Los actores de amenazas están abusando de Microsoft Build Engine (MSBuild) para entregar sin archivos troyanos de acceso remoto y malware para robar contraseñas en sistemas Windows específicos.
Se dice que la campaña en curso activo surgió el mes pasado, dijeron el jueves investigadores de la firma de seguridad cibernética Anomali, y agregaron que los archivos de compilación maliciosos venían integrados con ejecutables codificados y código shell que despliega puertas traseras, lo que permite a los adversarios tomar el control de las máquinas de las víctimas y robar información sensible.
MSBuild es una herramienta de compilación de código abierto para .NET y Visual Studio desarrollada por Microsoft que permite compilar código fuente, empaquetar, probar e implementar aplicaciones.
Al usar MSBuild para comprometer una máquina sin archivos, la idea es pasar desapercibido y frustrar la detección, ya que dicho malware utiliza una aplicación legítima para cargar el código de ataque en la memoria, por lo que no deja rastros de infección en el sistema y da a los atacantes un alto nivel de sigilo.
Al momento de escribir, solo dos proveedores de seguridad marcan uno de los archivos .proj de MSBuild («vwnfmo.lnk») como malicioso, mientras que una segunda muestra («72214c84e2.proj») cargada en VirusTotal el 18 de abril sigue sin ser detectada por ningún antimalware. motor. Se encontró que la mayoría de las muestras analizadas por Anomali entregaron Remcos RAT, y algunas otras también entregaron Quasar RAT y RedLine Stealer.
Remcos (también conocido como software de control remoto y vigilancia), una vez instalado, otorga acceso completo al adversario remoto, sus características van desde capturar pulsaciones de teclas hasta ejecutar comandos arbitrarios y grabar micrófonos y cámaras web, mientras que Quasar es un RAT de código abierto basado en .NET capaz de keylogging, robo de contraseñas, entre otros. Redline Stealer, como su nombre lo indica, es un malware básico que recopila credenciales de navegadores, VPN y clientes de mensajería, además de robar contraseñas y billeteras asociadas con aplicaciones de criptomonedas.
«Los actores de amenazas detrás de esta campaña utilizaron la entrega sin archivos como una forma de eludir las medidas de seguridad, y los actores utilizan esta técnica para una variedad de objetivos y motivaciones», dijeron los investigadores de Anomali Tara Gould y Gage Mele. «Esta campaña destaca que la dependencia del software antivirus por sí solo es insuficiente para la ciberdefensa, y el uso de código legítimo para ocultar el malware de la tecnología antivirus es eficaz y está creciendo exponencialmente».
