Correo, archivo comprimido y símbolos raros: así evade VioletRAT la protección de Windows
Vea hasta dónde llegan los hackers para obtener sus secretos.
Los especialistas de SonicWall registraron una nueva campaña de distribución del programa malicioso VioletRAT. El ataque utiliza una cadena de entrega de varias etapas y un esquema complejo de inyección de código basado en Python. Los atacantes emplean varios pasos de descarga y ejecución sigilosa de la carga útil para afianzarse en el sistema y eludir los mecanismos de protección de Windows.
La propagación comienza con un correo que contiene un archivo comprimido. Dentro del archivo hay un archivo BAT muy ofuscado. El archivo está guardado en la codificación UTF-16LE, por lo que al abrirlo en un editor de texto estándar se muestra como un conjunto de símbolos sin sentido. Esta técnica oculta el contenido del script y reduce la probabilidad de detección.
Al ejecutarse, el archivo BAT lanza silenciosamente PowerShell y abre el sitio google.com en el navegador. A continuación, el script descarga el archivo did.zip desde un almacenamiento en la nube y guarda el archivo en el directorio %USERPROFILE%/Contacts/dad. Al mismo tiempo se descarga un script adicional start.bat en la carpeta de inicio de Windows, lo que garantiza el reinicio del código malicioso en cada arranque del sistema.
La siguiente etapa está relacionada con la ejecución del script Python stry.py. El archivo comprimido contiene varios componentes: shellcode cifrado en el archivo nou.bin, claves de descifrado en a.txt y un conjunto de bibliotecas auxiliares de Python. El script enmascara los tipos de datos, los nombres de las API y los parámetros de las funciones, asignándoles otras denominaciones. En el código la herramienta se identifica como "Advanced Payload Executor".
El script recopila las claves del archivo a.txt, las concatena y aplica una serie de transformaciones para descifrar el shellcode. Primero la clave se invierte y luego se aplica una operación XOR. El bloque de datos comprimido resultante se descomprime con la función zlib.decompress. Tras su preparación, el código se inyecta en el proceso explorer.exe. La ejecución se realiza mediante las API del sistema ResumeThread y WaitForSingleObject.
El shellcode continúa la cadena de carga oculta. El código malicioso localiza dinámicamente las direcciones de las funciones en las bibliotecas ntdll.dll y kernel32.dll. A continuación descifra un bloque adicional de datos y carga varias bibliotecas, incluidas oleaut32.dll, mscoree.dll, wininet.dll y ole32.dll. Una etapa aparte está dedicada a desactivar el mecanismo AMSI, que se encarga de comprobar el contenido en memoria. El código sobrescribe las funciones AmsiScanBuffer y AmsiScanString de modo que la comprobación siempre devuelva el resultado "seguro".
Tras eludir los mecanismos de protección, el cargador inicia el entorno .NET dentro del proceso. Se utiliza el mecanismo de hospedaje CLR, que permite al proceso nativo controlar el entorno de ejecución de .NET. El módulo malicioso crea un nuevo dominio de aplicación y transfiere allí el ejecutable, que luego se ejecuta mediante los mecanismos internos del CLR.
La carga útil final es el troyano remoto VioletRAT. El programa pertenece al modelo de malware como servicio y permite al operador controlar por completo el sistema infectado. El panel de control incluye funciones de gestión del dispositivo, herramientas de red y capacidades para interferir en el funcionamiento de Windows Defender.
Según SonicWall, el nuevo esquema del cargador demuestra la creciente complejidad de la infraestructura de VioletRAT y métodos más avanzados para eludir los mecanismos de protección de Windows.