Los hackers usan la blockchain TON para evadir la detección de malware mediante software legítimo

Los investigadores de ciberseguridad han identificado una campaña de malware que utiliza la blockchain de TON, software legítimo y componentes confiables de Windows para construir una infraestructura de mando y control resistente, capaz de evadir medidas de seguridad convencionales. Los atacantes combinan la tecnología blockchain con aplicaciones ampliamente utilizadas para complicar la detección del malware y dificultar los esfuerzos tradicionales de remoción. Esta campaña refleja una tendencia creciente en la que los ciberdelincuentes aprovechan tecnologías descentralizadas y ecosistemas de software legítimo para crear una infraestructura de malware altamente resistente, capaz de resistir el bloqueo de dominios y las defensas de seguridad tradicionales.

Los correos de phishing inician una cadena de ataque multinivel

El ataque comienza con correos de phishing disfrazados como comunicaciones relacionadas con reservas. Los destinatarios son dirigidos a un enlace de Google Share que los redirige a un sitio web malicioso, donde se les solicita descargar un archivo ZIP directamente o mediante una interfaz tipo ClickFix. El archivo descargado contiene un archivo de acceso directo de Windows (LNK) malicioso, disfrazado de imagen mediante el uso de un icono de la biblioteca shell32.dll de Windows.

Una vez que se abre el archivo de acceso directo, ejecuta en silencio un comando ofuscado de PowerShell. En lugar de almacenar el dominio de descarga en texto plano, los atacantes codifican la dirección como dos valores numéricos grandes. El script de PowerShell incrustado reconstruye el dominio malicioso realizando operaciones aritméticas y bit a bit, lo que hace que la infraestructura sea más difícil de identificar para las herramientas de seguridad durante el análisis estático.

La carga útil de PowerShell comprueba después si el entorno de ejecución de Node.js ya está instalado en el dispositivo objetivo. Si no está presente, el malware descarga la versión legítima de Windows de Node.js desde la infraestructura oficial de distribución del proyecto y la extrae en el directorio LocalAppData del usuario. Al depender de componentes de software auténticos en lugar de únicamente ejecutables maliciosos, los atacantes buscan integrarse con el comportamiento de aplicaciones legítimas y reducir la probabilidad de detección.

La carga útil de JavaScript usa un intérprete de máquina virtual personalizado

Después de instalar o localizar Node.js, el malware descifra una carga útil de JavaScript protegida con cifrado AES-128-CBC y codificación Base64. El código descifrado se ejecuta mediante el entorno de ejecución legítimo de Node.js, con la configuración de mando y control proporcionada como argumento en tiempo de ejecución.

Los investigadores informaron que el implante de JavaScript estaba fuertemente ofuscado y se ejecutaba mediante un intérprete de máquina virtual personalizado, en lugar de JavaScript estándar. Esta técnica incrementa significativamente la complejidad del análisis del malware al impedir que las herramientas de seguridad tradicionales basadas en firmas identifiquen fácilmente el código malicioso.

La configuración alojada en blockchain permite actualizaciones de C2

El ataque utiliza la blockchain de TON como una infraestructura resistente de mando y control, lo que permite a los atacantes actualizar instrucciones maliciosas sin modificar ni redistribuir el malware que ya esté instalado en sistemas comprometidos. Los investigadores identificaron varios dominios históricos de mando y control asociados con la campaña. Sin embargo, el malware no depende exclusivamente de dominios fijos para las instrucciones. En su lugar, los operadores pueden modificar los datos de configuración alojados en blockchain siempre que la infraestructura esté bloqueada, permitiendo que los sistemas infectados obtengan información actualizada de mando y control sin que el propio malware deba ser reemplazado.

El malware es capaz de descargar ejecutables de Windows, scripts de PowerShell y cargas útiles adicionales de JavaScript. Antes de ejecutar programas de Windows descargados, verifica el encabezado del archivo Portable Executable (PE), almacena el archivo con un nombre generado aleatoriamente en el directorio temporal y puede intentar añadir la ruta del archivo a la lista de exclusiones de Microsoft Defender para reducir las probabilidades de detección durante la ejecución.

Se recomienda a los equipos de seguridad supervisar el phishing y la instalación de software no autorizado

Los investigadores aconsejaron a las organizaciones mantenerse alerta ante campañas de phishing que usen temas relacionados con viajes y reservas, en particular correos que contengan enlaces de Google Share que redirigen a descargas sospechosas. También recomendaron supervisar archivos ZIP que contengan archivos de acceso directo LNK disfrazados de imágenes, así como actividad inesperada de PowerShell e instalaciones no autorizadas de Node.js en sistemas empresariales.

Preguntas frecuentes

¿Para qué se usa la blockchain de TON en esta campaña de malware?

La blockchain de TON se utiliza como una infraestructura resistente de mando y control que permite a los atacantes actualizar instrucciones maliciosas sin modificar ni redistribuir el malware que ya esté instalado en sistemas comprometidos. Los operadores pueden modificar los datos de configuración alojados en blockchain cuando la infraestructura está bloqueada, permitiendo que los sistemas infectados recuperen información actualizada de mando y control.

¿Cómo se disfraza el malware como software legítimo?

El malware descarga la versión legítima de Windows de Node.js desde la infraestructura oficial de distribución del proyecto y ejecuta cargas útiles de JavaScript cifradas a través del entorno de ejecución legítimo de Node.js. Al apoyarse en componentes de software confiables y utilidades de Windows, los atacantes integran su actividad con el comportamiento de aplicaciones legítimas, reduciendo la probabilidad de detección por herramientas de seguridad.

Aviso legal: La información en esta página puede provenir de fuentes de terceros y es solo para referencia. No representa las opiniones ni puntos de vista de Gate y no constituye asesoramiento financiero, de inversión ni legal. El comercio de activos virtuales implica un alto riesgo. No te bases únicamente en la información presentada en esta página para tomar decisiones. Para más detalles, consulta el Aviso legal.
Comentar
0/400
Sin comentarios