Tecnología

El phishing de TrickBot comprueba la resolución de la pantalla para evadir a los investigadores

Los operadores de malware TrickBot han estado utilizando un nuevo método para verificar la resolución de pantalla de un sistema víctima para evadir la detección del software de seguridad y el análisis por parte de los investigadores.

El año pasado, la pandilla TrickBot agregó una nueva característica a su malware que terminaba la cadena de infección si un dispositivo usaba resoluciones de pantalla no estándar de 800×600 y 1024×768.

En una nueva variación detectada por los investigadores de amenazas, el código de verificación se ha agregado al archivo adjunto HTML del malspam entregado a la víctima potencial.

Un truco prestado

Los investigadores generalmente analizan el malware en las máquinas virtuales que vienen con ciertas particularidades, especialmente en las configuraciones predeterminadas, como los servicios en ejecución, el nombre de la máquina, la tarjeta de red, las funciones de la CPU y la resolución de la pantalla.

Los desarrolladores de malware conocen estas características y aprovechan la implementación de métodos que detienen el proceso de infección en sistemas identificados como máquinas virtuales.

En las muestras de malware TrickBot encontradas el año pasado, el ejecutable incluía código JavaScript que verificaba la resolución de pantalla del sistema en el que se estaba ejecutando.

Recientemente, El analista – un cazador de amenazas y miembro del grupo de investigación de seguridad Cryptolaemus, descubrió que el archivo adjunto HTML de una campaña de malspam de TrickBot se comportaba de manera diferente en una máquina real que en una virtual.

El archivo adjunto descargó un archivo ZIP malicioso en un sistema físico, pero se redirigió al sitio web de ABC (American Broadcasting Company) en un entorno virtual.

Si el objetivo abre el HTML en el navegador web, la secuencia de comandos maliciosa se decodifica y la carga útil se implementa en su dispositivo.

El correo electrónico que contenía el archivo adjunto era una alerta falsa para comprar un seguro, con detalles agregados a un archivo HTML adjunto.

Al abrir el archivo adjunto, se inició el archivo HTML en el navegador web predeterminado, mostrando un mensaje pidiendo paciencia para que se cargue el documento y proporcionando una contraseña para acceder a él.

En la máquina de un usuario normal, la cadena de infección continuaría descargando un archivo ZIP que incluía el ejecutable TrickBot, tal como se ve en la imagen a continuación, publicada por TheAnalyst:

Descargar malware de esta manera es una técnica conocida como Contrabando de HTML. Permite a un actor de amenazas eludir los filtros de contenido de un navegador y colarse archivos maliciosos en un ordenador de destino al incluir JavaScript codificado en un archivo HTML.

Si bien esto parece ser una innovación de los operadores de TrickBot, el truco no es nuevo y se ha visto antes en ataques que atraen a las víctimas a sitios de phishing.

El investigador de seguridad MalwareHunterTeam encontró en marzo de este año un kit de phishing que incluía un código para verificar la resolución de la pantalla del sistema.

Desde entonces, el investigador le dijo a Bleeping Computer que veía que la táctica se usaba varias veces en varias campañas de phishing como un medio para evitar a los investigadores.

El script determina si el usuario que llega a la página de phishing usa una máquina virtual o física al verificar si el navegador web usa un renderizador de software como SwiftShader, LLVMpipeo VirtualBox, que normalmente significa que un entorno virtual.

Como se vio arriba, el script también verifica si la profundidad de color de la pantalla del visitante es menor de 24 bits, o si la altura y el ancho de la pantalla son menores de 100 píxeles.

TrickBot no está usando el mismo script que el anterior, pero se basa en la misma táctica para detectar la caja de arena de un investigador. Sin embargo, es un estreno para la pandilla usar un script de este tipo en un archivo adjunto HTML.

Esta también puede ser la primera vez que el malware usa un archivo adjunto para ejecutar una verificación de resolución de pantalla en lugar de hacerlo en la página de destino que ofrece el ejecutable del malware.

Anteriormente, el malware verificaba las resoluciones de pantalla no estándar 800×600 y 1024×768, que son indicativas de una máquina virtual.

Leave a Comment

You may also like

Más