La telemetría de WatchGuard identificó la descarga de archivos maliciosos por parte de víctimas, y casi todos ellos se originaron en Venezuela, lo que indica una posible campaña maliciosa dirigida a empresas en este país.
Los archivos maliciosos se distribuyen a través de correos electrónicos de phishing que incluyen un archivo SVG con nombres en español, generalmente relacionados con facturas, recibos o presupuestos.
SVG (Scalable Vector Graphics) es un formato de archivo para imágenes vectoriales bidimensionales. Permite escalar imágenes sin pérdida de calidad, lo que lo hace ideal para gráficos web como logos e ilustraciones.
Si un archivo SVG se abre en un editor de texto, contiene código XML. Ya se ha observado que algunos correos de phishing distribuyen archivos SVG con código malicioso embebido.
Cuando estos SVG maliciosos se abren, se comunican con una URL que descarga el artefacto malicioso.
El año pasado se observó una campaña similar con archivos SVG maliciosos en español dirigida a víctimas en Colombia, donde los archivos incluían portales falsos que suplantaban el sistema judicial colombiano.
Como se mencionó anteriormente, la campaña comienza con phishing, entregando archivos SVG maliciosos que se utilizan para descargar el malware.
Esta campaña utiliza ja.cat para acortar URLs de dominios legítimos que presentan una vulnerabilidad que permite redireccionamientos hacia cualquier URL, apuntando finalmente al dominio original desde donde se descarga el malware. Los dominios afectados por esta redirección pertenecen a Brasil.
Las URLs utilizadas en la campaña maliciosa tienen el formato:
https://<dominio>/public.php?token=<token_de_16_dígitos>
El artefacto es un ejecutable de Windows desarrollado en Go.
Al inicio de su ejecución, el malware ejecuta una rutina que obtiene la dirección de varias funciones exportadas, entre ellas LoadLibraryExA y LoadLibraryExW, utilizadas para cargar DLLs importantes de forma dinámica con el fin de evadir detección.
También carga funciones como SetErrorMode (para evitar la visualización de errores de Windows) y RtlAddVectoredExceptionHandler (para registrar un VEH y controlar el manejo de excepciones).
Además, utiliza funciones relacionadas con hilos como CreateWaitableTimerExW, que permite sincronización entre procesos y ejecución paralela.
Se observa el uso de timeBeginPeriod para mejorar la precisión de temporizadores y restaurar configuraciones previas, evitando impactos en rendimiento y consumo energético.
Durante la ejecución, se cargan DLLs clave como:
- ws2_32.dll (comunicación de red)
- powrprof.dll (monitoreo de eventos de suspensión y reanudación del sistema)
El malware también obtiene variables de entorno del sistema como GODEBUG y DEBUG_HTTP2_GOROUTINES, propias del lenguaje Go.
Utiliza SystemFunction036 (alias de RtlGenRandom) para generar números pseudoaleatorios mediante la biblioteca Advapi32.dll.
Estas acciones coinciden con las observadas en reportes de SecurityScorecard, vinculadas al ransomware BianLian.
BianLian es un grupo cibercriminal que desarrolla, despliega ransomware y realiza extorsión de datos, activo desde 2022. Ha atacado infraestructuras críticas en EE. UU. y Australia, y continúa evolucionando sus tácticas.
Entre otros hallazgos:
- Uso de la función wine_get_version para detectar entornos Wine
- Rutinas que ejecutan funciones en hilos mediante operaciones sobre TLS
- Técnicas anti-debugging para dificultar el análisis
- Implementación de cifrado AES en Assembly para acelerar el proceso
Dominios:
- contabilidad[.]icu
- documentodigital[.]cloud
- getpdfdigital[.]cloud
- soportedigital[.]cloud
Lo que revela esta campaña sobre la evolución del ransomware
Esta campaña es un claro recordatorio de que incluso tipos de archivo aparentemente inofensivos, como los SVG, pueden utilizarse para distribuir amenazas graves. En este caso, adjuntos SVG maliciosos iniciaron una cadena de phishing que derivó en la entrega de malware asociado a BianLian.
Las organizaciones deben:
- Tratar con precaución los archivos adjuntos inesperados, incluso imágenes
- Fortalecer la seguridad del email y endpoints
- Monitorear conexiones salientes sospechosas
A medida que los atacantes continúan evolucionando sus métodos de distribución, comprender cómo el ransomware llega a las víctimas es clave para detenerlo en etapas tempranas del ataque.
Fuente: WatchGuard
