Seleccionar página

Rompiendo el molde: Deteniendo el código de un hacker ep. 13 – Robo de Cinoshi

Introducción

MaaS (Malware as a Service) es una nueva modalidad de ciberdelincuencia en la que los delincuentes venden o alquilan malware en plataformas en línea para ganar dinero rápido. Recientemente, los investigadores se toparon con una nueva plataforma MaaS llamada Cinoshi que ofrece varios servicios como stealer, botnet y crypto-miner. Lo más extraño es que algunos de estos servicios son totalmente gratuitos.

Esto significa que los atacantes ya no necesitan conocimientos técnicos ni recursos para lanzar ciberataques. Simplemente pueden descargar y utilizar software malicioso de estas plataformas, causando estragos a gran escala tanto a organizaciones como a particulares.

Vulnerabilidad

La respuesta se revela: Cinoshi Stealer está disponible de forma gratuita e incluye un panel que soporta la integración del build. Según sus desarrolladores, el Stealer es capaz de recopilar información y realizar capturas de pantalla del ordenador de la víctima, extrayendo datos como contraseñas, cookies y tarjetas de más de 35 monederos cifrados y extensiones de navegador basadas en Gecko, Chromium y Edge. El servicio gratuito genera una carga útil de robo sin ningún tipo de ofuscación o cifrado, mientras que se puede obtener una compilación cifrada pagando 300 rublos.

El payload es un archivo binario .Net de 32 bits que utiliza varias técnicas antimanipulación, incluyendo ofuscación pesada y métodos vacíos. Utiliza herramientas de desofuscación automática para modificar su código durante el tiempo de ejecución, por lo que es muy difícil obtener un código legible.

Una vez ejecutado, el payload Stealer envía una petición a hxxps[:]/tryno[.]ru/robots y utiliza ‘WebClient.DownloadString’ para recuperar el contenido codificado en base-64 alojado en el sitio. Posteriormente, el contenido es decodificado, revelando la URL C2 hxxps[:]//anaida.evisyn[.]lol. A continuación, el Stealer procede a recuperar los archivos de dependencia .NET de la URL C2 y los almacena en la ubicación de ensamblado del Stealer con atributos ocultos.

A continuación, el Stealer inicializa varios hilos para llevar a cabo acciones maliciosas. Inicializa las rutas a los directorios que contienen información sensible para varias aplicaciones y verifica su presencia en el sistema de la víctima utilizando el método Directory.Exists(). En lugar de crear archivos físicos para almacenar los datos robados, este Stealer emplea un MemoryStream. Finalmente, genera un archivo zip y añade todos los datos recogidos en él para la exfiltración de datos.

Corrección

Estas son algunas de las mejores prácticas de ciberseguridad cruciales que pueden establecer la defensa principal contra los atacantes. Considere la posibilidad de aplicar las siguientes prácticas: 

  • Absténgase de descargar software pirata de sitios web no fiables.
  • Utilice contraseñas seguras y aplique la autenticación multifactor siempre que sea posible.
  • Asegúrese de que todos los dispositivos conectados tienen activadas las actualizaciones automáticas de software.
  • Utilice programas antivirus y de seguridad en Internet fiables en todos los dispositivos.
  • Verifique la autenticidad de los enlaces y archivos adjuntos de correo electrónico antes de abrirlos para evitar ser presa de ataques de phishing.
  • Supervise la red en busca de filtración de datos y bloquee las URL sospechosas, como Torrent y Warez.
  • Implante soluciones de prevención de pérdida de datos (DLP) en todos los sistemas.

Implementación de la solución

Hillstone está equipado para detectar esta vulnerabilidad y proporcionar una protección robusta a través de su base de datos de firmas de prevención de botnets (versión 3.6.230426001 y superior). Dispositivos como Hillstone A-Series NGFW, Breach Detection System (BDS) y Next-generation Intrusion Prevention System (NIPS) pueden activar y desplegar automáticamente esta capacidad basada en la base de datos de firmas.

Actualización de la base de datos de firmas de prevención de botnets en Hillstone Networks NGFW