Hancitor hace uso de cookies para evitar el raspado de URL


Este blog fue escrito por Vallabh Chole y Oliver Devane

A lo largo de los años, la industria de la ciberseguridad ha sido testigo de la eliminación de muchas amenazas, como la Eliminación de Emotet en enero de 2021. Por lo general, no pasa mucho tiempo antes de que otra amenaza intente llenar el vacío dejado por el derribo. Hancitor es una de esas amenazas.

Al igual que Emotet, Hancitor puede enviar Malspams para propagarse e infectar a tantos usuarios como sea posible. El objetivo principal de Hancitor es distribuir otro malware como FickerStealer, Pony, CobaltStrike, Cuba Ransomware y Zeppelin Ransomware. Las balizas de Cobalt Strike caídas se pueden usar para moverse lateralmente por el entorno infectado y también ejecutar otro malware como ransomware.

Este blog se centrará en una nueva técnica utilizada por Hancitor creada para evitar que los rastreadores accedan a documentos maliciosos utilizados para descargar y ejecutar la carga útil de Hancitor.

El flujo de infección de Hancitor se muestra a continuación:

Una víctima recibirá un correo electrónico con una plantilla de DocuSign falsa para incitarla a hacer clic en un enlace. Este enlace lo lleva a feedproxy.google.com, un servicio que funciona de manera similar a un feed RSS y permite a los propietarios del sitio publicar actualizaciones del sitio para sus usuarios.

Al acceder al enlace, la víctima es redirigida al sitio malicioso. El sitio verificará el User-Agent del navegador y si no es un User-Agent de Windows, la víctima será redirigida a google.com.

Si la víctima está en una máquina con Windows, el sitio malicioso creará una cookie usando JavaScript y luego volverá a cargar el sitio.

El código para crear la cookie se muestra a continuación:

El código anterior escribirá la zona horaria en el valor "n" y el desplazamiento de tiempo a UTC en el valor "d" y lo establecerá en el encabezado de la cookie para una solicitud HTTP GET.

Por ejemplo, si este código se ejecuta en una máquina con la zona horaria configurada como BST, los valores serían:

d = 60

n = "Europa / Londres"

Estos valores pueden usarse para evitar más actividades maliciosas o implementar una carga útil diferente según la ubicación geográfica.

Al recargar, el sitio verificará si la cookie está presente y, si lo está, les presentará el documento malicioso.

A continuación, se muestra una captura de WireShark del documento malicioso que incluye los valores de las cookies:

El documento les pedirá que habiliten las macros y, cuando estén habilitadas, descargará la DLL de Hancitor y luego la cargará con Rundll32.

Hancitor luego se comunicará con su C&C y desplegará más cargas útiles. Si se ejecuta en un dominio de Windows, descargará e implementará una baliza Cobalt Strike.

Hancitor también implementará SendSafe, que es un módulo de correo no deseado, y esto se utilizará para enviar correos electrónicos no deseados maliciosos para infectar a más víctimas.

Conclusión

Con su capacidad para enviar correos electrónicos no deseados maliciosos e implementar balizas Cobalt Strike, creemos que Hancitor será una amenaza estrechamente vinculada a futuros ataques de ransomware, al igual que Emotet. Esta amenaza también destaca la importancia de monitorear constantemente el panorama de amenazas para que podamos reaccionar rápidamente a las amenazas en evolución y proteger a nuestros clientes de ellas.

IOC, Cobertura y MITRE

IOC

COI Tipo COI Cobertura Versión de contenido
Documento malicioso SHA256 e389a71dc450ab4077f5a23a8f798b89e4be65373d2958b0b0b517de43d06e3b W97M / Gotero.hx

4641
DLL de Hancitor SHA256 c703924acdb199914cb585f5ecc6b18426b1a730f67d0f2606afbd38f8132ad6

Trojan-Hancitor.a 4644
Documento malicioso que aloja el dominio URL http (:) // comida-ónix (.) com / coccus.php ROJO N / A
Documento malicioso que aloja el dominio

URL http (:) // feedproxy (.) google (.) com / ~ r / ugyxcjt / ~ 3 / 4gu1Lcmj09U / coccus.php ROJO N / A

Inglete

ID de técnica Táctica Detalles de la técnica
T1566.002 Acceso inicial Correo no deseado con enlaces
T1204.001 Ejecución Ejecución del usuario abriendo el enlace.
T1204.002 Ejecución Ejecutando el documento descargado
T1218 Evasión de defensa Ejecución binaria firmada Rundll32
T1055 Evasión de defensa Los binarios descargados se inyectan en svchost para su ejecución
T1482 Descubrimiento Descubrimiento de confianza de dominio
T1071 C&C Protocolo HTTP para la comunicación
T1132 C&C Los datos están codificados en base64 y copiados





Enlace a la noticia original