El phishing de TrickBot comprueba la resolución de la pantalla para evadir a los investigadores

Los operadores de malware TrickBot utilizaron un nuevo método para controlar la resolución de la pantalla de un sistema víctima para evadir la detección y el análisis del software de seguridad por parte de los investigadores.

El año pasado, la pandilla TrickBot agregó una nueva característica a su malware que rompía la cadena de infección si un dispositivo usaba resoluciones de pantalla no estándar de 800x600 y 1024x768.

En una nueva variante identificada por los investigadores de amenazas, el código de verificación se agregó al archivo adjunto HTML del malspam entregado a la víctima potencial.

Un truco prestado

Los investigadores generalmente escanean en busca de malware en máquinas virtuales que tenga ciertas peculiaridades, especialmente sobre las configuraciones predeterminadas, como los servicios en ejecución, el nombre de la máquina, el adaptador de red, la funcionalidad de la CPU y la resolución de pantalla.

Los desarrolladores de malware conocen estas características y aprovechan la implementación de métodos que bloquean el proceso de infección en sistemas identificados como máquinas virtuales.

En las muestras de malware TrickBot encontradas el año pasado, el ejecutable incluía código JavaScript que verificaba la resolución de pantalla del sistema en el que se estaba ejecutando.

Recientemente, El analista - Un cazador de amenazas y miembro del grupo de investigación de seguridad Cryptolaemus, descubrió que el archivo adjunto HTML de una campaña de malspam de TrickBot se comportaba de manera diferente en una máquina real que en una virtual.

El archivo adjunto descargó un archivo ZIP malicioso en un sistema físico, pero se redirigió al sitio web de American Broadcasting Company (ABC) en un entorno virtual.

Si el objetivo abre el HTML en su navegador web, el script malicioso se descifra y la carga útil se implementa en su dispositivo.

El correo electrónico adjunto era un aviso de compra de seguro falso, con detalles agregados a un adjunto HTML.

Al abrir el archivo adjunto, se inició el archivo HTML en el navegador web predeterminado, mostrando un mensaje pidiendo paciencia para cargar el documento y proporcionando una contraseña para acceder a él.

En la máquina de un usuario normal, la cadena de infección continuaría con la descarga de un archivo ZIP que incluía el ejecutable TrickBot, tal como se muestra en la siguiente imagen, publicada por TheAnalyst:

La descarga de malware de esta forma es una técnica conocida como contrabando de HTML. Permite a un actor de amenazas eludir los filtros de contenido de un navegador e infiltrarse en archivos maliciosos en una computadora de destino al incluir JavaScript codificado en un archivo HTML.

Si bien esto parece ser una innovación de los operadores de TrickBot, el truco no es nuevo y ya se ha visto en ataques que atraen a las víctimas a sitios de phishing.

El investigador de seguridad MalwareHunterTeam encontró un kit de phishing en marzo de este año que incluía un código para verificar la resolución de la pantalla del sistema.

Desde entonces, el investigador le ha dicho a BleepingComputer que ha visto la táctica utilizada varias veces en varias campañas de phishing como un medio para evitar a los investigadores.

El script determina si el usuario que accede a la página de phishing está usando una máquina virtual o física al verificar si el navegador web usa un renderizador de software como SwiftShader, LLVMpipe o VirtualBox, que generalmente significa un entorno virtual.

Como se vio arriba, el script también verifica si la profundidad del color de la pantalla del visitante es menor de 24 bits o si la altura y el ancho de la pantalla son menores a 100 píxeles.

TrickBot no usa el mismo script que el anterior, pero se basa en la misma táctica para detectar la caja de arena de un investigador. Sin embargo, es nuevo para la pandilla usar un script de este tipo en un archivo adjunto HTML.

Esta también podría ser la primera vez que el malware utiliza un archivo adjunto para realizar una verificación de la resolución de la pantalla en lugar de hacerlo en la página de destino que ofrece el ejecutable del malware.

Anteriormente, el malware verificaba las resoluciones de pantalla no estándar 800x600 y 1024x768, que son indicativas de una máquina virtual.

¿Qué te ha parecido?
Subir
DiarioInforme utiliza cookies    Configurar y más información
Privacidad