GHOSTFORM RAT
GHOSTFORM és un troià d'accés remot (RAT) basat en .NET dissenyat per combinar diverses capacitats malicioses en un únic binari executable. El programari maliciós executa scripts de PowerShell directament a la memòria, reduint la probabilitat de detecció per part de les eines de seguretat tradicionals. Per evadir encara més els mecanismes de seguretat, utilitza tècniques com ara formularis de Windows invisibles i temporitzadors d'execució retardada. A causa del seu comportament furtiu i les seves àmplies capacitats, qualsevol detecció de GHOSTFORM hauria de desencadenar procediments immediats d'eliminació i resposta a incidents.
Taula de continguts
Cadena d’atac número u: desplegament de programari maliciós en diverses etapes
La primera cadena d'atac comença amb el lliurament d'un arxiu RAR protegit per contrasenya que conté una aplicació falsa dissenyada per semblar-se a WinRAR. Quan la víctima obre l'arxiu, s'executa un dropper conegut com a SPLITDROP. Aquest dropper instal·la dos components de programari maliciós addicionals: TWINTASK i TWINTALK.
Inicialment, SPLITDROP sol·licita una contrasenya a la víctima per tal d'extreure un arxiu ocult. Si l'arxiu ja és present al sistema, l'execució s'atura. En cas contrari, el dropper desxifra una càrrega útil incrustada en segon pla mentre mostra un missatge d'error enganyós a l'usuari. El contingut desxifrat s'emmagatzema al directori "C:\ProgramData\PolGuid", després del qual s'inicia un executable legítim anomenat VLC.exe per avançar en l'atac.
Un cop executat, VLC.exe carrega una biblioteca d'enllaços dinàmics maliciosa anomenada TWINTASK mitjançant la càrrega lateral de DLL. Aquest component espera instruccions de l'atacant i les executa mitjançant PowerShell. Diverses ordres s'utilitzen específicament per establir la persistència dins del sistema i iniciar la següent etapa del compromís. Com a part d'aquest procés, un script inicia WingetUI.exe i crea entrades de registre que garanteixen que tant VLC.exe com WingetUI.exe s'executin automàticament cada vegada que es reinicia el sistema.
TWINTALK i TWINTASK: Execució coordinada d’ordres
Quan s'executa WingetUI.exe, carrega un altre mòdul maliciós conegut com a TWINTALK. Aquest component es connecta al servidor de comandaments i control de l'atacant i recupera instruccions. TWINTALK treballa conjuntament amb TWINTASK per executar comandaments a la màquina compromesa.
TWINTALK admet tres categories principals d'ordres:
- Execució d'ordres al dispositiu infectat
- Descàrrega de fitxers des de la infraestructura de l'atacant
- Càrrega de fitxers des del sistema compromès a l'atacant
Gràcies a aquestes capacitats, els atacants obtenen un control ampli sobre l'entorn infectat.
Cadena d’atac dos: Execució directa de GHOSTFORM
La segona cadena d'atac utilitza el mateix GHOSTFORM per dur a terme totes les funcions gestionades per diversos components de la primera cadena. En lloc de desplegar diversos fitxers o confiar en la càrrega lateral de DLL, aquesta variant executa ordres de PowerShell directament a la memòria.
Per passar desapercebut, el programari maliciós crea un formulari de Windows invisible que retarda l'execució abans que s'executi la càrrega útil. A més, la campanya utilitza els Formularis de Google com a part d'un esquer d'enginyeria social per animar les víctimes a iniciar l'activitat maliciosa.
Tècniques d’evasió i persistència
GHOSTFORM incorpora múltiples mecanismes dissenyats per reduir la detecció i mantenir l'accés a llarg termini als sistemes compromesos. El programari maliciós retarda deliberadament la seva activitat generant un formulari de Windows gairebé invisible que executa un temporitzador amb un retard determinat aleatòriament abans de continuar l'execució.
També crea un mutex per garantir que només s'executi una instància del programari maliciós al sistema i genera un identificador de bot únic per rastrejar les màquines infectades. Els troians d'accés remot d'aquest tipus s'utilitzen habitualment per implementar càrregues addicionals, robar dades i fitxers sensibles o realitzar altres operacions malicioses dins de l'entorn de la víctima.
Les capacitats clau que s'associen habitualment amb la campanya inclouen:
- Implementació de càrregues útils addicionals de programari maliciós
- Robatori d'informació i fitxers de dispositius infectats
- Execució remota d'ordres mitjançant PowerShell
- Persistència a llarg termini dins de sistemes compromesos
Enginyeria social de ClickFix: Vector d’infecció centrat en l’ésser humà
La campanya no es basa únicament en el lliurament de programari maliciós. També incorpora una tècnica d'enginyeria social coneguda com a ClickFix per comprometre els sistemes. Els atacants creen pàgines web falses i convincents dissenyades per manipular els usuaris perquè executin ordres malicioses.
Alguns exemples són invitacions falses a reunions de Cisco Webex o formularis web fraudulents que semblen legítims. Es demana a les víctimes que executin ordres que descarreguin i executin programari maliciós automàticament, iniciant el compromís sense saber-ho.
Barreja de programari maliciós i engany
Aquesta campanya demostra un enfocament coordinat que combina la implementació de programari maliciós tècnic amb la manipulació psicològica. Els atacants distribueixen fitxers maliciosos disfressats de programes inofensius que s'assemblen a les utilitats del WinRAR. Quan s'obren, els fitxers injecten components ocults de programari maliciós al sistema operatiu.
Un cop instal·lat, un dels components s'executa silenciosament en segon pla, comprovant periòdicament el servidor de l'atacant per obtenir instruccions xifrades i executant-les mitjançant PowerShell. En paral·lel, els atacs d'estil ClickFix es basen en enquestes falses, invitacions enganyoses a reunions o formularis en línia fraudulents per persuadir els usuaris perquè executin ordres que desencadenen descàrregues de programari maliciós.
Combinant eines avançades de programari maliciós com ara TWINTASK, TWINTALK i GHOSTFORM amb tècniques d'enginyeria social acuradament elaborades, els actors d'amenaces augmenten significativament la taxa d'èxit del compromís del sistema i mantenen un control remot persistent sobre els dispositius infectats.
