Se ha detectado el uso de Microsoft Build Engine por parte de los desarrolladores de malware con el objetivo de generar y distribuir código malicioso como troyanos de acceso remoto (RAT) y shellcode para habilitar puertas traseras en los sistemas Windows infectados.

Cadena de infección. Fuente: http://www.anomali.com

Microsoft Build (MSBuild) es una herramienta de compilación de código abierto para .NET y Visual Studio desarrollada por Microsoft que permite compilar código fuente, empaquetar, probar e implementar aplicaciones.

Tara Gould y Gage Mele, investigadores de la firma de ciberseguridad Anomali, han descubierto una campaña de malware que hace uso de Microsoft Build Engine para generar y distribuir malware sin fichero (fileless malware), que es aquel que no requiere de ningún archivo en el sistema para realizar su actividad sino que utiliza elementos y funcionalidades del sistema operativo. El malware sin fichero suele utilizar una aplicación legítima para cargar el código malicioso embebido en ella en la memoria, desde donde se ejecuta sin afectar el sistema de archivos y sin dejar rastros de infección en el sistema.

Esta técnica tiene el objetivo de eludir sistemas de seguridad y dificultar la detección por parte de los programas antivirus. Se puede comprobar su éxito observando como la muestra ‘72214c84e2.proj’, cargada en VirusTotal el 18 de abril, permanece sin ser detectada por ningún motor antivirus mientras que una segunda muestra (‘vwnfmo.lnk’) únicamente es marcada como maliciosa por 3 de los motores.

Volviendo a la campaña, la mayoría de las muestras analizadas por el equipo de Anomali se corresponden con malware de tipo Remcos RAT (permite acceso completo al equipo, desde captura de pulsaciones de teclas y ejecución comandos arbitrarios hasta grabación de micrófonos y cámaras web), y en menor medida Quasar RAT (keylogger para robar contraseñas) y RedLine Stealer (recopila credenciales de navegadores, VPN y clientes de mensajería, contraseñas y wallets de criptomonedas).

Como resultados de sus análisis, los investigadores declaran que el uso de código legítimo para ocultar el malware de la tecnología antivirus resulta bastante eficaz y está experimentando un crecimiento exponencial. Según un estudio realizado por WatchGuard, se ha percibido un incremento del 888% de malware sin fichero entre los años 2019 y 2021.

A continuación se exponen los IoC relacionados con las muestras analizadas por Anomali:

Archivos de proyecto (md5)
45c94900f312b2002c9c445bd8a59ae6
d8a57534382a07cc0487b96350bca761
d52d6bad3d11e9a72998608ccca572f5
d66740b3ed3884c31d40e3747684411e
43660f882cc5971ab83a810398487317
192b8ee95537dda7927ba3b45183e6a4
1ae425ac2890283ddcf11946e7e8f6ae
20621960888a6299123ce5a2df5eabba
27b62f7b4b285b880b8c81960aa60b15
2d15a4c9184878e25bdf108bd58290b8
37bbbbc44c80ff4fe770ce78f6a37ebd
603b1cc2d5488dcd8bb0a3b14429c88b
62c8efb35b3b9c10e965ec5a236fed2d
a948e8d3222b9fa8ccbd091230098b78
ecdb2860af9ce2754d178c80e3303080
fe84ead033bfeaee70f84d8733b51e08

Remcos (md5)
04fc0ca4062dd014d64dcb2fe8dbc966
eb8b1d64429e00f2b3b49f886ee3b0b4
41c0bb6e89ad89af8eef7bec40d4acbb
b8e9ce084d9d49f565f850c59b003bcf
f174c03d177a04e81677e9c9a9eae0c8
cf45b793bc9ec86bfedfa165c01ede15
de2ff99ca086a8ad0f9b8027aef696ba
73790d28f4f8f0f4c402da66c8dc393f
23c5bc4a2e69c3f171561b524ceb4098
4def35aedc86a946c13118e14127e0e9
85c700ff566161c77a03f282fa48a246

RedLine (md5)
302207c3248257d4d9badf4bc4b75483
6d3e8a2802848d259a3baaaa78701b97
4023e57ffbc87aa93621a7c2a6f0b425

QuasarRat (md5)
723f5e75239b66e3d08b83a131c7b66c
7870a7c7e355d1fbf357c846d8bf2aea

C2
135.181.170.169:50845
svhost-system-update.net:80
37.1.206.16:7575

Más información:
Threat Actors Use MSBuild to Deliver RATs Filelessly
https://www.anomali.com/blog/threat-actors-use-msbuild-to-deliver-rats-filelessly

Virustotal: vwnfmo.lnk
https://www.virustotal.com/gui/file/759b227259adf08c2ebe250c823963b14a98dd1f17065da47d7ccb7c9c7d5b60

Virustotal: 72214c84e2.proj
https://www.virustotal.com/gui/file/6fb5731330edd884ed55e3cdbf334a664b66a2166d6d472ea14d54e0fbfc5c8f

New Research: Fileless Malware Attacks Surge by 900% and Cryptominers Make a Comeback, While Ransomware Attacks Decline
https://www.watchguard.com/es/wgrd-about/press-releases/new-research-fileless-malware-attacks-surge-900-and-cryptominers-make

La entrada Campaña de malware sin fichero utilizando Microsoft Build se publicó primero en Una al Día.