En diciembre de 2023, Sophos X-Ops recibió un informe de una detección de falso positivo en un ejecutable firmado por un certificado de editor de hardware válido de Microsoft. Sin embargo, la información de la versión del archivo supuestamente limpio parecía un poco sospechosa.
Figura 1: Información de versión del archivo detectado. Tenga en cuenta los errores tipográficos ‘Copyrigth’ y ‘rights’
Los metadatos del archivo indican que se trata de un “Servicio de cliente de autenticación de catálogo” de “Catalog Thales”, posiblemente un intento de hacerse pasar por la empresa legítima Thales Group. Sin embargo, después de profundizar en nuestros datos internos e informes sobre VirusTotal, descubrimos que el archivo estaba previamente incluido con un archivo de configuración para un producto llamado LaiXi Android Screen Mirroring, “un software de marketing…[that] “Puede conectar cientos de teléfonos móviles y controlarlos en lotes, y automatizar tareas como seguir lotes, dar me gusta y comentar”.
Vale la pena señalar que, si bien no podemos probar la legitimidad del software LaiXi (el repositorio de GitHub no tiene código al momento de escribir este artículo, pero contiene un enlace a lo que asumimos es el sitio web del desarrollador), estamos seguros de que el archivo que investigamos es una puerta trasera maliciosa.
Esta no es la primera vez que Sophos X-Ops ve actores de amenazas abusando del Programa de compatibilidad de hardware de Microsoft Windows (WHCP). En diciembre de 2022, casi exactamente un año antes de realizar esta investigación, informamos que los atacantes habían implementado controladores firmados criptográficamente en un intento fallido de desactivar los productos de seguridad para endpoints de Sophos. Esos controladores, variantes de BURNTCIGAR/POORTRY (un asesino de EDR vendido en foros criminales y vinculado a bandas de ransomware como LockBit y CUBA) estaban firmados con un certificado WHCP legítimo. Sin embargo, aparte del abuso de WHCP, no observamos ninguna evidencia de que la puerta trasera de diciembre de 2023 esté vinculada de alguna manera con ese asesino anterior de EDR.
Tal como lo hicimos en 2022, informamos inmediatamente nuestros hallazgos al Centro de respuesta de seguridad de Microsoft. Después de validar nuestro descubrimiento, el equipo de Microsoft agregó los archivos relevantes a su lista de revocación (actualizada hoy como parte del ciclo habitual del martes de parches; consulte CVE-2024-26234).
Mientras escribíamos este artículo, que se basa en nuestra investigación independiente sobre esta puerta trasera en diciembre de 2023, nos dimos cuenta de que Stairwell había publicado su propio artículo sobre este tema en enero de 2024, basado en información de un tweet de Johann Aydinbas (también en enero de 2024). Nuestra investigación valida y amplía algunos de esos hallazgos.
Como se señaló anteriormente, el actor de amenazas detrás del archivo malicioso logró obtener una firma de Microsoft Windows Hardware Compatibility Publisher de Microsoft, por lo que comenzamos nuestro análisis desde allí.
Figura 2: Firma de Catalog.exe
Authenticode es una medida de seguridad de firma de código de Microsoft, que identifica al editor de una aplicación y proporciona verificación de que la aplicación no ha sido modificada desde que fue firmada y publicada. Afortunadamente, Microsoft proporciona fragmentos de código sobre cómo procesar estas firmas y extraer más metadatos de ellas. Uno de los datos que pudimos extraer fue el editor solicitante original.
Figura 3: Extracción del editor solicitante original del archivo malicioso
En este caso, el editor solicitante original es Hainan YouHu Technology Co. Ltd, que también aparece como el editor del software LaiXI.
Figura 4: Hainan YouHu Technology Co. Ltd también se muestra como el editor de la aplicación LaiXi
No tenemos evidencia que sugiera que los desarrolladores de LaiXi incrustaron deliberadamente el archivo malicioso en su producto, o que un actor de amenazas realizó un ataque a la cadena de suministro para insertarlo en el proceso de compilación/construcción de la aplicación LaiXi. Sin embargo, tengamos en cuenta que, dados los vínculos entre LaiXi y la puerta trasera maliciosa que investigamos, y el tiempo que han existido esos vínculos (al menos desde enero de 2023, como veremos en breve), los usuarios deben tener extrema precaución cuando se trata de para descargar, instalar y usar LaiXi.
El archivo sospechoso incorpora un pequeño servidor proxy gratuito, llamado 3proxy, una característica incompleta para un cliente de autenticación. Evaluamos que este binario integrado está destinado a monitorear e interceptar el tráfico de red en un sistema infectado.
Figura 5: Cadenas relacionadas con el servidor proxy integrado dentro del malware
Cuando se ejecuta el archivo, se instala como un servicio llamado ‘CatalogWatcher’, con una descripción de servicio de ‘Google ADB LoaclSocket [sic] API de gráficos de subprocesos múltiples: una completa discrepancia con la información de la versión del archivo que se muestra en la Figura 1. Si bien no podemos confirmarlo, evaluamos que esto está conectado a un enlace a un archivo de configuración para el software LaiXi de Android y un intento de engañar a los usuarios infectados haciéndoles creer que el servicio es legítimo.
Figura 6: La función para crear el servicio CatalogWatcher
Una vez que se ejecuta el servicio, el malware pone en cola un nuevo elemento de trabajo/hilo a través de QueueUserWorkItem en el grupo de subprocesos. Una vez que el proceso tiene suficientes recursos disponibles, se inicia el hilo malicioso. Este hilo incorpora la funcionalidad principal de la propia puerta trasera.
Curiosamente, esta función comienza con un intento de llamar a la función VmProtectBeginVirtualization(), que es una exportación de VMProtectSDK32.DLL por parte de VMProtect.
Figura 7: Inicio de función para comunicación C2
Según el manual del usuario de VMProtect, esta función se utiliza para definir áreas de código para proteger mediante ofuscación y virtualización. Los desarrolladores de software legítimos suelen utilizar protección de código basada en máquinas virtuales para ayudar a evitar que las aplicaciones sean sometidas a ingeniería inversa, pero los actores de amenazas también abusan de ella para intentar frustrar el análisis de malware. Para obtener más detalles sobre aplicaciones de ingeniería inversa que utilizan protección basada en máquinas virtuales, consulte un blog que escribí en mi sitio personal hace unos años. En este caso, la función no está correctamente ofuscada. Concluimos que el actor de la amenaza pudo haber tenido la intención de hacer esto, pero falló por alguna razón desconocida.
También observamos que las muestras de POORTRY/BURNTCIGAR que informamos a Microsoft en diciembre de 2022 estaban empaquetadas con VMProtect. En aquel entonces ya sospechábamos que los atacantes estaban utilizando empaquetadores comerciales como Armadillo o VMProtect para ocultar la intención maliciosa del software y firmar sus controladores. Es posible que el actor de amenazas detrás de esta puerta trasera estuviera intentando hacer lo mismo (aunque debemos señalar que el uso de ofuscación, empaquetadores y virtualización (incluido VMProtect) es muy común entre muchos desarrolladores de malware).
La cadena del servidor C2 “catálogo[.]controladores micrisoft[.]com” – un dominio similar a los controladores de Microsoft[.]com – se descifra mediante una simple operación XOR. A continuación se muestra una reimplementación de Python de la rutina de descifrado:
# Decrypts to catalog[.]micrisoftdrivers[.]com
s = "c`vbhja)e`iye~aidu`zbpdd6zuv"
cc = ""
i = 0
while i < len(s):
ch = chr((ord(s[i]) ^ i))
cc += ch
i += 1
Finalmente, queríamos determinar si el actor de la amenaza había integrado la misma carga útil en otros productos. Verificamos nuestra propia telemetría y otras fuentes, pero no vimos evidencia de que la puerta trasera haya sido incluida con algo más que LaiXi. Sin embargo, encontramos muchas otras variantes, algunas de las cuales estaban vinculadas a un archivo llamado ‘Laixi_Update_1.0.6.7_b.exe’, lo que indica que otros archivos, no solo el instalador de instalación, contienen la puerta trasera maliciosa.
Hemos clasificado todas las muestras que descubrimos en cuatro grupos, según la marca de tiempo de compilación.
Figura 8: Los cuatro grupos de muestras y sus clasificaciones cronológicas
Si bien la marca de tiempo de compilación de un archivo PE puede ser falsificada, analizamos la diferencia de tiempo entre el momento en que se compiló el archivo y el momento en que apareció inicialmente en nuestros sistemas, y evaluamos que las marcas de compilación probablemente sean genuinas.
- La primera variante contiene una hora de compilación del 2023-01-05. Por tanto valoramos que esta campaña se encuentra en desarrollo desde al menos enero de 2023.
- La segunda variante contiene una marca de tiempo de compilación del 11 de enero de 2023. Esta es también la primera muestra que logró obtener un certificado WHCP.
- El tercer grupo de muestras, con una marca de tiempo de compilación del 19 de marzo de 2023, estaban firmadas con el certificado WHCP o sin firmar. Algunos de estos ejemplos están asociados con el archivo Laixi_Update_1.0.6.7_b.exe mencionado anteriormente.
- El grupo final comparte una marca de tiempo de compilación del 8 de octubre de 2023. Curiosamente, dos muestras de este grupo fueron firmadas por un firmante diferente, aunque al momento de escribir este artículo no hemos podido obtener más información sobre estos firmantes ni identificar ninguna otra muestra firmada por ellos.
| SHA256 | Marca de tiempo de compilación | Firma |
| cec73bddc33cd11ba515e39983e81569d9586abdaabbdd5955389735e826c3c7 | 2023-01-05 19:58:50 | No firmado |
| 815e21de6fab4b737c7dd844e584c1fc5505e6b180aecdd209fbd9b4ed14e4b2 | 2023-01-11 09:46:14 | WHCP |
| 3c931548b0b8cded10793e5517e0a06183b76fa47d2460d28935e28b012e426c | 2023-03-19 14:19:29 | WHCP |
| 0dae9c759072f9c0e5a61a9de24a89e76da35ffab8ff9610cc90df417c741f3f | 2023-03-19 14:19:34 | WHCP |
| acc5c46ae2e509c59a952269622b4e6b5fa6cf9d03260bfebdfaa86c734ee6ea | 2023-03-19 14:19:34 | No firmado |
| 230c9c47abb17e3caa37bcb1b8e49b30e671e6c50e88f334107e3350bee13385 | 2023-03-19 14:19:29 | WHCP |
| d6a1db6d0570576e162bc1c1f9b4e262b92723dbabdde85b27f014a59bbff70c | 2023-03-19 14:19:34 | No firmado |
| 4c23a199152db6596ccafb5ea2363500e2e1df04961a4ede05168999da87d39a | 2023-10-08 17:05:40 | No firmado |
| c0c648e98ec9d2576b275d55f22b8273a6d2549f117f83a0bcc940194f1d0773 | 2023-10-08 17:05:45 | |
| eccfd9f2d1d935f03d9fbdb4605281c7a8c23b3791dc33ae8d3c75e0b8fbaec6 | 2023-10-08 17:05:40 | WHCP |
| 5a519932c20519e58a004ddbfee6c0ed46f1cee8d7c04f362f3545335904bae2 | 2023-10-08 17:05:40 | IFOX PTE. LIMITADO |
| 593f8ed9319fd4e936a36bc6d0f163b9d43220e61221801ad0af8b1db35a0de5 | 2023-10-08 17:05:40 | Estudio de red gaoyou tucker |
| 0ee12274d7138ecd0719f6cb3800a04a6667968c1be70918e31c6f75de7da1ba | 2023-10-08 17:05:45 | No firmado |
Tabla 1: Un resumen de todas las muestras que descubrimos, incluida su marca de tiempo de compilación y firmante.
Los IoC relacionados con este incidente están disponibles en nuestro repositorio de GitHub. La protección de Sophos Mal/Proxcat-A protege contra este malware y las variantes que analizamos aquí.
Sophos X-Ops desea agradecer a Richard Cohen, Andrew Ludgate (SophosLabs) y Sean Gallagher (Sophos X-Ops) por su ayuda en el análisis de las muestras; y a Microsoft por colaborar con nosotros para ayudar a proteger a los usuarios.
Fuente Original Sophos News
