Cybersecurity-onderzoekers vestigen de aandacht op een nieuwe campagne genaamd JS#SMOKKELAAR Er is waargenomen dat gecompromitteerde websites worden gebruikt als distributievector voor een trojan voor externe toegang genaamd NetSupport RAT.
De aanvalsketen, geanalyseerd door Securonix, omvat drie belangrijke bewegende delen: een versluierde JavaScript-lader die in een website is geïnjecteerd, een HTML-applicatie (HTA) die gecodeerde PowerShell-stagers uitvoert met behulp van ‘mshta.exe’, en een PowerShell-payload die is ontworpen om de belangrijkste malware te downloaden en uit te voeren.
“NetSupport RAT geeft de aanvaller volledige controle over de host van het slachtoffer, inclusief externe desktoptoegang, bestandsbewerkingen, opdrachtuitvoering, gegevensdiefstal en proxymogelijkheden”, aldus onderzoekers Akshay Gaikwad, Shikha Sangwan en Aaron Beardslee.
Er is in dit stadium weinig bewijs om de campagne te koppelen aan een bekende dreigingsgroep of land. Er is vastgesteld dat de activiteit zich richt op zakelijke gebruikers via gecompromitteerde websites, wat wijst op een grootschalige inspanning.
Het cyberbeveiligingsbedrijf omschreef het als een meerfasige webgebaseerde malware-operatie die gebruik maakt van verborgen iframes, versluierde laders en gelaagde scriptuitvoering voor de implementatie van malware en bediening op afstand.
Bij deze aanvallen fungeren stille omleidingen die zijn ingebed in de geïnfecteerde websites als kanaal voor een zwaar gecodeerde JavaScript-lader (“phone.js”) die wordt opgehaald van een extern domein, die vervolgens het apparaat profileert om te bepalen of een iframe op volledig scherm moet worden weergegeven (bij bezoek vanaf een mobiele telefoon) of een ander extern script van de tweede fase moet worden geladen (bij bezoek vanaf een desktop).
Het onzichtbare iframe is ontworpen om het slachtoffer naar een kwaadaardige URL te leiden. De JavaScript-lader bevat een volgmechanisme om ervoor te zorgen dat de kwaadaardige logica slechts één keer en tijdens het eerste bezoek wordt geactiveerd, waardoor de kans op detectie wordt geminimaliseerd.
“Deze apparaatbewuste vertakking stelt aanvallers in staat het infectiepad aan te passen, kwaadaardige activiteiten uit bepaalde omgevingen te verbergen en hun succespercentage te maximaliseren door platformgeschikte payloads te leveren en tegelijkertijd onnodige blootstelling te vermijden”, aldus de onderzoekers.
Het externe script dat in de eerste fase van de aanval is gedownload, legt de basis door tijdens runtime een URL te construeren van waaruit een HTA-payload wordt gedownload en uitgevoerd met behulp van ‘mshta.exe’. De HTA-payload is een andere lader voor een tijdelijke PowerShell-stager, die naar schijf wordt geschreven, gedecodeerd en rechtstreeks in het geheugen wordt uitgevoerd om detectie te omzeilen.
Bovendien wordt het HTA-bestand heimelijk uitgevoerd door alle zichtbare vensterelementen uit te schakelen en de applicatie bij het opstarten te minimaliseren. Zodra de gedecodeerde payload is uitgevoerd, worden er ook stappen ondernomen om de PowerShell-stager van de schijf te verwijderen en zichzelf te beëindigen om te voorkomen dat er zoveel mogelijk forensisch spoor achterblijft.
Het primaire doel van de gedecodeerde PowerShell-payload is het ophalen en implementeren van NetSupport RAT, waardoor de aanvaller volledige controle krijgt over de gecompromitteerde host.
“De verfijning en gelaagde ontwijkingstechnieken duiden sterk op een actief onderhouden, professioneel malware-framework”, aldus Securonix. “Verdedigers moeten sterke CSP-handhaving, scriptmonitoring, PowerShell-logboekregistratie, mshta.exe-beperkingen en gedragsanalyses inzetten om dergelijke aanvallen effectief te detecteren.”
CHAMELEON#NET levert Formbook-malware
De onthulling komt weken nadat het bedrijf ook een andere meerfasige malspamcampagne heeft beschreven, genaamd CHAMELEON#NET, die phishing-e-mails gebruikt om Formbook, een keylogger en informatiedief, af te leveren. De e-mailberichten zijn bedoeld om slachtoffers in de Nationale Sociale Zekerheidssector ertoe te verleiden een ogenschijnlijk onschadelijk archief achter hun inloggegevens te downloaden op een nep-webmailportaal dat voor dit doel is ontworpen.
“Deze campagne begint met een phishing-e-mail die gebruikers ertoe verleidt een .BZ2-archief te downloaden, waardoor een infectieketen in meerdere fasen wordt geïnitieerd”, aldus Sangwan. “De initiële payload is een zwaar versluierd JavaScript-bestand dat fungeert als een dropper, wat leidt tot de uitvoering van een complexe VB.NET-loader. Deze loader maakt gebruik van geavanceerde reflectie en een aangepaste voorwaardelijke XOR-codering om de uiteindelijke payload, de Formbook RAT, volledig in het geheugen te decoderen en uit te voeren.”
Concreet decodeert en schrijft de JavaScript-dropper naar schijf in de map %TEMP% twee extra JavaScript-bestanden:
- svchost.js, dat een uitvoerbaar .NET-loader-bestand genaamd DarkTortilla (“QNaZg.exe”) dropt, een crypter die vaak wordt gebruikt om payloads in de volgende fase te distribueren
- adobe.js, waarmee een bestand met de naam “PHat.jar” wordt geplaatst, een MSI-installatiepakket dat vergelijkbaar gedrag vertoont als “svchost.js”
In deze campagne is de lader geconfigureerd om een ingebedde DLL, de Formbook-malware, te decoderen en uit te voeren. Persistentie wordt bereikt door het toe te voegen aan de opstartmap van Windows om ervoor te zorgen dat het automatisch wordt gestart wanneer het systeem opnieuw wordt opgestart. Als alternatief beheert het ook de persistentie via het Windows-register.
“De dreigingsactoren combineren social engineering, zware scriptverduistering en geavanceerde .NET-ontduikingstechnieken om met succes doelen te compromitteren”, aldus Securonix. “Het gebruik van een aangepaste decoderingsroutine gevolgd door reflecterend laden zorgt ervoor dat de uiteindelijke lading op een bestandsloze manier kan worden uitgevoerd, wat detectie en forensische analyse aanzienlijk bemoeilijkt.”
