Se propaga a través de sitios web engañosos que ofrecen ofertas en productos de lujo
Se ha descubierto una campaña de malware a gran escala que aprovecha un controlador de Windows vulnerable asociado con el paquete de productos Adlice para eludir los esfuerzos de detección y distribuir el malware Gh0st RAT.
"Para evadir aún más la detección, los atacantes generaron deliberadamente múltiples variantes (con diferentes hashes) del controlador 2.0.2 modificando partes específicas del PE mientras mantenían la firma válida", dijo Check Point en un nuevo informe publicado el lunes.
La empresa de ciberseguridad dijo que la actividad maliciosa involucró miles de muestras maliciosas de primera etapa que se utilizan para implementar un programa capaz de terminar el software de detección y respuesta de puntos finales (EDR) por medio de lo que se llama un ataque de traer su propio controlador vulnerable (BYOVD).
Se han identificado hasta 2.500 distintas variantes de la versión 2.0.2 heredada del controlador antirootkit vulnerable RogueKiller, truesight.sys, en la plataforma VirusTotal, aunque se cree que es probable que la cifra sea mayor. El módulo EDR-killer se detectó y registró por primera vez en junio de 2024.
El problema con el controlador Truesight, un error de terminación de proceso arbitrario que afecta a todas las versiones anteriores a la 3.4.0, se ha utilizado anteriormente para diseñar exploits de prueba de concepto (PoC) como Darkside y TrueSightKiller que están disponibles públicamente desde al menos noviembre de 2023.
En marzo de 2024, SonicWall reveló detalles de un cargador llamado DBatLoader que utilizó el controlador truesight.sys para matar soluciones de seguridad antes de entregar el malware Remcos RAT.
Hay cierta evidencia que sugiere que la campaña podría ser obra de un actor de amenazas llamado Silver Fox APT debido a cierto nivel de superposiciones en la cadena de ejecución y la técnica empleada, incluido el "vector de infección, la cadena de ejecución, las similitudes en las muestras de la etapa inicial [...] y los patrones históricos de selección de objetivos".
Las secuencias de ataque implican la distribución de artefactos de primera etapa que a menudo se disfrazan como aplicaciones legítimas y se propagan a través de sitios web engañosos que ofrecen ofertas en productos de lujo y canales fraudulentos en populares aplicaciones de mensajería como Telegram.
Las muestras actúan como un descargador, descargando la versión heredada del controlador Truesight, así como la carga útil de la siguiente etapa que imita los tipos de archivos comunes, como PNG, JPG y GIF. Luego, el malware de segunda etapa procede a recuperar otro malware que, a su vez, carga el módulo EDR-killer y el malware Gh0st RAT.
"Si bien las variantes del controlador Truesight heredado (versión 2.0.2) generalmente se descargan e instalan mediante las muestras de la etapa inicial, también se pueden implementar directamente mediante el módulo EDR/AV killer si el controlador aún no está presente en el sistema", explicó Check Point.
"Esto indica que, aunque el módulo EDR/AV killer está totalmente integrado en la campaña, es capaz de operar independientemente de las etapas anteriores".
El módulo emplea la técnica BYOVD para abusar del controlador susceptible con el propósito de finalizar procesos relacionados con cierto software de seguridad. Al hacerlo, el ataque ofrece una ventaja ya que evita la lista de bloqueo de controladores vulnerables de Microsoft, un mecanismo de Windows basado en valores hash diseñado para proteger el sistema contra controladores vulnerables conocidos.
Los ataques culminaron con el despliegue de una variante de Gh0st RAT llamada HiddenGh0st, que está diseñada para controlar de forma remota los sistemas comprometidos, brindando a los atacantes una forma de realizar robo de datos, vigilancia y manipulación del sistema.
A partir del 17 de diciembre de 2024, Microsoft actualizó la lista de bloqueo de controladores para incluir el controlador en cuestión, bloqueando efectivamente el vector de explotación.
"Al modificar partes específicas del controlador y al mismo tiempo preservar su firma digital, los atacantes eludieron los métodos de detección comunes, incluidos los últimos mecanismos de detección de LOLDrivers y la lista de bloqueo de controladores vulnerables de Microsoft, lo que les permitió evadir la detección durante meses", dijo Check Point.
"La explotación de la vulnerabilidad de terminación arbitraria de procesos permitió al módulo EDR/AV killer atacar y deshabilitar procesos comúnmente asociados con soluciones de seguridad, mejorando aún más el sigilo de la campaña".
