El grupo de hackers patrocinado por el Estado norcoreano conocido como ScarCruft (también conocido como APT37) ha sido observado utilizando mensajes de phishing que se hacen pasar por notificaciones de seguridad de cuentas de Microsoft para entregar malware llamado NarvalRAT.
«El correo electrónico del ataque contenía un mensaje que se hacía pasar por una alerta de seguridad de la cuenta de MS», informó el Genians Security Center (GSC). dicho. «Fue diseñado para generar preocupación sobre un posible compromiso de la cuenta y abuso de OTP, induciendo así al destinatario a ejecutar el archivo adjunto».
«El cuerpo del correo electrónico indicaba al destinatario que consultara el aviso adjunto. Sin embargo, el archivo adjunto real no era un HWP [Hangul Word Processor] documento, sino un archivo ZIP que contenía un archivo LNK malicioso».
El mensaje de correo electrónico afirma «actividad anormal» relacionada con la generación repetida de contraseñas de un solo uso, haciéndola pasar como un intento de phishing dirigido a la cuenta de Microsoft del objetivo por parte de un tercero e instándolo a cambiar su contraseña. El objetivo final del mensaje de phishing es inducir una falsa sensación de urgencia y engañar a la víctima para que interprete el correo electrónico como una alerta de seguridad legítima.
El archivo LNK, una vez iniciado, inicia una cadena de infección de varias etapas que emplea secuencias de comandos por lotes intermediarias para descargar e instalar NarwhalRAT, además de recuperar el ejecutable Python legítimo del sitio web oficial y un archivo del catálogo de seguridad de Windows (CAT). La persistencia se logra mediante una tarea programada, que está configurada para iniciar el archivo CAT responsable de buscar y ejecutar la carga útil principal en la memoria sin dejar ningún artefacto en el disco.
El malware basado en Python está equipado para registrar pulsaciones de teclas, capturar capturas de pantalla (con soporte para imágenes de alta resolución), grabar audio ambiental, cargar contenidos de directorio, recopilar detalles de ventanas activas, recopilar datos de medios USB, ejecutar instrucciones emitidas por un servidor de comando y control (C2) y cambiar servidores C2.
El apodo NarwhalRAT es una referencia al uso que hace el malware de «%APPDATA%\naverwhale» para almacenar la información recopilada en el host comprometido. El nombre del directorio oculto es un intento de evadir la detección haciéndose pasar por Naver Whale, un navegador web desarrollado por la empresa de tecnología surcoreana Naver Corporation.
La implementación de NarwhalRAT por parte de APT37 es digna de mención, ya que marca un alejamiento de RokRAT, una familia de malware atribuida exclusivamente al grupo de hackers.
«Desde una perspectiva de infraestructura C2, el malware utiliza sitios web coreanos, incluido 'daehoat[.]com' y 'novela21[.]co.kr', como principales retransmisores de comunicación, al mismo tiempo que implementa una funcionalidad de comunicación basada en la API de almacenamiento en la nube pCloud», dijo la compañía de ciberseguridad de Corea del Sur.
«En particular, se identificaron dentro del código rutinas específicas de pCloud que procesan los parámetros 'folderid' y 'auth'. Esto indica que el malware fue diseñado para utilizar un servicio de nube legítimo como canal C2 secundario en forma de un solucionador de caída muerta«.
Genians dijo que la actividad comparte «múltiples similitudes» con ataques anteriores basados en Python orquestados por ScarCruft, incluida una campaña de phishing que ha utilizado la confirmación de boletos y señuelos de invitaciones a eventos para engañar a objetivos potenciales para que abran archivos ZIP que contienen archivos LNK.
El cadena de ataque Se desarrolla de manera similar en el sentido de que el archivo LNK actúa como un conducto para un script por lotes ofuscado descargado desde un servidor C2 remoto, que luego descarga el binario de Python y un archivo CAT, lo que finalmente resulta en la implementación de un script de Python compilado capaz de ejecutar comandos remotos y enviar los resultados al servidor C2.
Curiosamente, los nombres de las tareas programadas que se utilizan para configurar la persistencia siguen una convención de nomenclatura similar. Mientras que la infección NarwhalRAT crea una tarea programada llamada «MicrosoftUserInterfacePicturesUpdateTackMachine», la segunda cadena usa el nombre «MicrosoftMusicLibrariesPackageTaskMachine».
«En general, se considera que NarwhalRAT es un malware RAT avanzado que integra un cargador de múltiples etapas basado en Python, una estructura de ejecución en memoria, un marco operativo multi-C2 y funciones de recopilación selectiva de información», dijo Genians.
