Kampania phishingowa ukrywa loader Lua jako plik czcionki TrueType - Security Bez Tabu

Kampania phishingowa ukrywa loader Lua jako plik czcionki TrueType

Cybersecurity news

Wprowadzenie do problemu / definicja

Nowa kampania phishingowa pokazuje, że cyberprzestępcy coraz częściej odchodzą od prostych, łatwo wykrywalnych metod dostarczania malware. W analizowanym przypadku złośliwy komponent został ukryty jako plik przypominający czcionkę TrueType, co miało uśpić czujność użytkownika i utrudnić detekcję opartą wyłącznie na rozszerzeniu pliku.

Celem operacji było dostarczenie na systemy Windows różnych rodzin złośliwego oprogramowania, w tym RAT-ów, keyloggerów oraz infostealerów. Kampania łączy socjotechnikę, obfuskację i wykonanie kodu w pamięci, przez co stanowi poważne zagrożenie dla organizacji polegających na tradycyjnych mechanizmach ochrony poczty i stacji roboczych.

W skrócie

  • Atakujący wykorzystywali fałszywe pliki udające czcionki TrueType.
  • Łańcuch infekcji opierał się na wieloetapowym loaderze Lua.
  • Końcowe ładunki obejmowały Remcos, Agent Tesla, XWorm oraz Best Private LOGGER.
  • Kampania wykorzystywała silną obfuskację, segmentację shellcode’u i wykonanie w pamięci.
  • Główne ryzyka to kradzież poświadczeń, przejęcie sesji i trwały zdalny dostęp do stacji roboczej.

Kontekst / historia

Phishing pozostaje jednym z najskuteczniejszych sposobów uzyskania początkowego dostępu do środowiska ofiary. Szczególnie groźne są kampanie, które łączą wiarygodną narrację biznesową z niestandardowymi technikami omijania zabezpieczeń. W tym przypadku operatorzy podszywali się pod znane firmy i wykorzystywali przynęty związane ze współpracą handlową oraz płatnościami.

To podejście zwiększa szansę, że odbiorca otworzy załącznik lub uruchomi pobrany plik. Wybór Lua również nie był przypadkowy. W porównaniu z częściej obserwowanymi skryptami PowerShell czy JavaScript, tego typu loader może być słabiej uwzględniany w regułach detekcyjnych, co daje napastnikom dodatkową przewagę operacyjną.

Analiza techniczna

Rdzeniem kampanii był wieloetapowy loader, którego pierwszy komponent maskowano jako plik czcionki TrueType. Z perspektywy użytkownika taki obiekt mógł wyglądać niegroźnie, jednak w rzeczywistości uruchamiał dalsze elementy łańcucha infekcji.

Badacze wskazali na zastosowanie zaawansowanej obfuskacji. Kod przechodził przez kilka faz transformacji, obejmujących odwracanie zawartości, podstawienia symboli, dekodowanie Base64 oraz użycie niestandardowego szyfru ROT z kluczem wyprowadzanym z pierwszego bajtu szyfrogramu. Taki model znacząco utrudnia analizę statyczną i automatyczne klasyfikowanie próbki.

W nowszych wariantach zaobserwowano dodatkową segmentację szyfrowanego shellcode’u. Ładunek był dzielony na fragmenty odpowiadające stronom pamięci, oznaczane jako niewykonywalne i odszyfrowywane dopiero w chwili wykonania. Mechanizm wykorzystujący Vectored Exception Handler ograniczał ilość jawnego kodu obecnego jednocześnie w pamięci procesu, co utrudnia analizę behawioralną oraz badanie pamięci operacyjnej.

Końcowy malware dostarczano jako shellcode Donut, co umożliwia refleksyjne ładowanie ładunku bez klasycznego zapisu na dysku. Takie podejście wspiera scenariusz fileless lub near-fileless execution i redukuje liczbę artefaktów, które mogą zostać wykryte przez klasyczne rozwiązania antywirusowe. W zależności od celu ofiara mogła otrzymać Remcos, Agent Tesla, XWorm albo Best Private LOGGER.

Konsekwencje / ryzyko

Najważniejsze zagrożenia obejmują kradzież poświadczeń, przejęcie aktywnych sesji oraz uzyskanie trwałego dostępu do urządzenia użytkownika. Infostealery takie jak Agent Tesla są często wykorzystywane do wykradania danych z przeglądarek, klientów poczty i aplikacji biznesowych.

Ryzyko rośnie jeszcze bardziej w przypadku rodzin takich jak Remcos czy XWorm, które oferują funkcje zdalnej administracji, uruchamiania poleceń, pobierania kolejnych ładunków i potencjalnego ruchu bocznego w sieci. W praktyce pojedyncza udana infekcja może prowadzić do kompromitacji skrzynek pocztowych, kont uprzywilejowanych, oszustw BEC, a nawet przygotowania gruntu pod kolejne etapy ataku, w tym ransomware.

Niebezpieczny jest również sam mechanizm maskowania pliku jako obiektu pozornie nieuruchamialnego. Organizacje, które nadal opierają kontrolę bezpieczeństwa głównie na nazwie pliku, rozszerzeniu lub prostym filtrowaniu typów załączników, mogą nie zidentyfikować zagrożenia na etapie dostarczenia wiadomości.

Rekomendacje

Podstawową zasadą powinno być traktowanie rozszerzenia pliku jedynie jako pomocniczego wskaźnika, a nie wiarygodnego dowodu jego rzeczywistego typu. Konieczne jest wdrożenie walidacji formatu pliku, analizy magic bytes oraz sandboxingu dla nietypowych załączników i archiwów.

  • wzmocnienie analizy skryptów i zagnieżdżonych archiwów w systemach pocztowych,
  • blokowanie uruchamiania nieautoryzowanych interpreterów i loaderów,
  • detekcja plików o niespójnej strukturze i nietypowych rozszerzeniach,
  • monitorowanie wiadomości podszywających się pod procesy zakupowe, płatności i współpracę biznesową,
  • wdrożenie EDR z naciskiem na telemetrię pamięci oraz wykonanie bezplikowe,
  • wykrywanie refleksyjnego ładowania modułów i shellcode’u,
  • ograniczenie uprawnień lokalnych użytkowników i segmentacja dostępu do zasobów krytycznych,
  • wymuszenie MFA oraz szybkiego resetu poświadczeń po wykryciu infostealera lub keyloggera.

Dla zespołów SOC i DFIR istotne będzie również analizowanie relacji parent-child process, korelacja zdarzeń e-mail z pobraniem archiwum i uruchomieniem skryptu, a także hunting pod kątem nietypowych procesów inicjujących połączenia C2 po otwarciu podejrzanego pliku.

Podsumowanie

Opisana kampania phishingowa potwierdza, że nowoczesne łańcuchy infekcji coraz rzadziej opierają się na pojedynczej technice. Ich skuteczność wynika z połączenia socjotechniki, maskowania typu pliku, wielowarstwowej obfuskacji, wykonania w pamięci oraz elastycznego doboru końcowego malware.

Dla obrońców oznacza to konieczność odejścia od prostych kontroli bazujących na rozszerzeniach i przejścia do analizy behawioralnej, walidacji rzeczywistego formatu plików oraz ochrony tożsamości użytkownika jako ostatniej linii obrony.

Źródła

  • https://www.infosecurity-magazine.com/news/phishing-lua-loader-truetype-font/
  • https://fortiguard.fortinet.com/
  • https://www.fortinet.com/blog/threat-research/new-agent-tesla-variant-spreading-by-phishing
  • https://www.fortinet.com/blog/threat-research/new-remcos-campaign-distributed-through-fake-shipping-document
  • https://www.darkreading.com/ics-ot-security/xworm-remcos-rat-evade-edrs-infect-critical-infrastructure