Recientemente, en la plataforma Malware Bazaar se detectó un pequeño script HTA relacionado con el conjunto de herramientas Cobalt Strike. El script utiliza una ofuscación sencilla que puede retirarse con el servicio CyberChef y un editor de texto (por ejemplo, Visual Studio Code).
En este artículo analizaremos las acciones de nuestros «colegas» extranjeros de la empresa Embee Research y veremos cómo, de manera sencilla y rápida, es posible eliminar la protección instalada por atacantes en prácticamente cualquier archivo.
El archivo, inicialmente identificado por especialistas en TI, contenía una pequeña cantidad de código HTML, seguida de la mayor parte de los caracteres codificados en formato URL.
Para decodificar esa información se empleó la operación URL Decode en CyberChef.
Tras la primera decodificación, el contenido del archivo seguía codificado en URL. La aplicación repetida de URL Decode eliminó con éxito la ofuscación restante, lo que permitió pasar a la siguiente etapa del análisis.
El script decodificado contenía una gran cantidad de espacios innecesarios, lo que complicaba el trabajo posterior. Para eliminar el exceso de espacios se utilizó una sustitución masiva con expresiones regulares, lo que simplificó considerablemente el texto del script.
Como resultado, quedó claro que el script contenía un gran fragmento de texto codificado en base64. También llamó la atención de los investigadores la presencia de la función clave frombase64string con variaciones en el uso de mayúsculas y minúsculas.
La decodificación del contenido en base64 se realizó nuevamente con CyberChef. Al igual que antes, la eliminación de espacios innecesarios mediante expresiones regulares hizo que el contenido fuera más legible. Quedó claro que el script es un descargador que utiliza la función URLDownloadToFile.
La dirección del siguiente paso de la descarga también quedó visible tras la desofuscación completa:
El caso analizado demuestra la importancia de herramientas como CyberChef y un editor de texto sencillo para el análisis y la decodificación de scripts maliciosos. Incluso los ataques más sofisticados pueden, de hecho, analizarse y desenmascararse mediante herramientas básicas y un enfoque metódico.
Todo ello subraya la importancia de desarrollar el pensamiento crítico y dominar las habilidades fundamentales de análisis para los especialistas en seguridad de la información. La formación continua y el intercambio de conocimientos en la comunidad profesional son imprescindibles para una protección eficaz frente a las amenazas cibernéticas que evolucionan constantemente.
