantener los sistemas y las aplicaciones actualizados con los últimos parches de seguridad ayuda a mitigar las vulnerabilidades que los atacantes pueden explotar. La concientización y la educación en prácticas de seguridad cibernética también son fundamentales para que los usuarios puedan identificar y evitar situaciones de riesgo.

Cargador

Como se observó en instancias anteriores, el malware PlugX emplea técnicas de carga lateral de DLL. Después de que el archivo lnk o MSI elimina los archivos necesarios, desencadena la ejecución de un programa legítimo, que a su vez carga la DLL maliciosa. La DLL es responsable de descifrar la carga útil final, que a menudo se almacena en un archivo denominado  data.dat con cifrado RC4.

El proceso de descifrado utiliza una clave codificada que varía según las diferentes versiones del malware. Una vez descifrado, la carga útil se carga en la memoria para su posterior ejecución.

Figura 6: el cargador carga y descifra la carga útil en la memoria usando la clave resaltada.
Figura 6: el cargador carga y descifra la carga útil en la memoria usando la clave resaltada.

El malware PlugX, utilizado en esta campaña de amenazas, es una herramienta de acceso remoto (RAT) que ha sido empleado por varios actores de amenazas chinos desde 2008. Este malware está diseñado con una arquitectura modular que permite la incorporación de diferentes complementos con funcionalidades diversas. Esto brinda a los atacantes la capacidad de llevar a cabo una amplia gama de actividades maliciosas en los sistemas comprometidos, como robo de archivos, capturas de pantalla, registro de pulsaciones de teclas y ejecución de comandos.

Para asegurar su persistencia en el sistema comprometido, la carga útil de PlugX realiza copias del programa legítimo y la DLL y los almacena en un directorio oculto que crea. La carga útil cifrada se guarda en una carpeta oculta separada. Además, el malware logra mantener su persistencia añadiendo una entrada en la clave de registro “Run”.

En algunas de las variantes de PlugX que hemos encontrado durante esta investigación, se observa que se genera un señuelo engañoso en forma de archivo PDF en el directorio “%temp%” que posteriormente se abre. La ruta de este documento se almacena dentro de la configuración de PlugX bajo el campo “document_name”. Es importante destacar que solo unas pocas muestras de esta campaña incluyeron este campo; la mayoría carecía de él.

Después de la ejecución inicial que establece la persistencia y copia los archivos de malware en sus respectivos directorios, el malware se ejecuta solo una vez más.

En esta ocasión, se proporciona un parámetro que indica que solo debe comunicarse con el servidor de comando y control (C&C). Un cambio significativo que hemos observado en las muestras de esta campaña es el uso cada vez más frecuente del cifrado RC4 en comparación con el simple descifrado XOR que se había visto en versiones anteriores.

La configuración cifrada aún se encuentra en la sección de datos, pero ahora se antepone una clave al comienzo de la configuración en lugar de ubicarse en la función de descifrado, como se hacía en ejemplos anteriores.

Durante nuestra investigación de las muestras, el actor de amenazas envió un script por lotes, enviado desde el servidor de C&C, con el propósito de eliminar cualquier rastro de sus actividades.

Este script, denominado “del_RoboTask Update.bat”, elimina el ejecutable legítimo, la DLL del cargador de PlugX y la clave de registro utilizada para la persistencia. Finalmente, el script se borra a sí mismo.

Es probable que esto se deba a que los actores de amenazas se percataron de que estaban bajo escrutinio y trataron de eliminar las evidencias de su presencia.

Atribución

Esta campaña comparte similitudes significativas con la actividad atribuida por otros proveedores de seguridad a RedDelta o Mustang Panda (en este contexto, vale la pena señalar que RedDelta y Mustang Panda están correlacionados hasta cierto punto y, en algunos casos, se usan para describir la misma actividad):

  • Infraestructura  : durante nuestra investigación, encontramos un certificado distintivo en el servidor C&C con la dirección IP  62.233.57[.]136. Cabe destacar que el nombre común dentro de este certificado apunta a otra dirección IP,  45.134.83[.]29un indicador previamente  asociado  con RedDelta.
    Vale la pena mencionar que se hizo  referencia al mismo certificado  en otra investigación sobre Mustang Panda, lo que fortaleció aún más el vínculo entre SmugX y las actividades observadas anteriormente.
Figura 8: el certificado encontrado en el servidor C&C.
Figura 8: el certificado que se encuentra en el servidor C&C.
  • Rutas  : algunas de las rutas utilizadas para implementar PlugX son únicas y se observaron en las campañas descritas anteriormente. Los caminos únicos que observamos incluyen:
    • C:\Users\Public\VirtualFile
    • C:\Usuarios\Público\SamsungDriver
    • C:\Usuarios\Público\SecurityScan
  • Orientación  : además de la evidencia técnica, la victimología y las tácticas de señuelo empleadas en la campaña SmugX están altamente correlacionadas con las descritas en los informes de RedDelta y Mustang Panda de otros proveedores.

Recientemente  publicamos  una serie de artículos sobre un actor de amenazas que hemos estado rastreando llamado Camaro Dragon, cuya actividad se superpone con Mustang Panda y RedDelta.

Sin embargo, no hay evidencia suficiente para vincular esta campaña actual directamente con Camaro Dragon y, por lo tanto, la están rastreando como la campaña SmugX.

Conclusión

En este informe, analizamos una campaña reciente que se correlaciona con las actividades de RedDelta y se superpone hasta cierto punto con Mustang Panda, destacando su orientación persistente a las entidades gubernamentales europeas.

Check Point Research, da visibilidad a una nueva campaña de origen chino
Check Point Research, da visibilidad a una nueva campaña de origen chino

Identificamos múltiples cadenas de infección que emplean la técnica de contrabando de HTML que lleva al despliegue de la carga útil de PlugX.

La campaña, llamada SmugX, es parte de una tendencia más amplia que estamos viendo de los actores de amenazas chinos que cambian su enfoque a Europa.

Si bien ninguna de las técnicas observadas en esta campaña es nueva o única, la combinación de las diferentes tácticas y la variedad de cadenas de infección que resultaron en bajas tasas de detección permitieron que los actores de amenazas permanecieran bajo el radar durante bastante tiempo.

En cuanto a PlugX, también se mantuvo prácticamente sin cambios con respecto a apariciones anteriores, aunque un nuevo aspecto observado es la adopción del cifrado RC4 de la carga útil, que es una desviación del cifrado XOR utilizado anteriormente.

Los clientes de Check Point Software permanecen protegidos contra la amenaza descrita en esta investigación.

Check Point  Threat Emulation  y  Harmony Endpoint  brindan una cobertura integral de tácticas de ataque, tipos de archivos y sistemas operativos y brindan protección contra el tipo de ataques y amenazas que se describen en este informe.

Emulación de amenazas de Check Point:

  • APT.Gana.MustangPanda.AP

Punto final de armonía:

  • APT.Win.PlugX.O
  • APT.Win.PlugX.Q
  • APT.Win.PlugX.R

COI

Hachís

HTML

  • edb5d4b454b6c7d3abecd6de7099e05575b8f28bb09dfc364e45ce8c16a34fcd
  • 736451c2593bc1601c52b45c16ad8fd1aec56f868eb3bba333183723dea805af
  • 0e4b81e04ca77762be2afb8bd451abb2ff46d2831028cde1c5d0ec45199f01a1
  • 989ede1df02e4d9620f6caf75a88a11791d156f62fdea4258e12d972df76bc05
  • 10cad59ea2a566597d933b1e8ba929af0b4c7af85481eacaab708ef4ddf6e0ee
  • c96723a68fc939c835578ff746f7d4c5371cb82a9c0dffe360bb656acea4d6e1
  • 9ce5abd02d397689d99f62dfbd2a6a396876c6629cb5db453f1dcbbc3465ac9a

Archivo

  • 5f751fb287db51f79bb6df2e330a53b6d80ef3d2af93f09bb786b62e613514db
  • baca1159acc715545a787d522950117eae5b7dc65efacfe86383f62e6b9b59d3
  • 720a70ca6ee1fbaf06c7cb60d14e27391130407e34e13a092d19f1df2c9c6d05
  • 460c459db77c5625ed1c029b2dd6c6eae5e631b81a169494fb0182d550769f76
  • 277390cc50e00f52e76a6562e6e699b0345497bd1df26c7c41bd56da5b6d1347

JavaScripts

  • 3c6ace055527877778d989f469a5a70eb5ef7700375b850f0b1b8414151105ee
  • 27a61653ce4e503334413cf80809647ce5dca02ff4aea63fb3a39bc62c9c258c
  • ce308b538ff3a0be0dbcee753db7e556a54b4aeddbddd0c03db7126b08911fe2

MSI

  • fd0711a50c8af1dbc5c7ba42b894b2af8a2b03dd7544d20f5a887c93b9834429
  • 3489955d23e66d6f34b3ada70b4d228547dbb3ccb0f6c7282553cbbsordo168cb
  • 04b99518502774deb4a9d9cf6b54d43ff8f333d8ec5b4b230c0e995542bb2c61
  • bd3881964e351a7691bfc7e997e8a2c8ce4a8e26b79e3712d0cbdc484a5646b6
  • ea2869424df2ffbb113017d95ae48ae8ed9897280fd21b26e046c75b3e43b25a

RoboForm.dll

  • b00c252a60171f33e32e64891ffe826b8a45f8816acf778838d788897213a405
  • 2bc30ced135acd6a506cfb557734407f21b70fecd2f645c5b938e14199b24f1e
  • 0d13a503d86a6450f71408eb82a196718324465744bf6b8c4e0a780fd5be40c0
  • 0bdfb922a39103658195d1d37ff584d24f7bd88464e7a119e86d6e3579958cc1
  • a0879dd439c7f1ed520aad0c309fe1dbf1a2fc41e2468f4174489a0ec56c47c7
  • bddbc529f23ab6b865bc750508403ef57c8cf77284d613d030949bd37078d880
  • 4547914e17c127d9b53bbc9d44de0e5b867f1a86d2e5ede828cd3188ed7fe838
  • 0032d5430f1b5fcfb6a380b4f1d226b6b919f2677340503f04df04235409b2d0

Carga útil cifrada

  • 62c2e246855d589eb1ec37a9f3bcc0b6f3ba9946532aff8a39a4dc9d3a93f42c
  • f7d35cb95256513c07c262d4b03603e073e58eb4cd5fa9aac1e04ecc6e870d42
  • bf4f8a5f75e9e5ecd752baa73abddd37b014728722ac3d74b82bffa625bf09b5
  • 8a6ef9aa3f0762b03f983a1e53e8c731247273aafa410ed884ecd4c4e02c7db8
  • ec3e491a831b4057fc0e2ebe9f43c32f1f07959b6430b323d35d6d409d2b31e4
  • bf8e512921522e49d16c638dc8d01bd0a2803a4ef019afbfc2f0941875019ea1
  • ba55542c6fa12865633d6d24f4a81bffd512791a6e0a9b77f6b17a53e2216659

Carga útil descifrada

  • 8ea34b85dd4fb64f7e6591e4f1c24763fc3421caa7c0f0d8350c67b9bafa4d32
  • 8cac6dfb2a894ff3f530c29e79dcd37810b4628279b9570a34f7e22bd4d416b3
  • ea5825fa1f39587a88882e87064caae9dd3b79f02438dc3a229c5b775b530c7d
  • 1acb061ce63ee8ee172fbdf518bd261ef2c46d818ffd4b1614db6ce3daa5a885
  • 08661f40f40371fc8a49380ad3d57521f9d0c2aa322ae4b0a684b27e637aed12
  • 324bfb2f414be221e24aaa9fb22cb49e4d4c0904bd7c203afdff158ba63fe35b

IP y dominios

  • 45.90.58[.]69
  • 62.233.57[.]136
  • 217.12.207[.]164
  • 152.152.12[.]12
  • jcswcd[.]com
  • newsmailnet[.]com

Caminos

  • C:\Usuarios\<nombre de usuario>\Archivo virtual
  • C:\Users\Public\VirtualFile
  • C:\Usuarios\<nombre de usuario>\SamsungDriver
  • C:\Usuarios\Público\SamsungDriver
  • C:\Usuarios\Público\SecurityScan

Por Marcelo Lozano – General Publisher IT CONNECT LATAM

Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, 

Lea más sobre ciberseguridad en;

Zero Trust: 5 Beneficios y Desafíos en Seguridad y Experiencia del Usuario

SOC 2 Tipo 2 – Control de Organización de Servicios: Kaspersky superó la auditoría

VANGUARD PANDA: usan webshells y biblioteca de Tomcat con 1 backdoor

SolarWinds demandada por ataque Orion 2020

SearchInform FileAuditor 2023: Potente Auditoría de Archivos

Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Researc

Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, h, 

Scroll al inicio