Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Troià bancari Troià bancari Blackmoon

Troià bancari Blackmoon

El Mezo el Troià bancari, Amenaça persistent avançada (APT)
Traduir a:

Els analistes de ciberseguretat han descobert una campanya d'intrusions activa en diverses etapes dirigida a individus i organitzacions índies. L'operació sembla ser de ciberespionatge i es basa en un marc de portes del darrere per capes per obtenir accés encobert a llarg termini a sistemes compromesos.

El phishing com a vector d’infecció inicial

La campanya comença amb correus electrònics de suplantació d'identitat (phishing) que es fan passar per correspondència oficial del Departament d'Impostos sobre la Renda de l'Índia. Aquests missatges convencen els destinataris perquè descarreguin un arxiu ZIP amb el pretext d'avisos de sanció fiscal. Un cop obert, l'arxiu inicia la cadena d'infecció que finalment permet el seguiment persistent i el robatori de dades.

Arxiu armat i execució furtiva

El fitxer ZIP lliurat conté cinc components, tots ocults excepte un executable esquer anomenat "Inspection Document Review.exe". Aquest fitxer s'utilitza de manera abusiva per carregar lateralment una biblioteca d'enllaços dinàmics maliciosa incrustada a l'arxiu. La DLL no autoritzada realitza comprovacions d'evasió del depurador i es comunica amb un servidor remot de comandament i control per recuperar la càrrega útil de la següent etapa.

Escalada de privilegis i emmascarament de processos

El shellcode descarregat aprofita una tècnica basada en COM per eludir el Control de comptes d'usuari (UAC), atorgant privilegis elevats. A continuació, altera el seu propi bloc d'entorn de processos (PEB) per suplantar el procés legítim de Windows explorer.exe, reduint la probabilitat de detecció per part d'eines de seguretat i analistes.

Lliurament de càrrega útil adaptatiu

Una etapa posterior, '180.exe', s'obté del domini eaxwwyr[.]cn. Aquest fitxer és un instal·lador d'Inno Setup de 32 bits que modifica el seu flux d'execució en funció de si hi ha programari de seguretat específic present a l'amfitrió infectat, permetent que el programari maliciós ajusti dinàmicament les seves tàctiques d'evasió.

Evasió de programari de seguretat i vinculació de Blackmoon

Quan es detecta programari defensiu, el programari maliciós evita la desactivació directa. En canvi, simula els moviments del ratolí per navegar per la interfície de seguretat i afegir silenciosament components maliciosos a la llista d'exclusions. Aquesta activitat es facilita mitjançant una DLL que s'ha avaluat com una variant de la família de programari maliciós Blackmoon (KRBanker), històricament associada amb atacs a empreses a Corea del Sud, els Estats Units i el Canadà des de la seva aparició el 2015.

Abús d’una eina empresarial legítima

Un dels fitxers afegits a la llista d'exclusions és "Setup.exe", una utilitat legítima de SyncFutureTec Company Limited. Aquest programa descarrega "mysetup.exe", identificat com a SyncFuture TSM (Terminal Security Management), una solució comercial de monitorització i gestió remota desenvolupada per Nanjing Zhongke Huasai Technology Co., Ltd. Tot i que està dissenyat per a l'administració empresarial, en aquesta campanya es reutilitza com a plataforma d'espionatge completa.

Components de suport i manipulació del sistema

Després del desplegament, s'instal·len elements addicionals per preparar i controlar l'entorn:

  • Scripts per lots que creen directoris personalitzats, modifiquen llistes de control d'accés, alteren permisos d'escriptori i realitzen tasques de neteja i restauració.
  • Un executable d'orquestrador, "MANC.exe", que coordina els serveis i permet un registre d'activitat exhaustiu.

Impacte operacional i importància estratègica

En abusar d'una eina empresarial legítima juntament amb programari maliciós personalitzat, els operadors obtenen control remot sobre els punts finals infectats, visibilitat contínua de l'activitat dels usuaris i un mecanisme centralitzat per a l'exfiltració de dades sensibles. L'ús coordinat de la càrrega lateral de DLL, l'escalada de privilegis, la reutilització d'eines comercials, les mesures antianàlisi i l'evasió de programari de seguretat reflecteix un alt grau de maduresa tècnica i una clara intenció de mantenir un control persistent i granular sobre els sistemes compromesos.

Tendència

Estafa de correu electrònic amb canvi d'estat del...

Phishing, Correu brossa
Mantenir-se alerta quan es tracta de correus electrònics inesperats és crucial en el panorama d'amenaces actual. Els ciberdelinqüents suplanten habitualment serveis coneguts per crear una falsa sensació d'urgència i confiança. Els anomenats correus electrònics de "cPanel Account Status Changed" en són un clar exemple: són completament falsos i no estan associats a cap empresa, organització o...

Més vist

Carregant...