Cuidado con las actualizaciones falsas del navegador Chrome que instalan malware

Los informes indican que parece haber una campaña en curso que atrae a las víctimas para que instalen una herramienta de administración remota llamada NetSupport Manager con actualizaciones falsas del navegador Chrome. 

Los actores de amenazas utilizan este software de administración remota como un ladrón de información y para tomar el control de las computadoras de la víctima. Las investigaciones apuntan a una supuesta campaña de SocGholish que anteriormente fue realizada por un actor de amenazas ruso, pero que aún no es concluyente.

Sin embargo, el vicepresidente sénior de Trellix Advanced Research Center afirmó que “Chromium, con una participación de mercado del 63,55 %, es ahora el navegador más objetivo de facto para los ataques RAT de NetSupport, debido al uso global. Las organizaciones necesitan inteligencia de amenazas globales holísticas y soluciones de seguridad innovadoras para obtener la gobernanza y las herramientas necesarias para reducir el riesgo cibernético”.

Actualización falsa del navegador Chrome

Estas actualizaciones de cromo falsas se propagan a través de sitios web comprometidos que se inyectan con una etiqueta de secuencia de comandos HTML simple que carga contenido de JavaScript malicioso desde los servidores C2 de los actores de amenazas. Sin embargo, este proceso parece estar automatizado y sigue una estructura de directorios.

Un análisis posterior mostró muchos sitios web comprometidos con tráfico del gobierno federal, instituciones financieras y servicios de consultoría. Estos sitios web comprometidos se pueden detectar comprobando “/cdn-js/wds.min.php”.

Anteriormente, los actores de amenazas usaban PowerShell con la funcionalidad WMI para descargar e instalar la RAT. Sin embargo, la campaña actual usa archivos por lotes (.bat), VBscripts y herramientas curl en lugar de scripts de PowerShell para la descarga de RAT.

Enlace de actualización del navegador

Cuando un usuario hace clic en el enlace de actualización del navegador falso, descarga un archivo ZIP, “UpdateInstall.zip”, que consiste en un archivo JS malicioso llamado “Browser_portable.js” que actúa como un descargador de malware de próxima etapa.

El archivo JS de la segunda etapa se llama “Chrome_update.js”, que se recupera del servidor C2 de los actores de amenazas y se ejecuta. Esto descarga un archivo por lotes “1.bat” en la carpeta local “C://ProgramData” y lo ejecuta.

Además de esto, el 1.bat descarta VBScript y archivos por lotes, que se investigan como ficticios ya que no se ejecutaron. Otros componentes y el script por lotes final 2.bat se descargan mediante comandos curl. 

Estos componentes constan del archivo de almacenamiento 7-zip, que es el paquete de software RAT de NetSupport Manager y se ejecuta mediante el archivo 2.bat.

Trellix ha publicado un informe completo que proporciona información detallada sobre esta campaña y el código fuente del malware.

Indicadores de compromiso

hxxps://altiordp[.]com/cdn/www.php 
hxxps://cheetahsnv[.]com/cdn-js/wds.min.php 
hxxps://ponraj[.]com/05e2f56dd5d8c33a6c402a19629be61c__9336ebf25087d91c818ee6e9ec29f8c1/1.bat ? 964084 
hxxps://ponraj[.]com/05e2f56dd5d8c33a6c402a19629be61c__9336ebf25087d91c818ee6e9ec29f8c1/tempy.7z hxxps://ponraj[.]com/ 
05e2f56dd5d8c33a6c402a19629be 61c__9336ebf25087d91c818ee6e9ec29f8c1/7zz.exe hxxps://ponraj[.]com 
/05e2f56dd5d8c33a6c402a19629be61c__9336ebf25087d91c818ee6e9ec29f8c1/2.bat

Files

e67f8b91555993e6315ffa9b146c759b9eeac5208116667fa4b31c717ebe5398 *1.bat 675ede331d690fff93579f9767aa7f80cfbc9d4b99afe298ba3b456ee292ac71 *2.bat c136b1467d669a725478a6110ebaaab3cb88a3d389dfa688e06173c066b76fcf *7zz.exe 00cf43f66d27692f25da1771dca7bf8c3c0e5aa78b35090013b013c17ceb0fff *Chrome_update.js b9711d8d6d1fd59ea9276a70e0b37c28ae26a105c325448e5d62f7858d61b8c2 *UpdateInstaller.zip 7f976e221ece8acac5f6ea32d2ad427a9bcb237e6a6f754043265073cc004ce1 *Browser_portable.js 42679bd369a3b772c43b9ba20bf8a31a2593a360cfa2de77aa6d2023f9a0c109 *tempy.7z
Client32 config
[HTTP]
CMPI=60
GatewayAddress=5.252.178.48:443
GSK=GA;L@KDPHB Port=443
SecondaryGateway=
SecondaryPort=