Golden Jaguar, nueva amenaza identificada por SCILabs

VISIÓN GENERAL

El objetivo de este reporte es describir los TTPs y proporcionar indicadores de compromiso relacionados con un nuevo troyano bancario observado por SCILabs al que nombramos Golden Jaguar. Algunas de sus características son el uso de ejecutables legítimos relacionados con Microsoft Edge y Google Chrome, además de la diseminación de la información robada a través de la apertura de sockets y el monitoreo del teclado.

El objetivo principal de Golden Jaguar es robar información de instituciones financieras como Banco do Brasil, Banco Caixa, entre otros, por medio del monitoreo de los sitios a los que accede la víctima a través de su navegador web.

SCILabs logró identificar que el método de distribución de este troyano bancario es por medio de correos electrónicos de phishing, utilizando como pretextos supuestos asuntos judiciales intentando suplantar a el Juzgado Especial de Sao Paulo, Brasil.

Derivado de la investigación conducida y el análisis de malware, SCILabs determinó, con un nivel alto de confianza, que las campañas de Golden Jaguar observadas al momento de la generación de este reporte se encuentran dirigidas a Brasil. 

Es importante destacar que, al momento de la redacción de este documento, algunos de los artefactos identificados durante la investigación y utilizados en la cadena de infección de Golden Jaguar presentan nula detección por algunas de las soluciones de seguridad contenidas en la plataforma VirusTotal; lo que incrementa el riesgo de compromiso para empleados de distintas organizaciones, por lo que es fundamental que las empresas estén alertas ante esta amenaza.

¿Como podría afectar a una organización?

Golden Jaguar puede robar información bancaria perteneciente a todo tipo de usuarios, incluyendo empleados de organizaciones. Si un ataque tiene éxito dentro de una organización, los ciberdelincuentes pueden filtrar o vender la información robada en foros clandestinos de la DarkWeb o en el mercado negro, poniendo en riesgo la confidencialidad, integridad y disponibilidad de su información y ocasionando pérdidas económicas y de reputación.

ANÁLISIS

Contexto de la amenaza

Entre la primera y segunda semana de febrero del 2025, SCILabs identificó un correo electrónico de phishing utilizando como pretextos supuestos asuntos judiciales intentando suplantar al Juizado Especial Cível de Sao Paulo, Brasil. El correo contiene un hipervínculo con la URL hxxps[:]//127[.]175[.]153[.]160[.]host[.]secureserver[.]net/gerar/gera[.]php embebida en él, desde la cual un usuario obtiene un archivo en formato VBS.

La plantilla que se muestra al dar clic en el hipervínculo contenido en el correo o visitar la URL presenta un mensaje en portugués (pt-BR) informando al usuario que la descarga está siendo preparada, después de un lapso de 5 segundos, la víctima obtiene el primer dropper de Golden Jaguar, que utiliza como nomenclatura la siguiente expresión regular, ^[a-f0-9]{6}-[a-f0-9]{8}-[a-f0-9]{3}$, por ejemplo ce7348-9df885d0-a4a.vbs.

Es importante mencionar que el sitio malicioso, restringe la descarga de artefactos que posean el mismo nombre, de lo contrario es desplegado un mensaje escrito en portugués (pt-BR) que indica que el archivo no se encontró o fue eliminado.

Resumen técnico

Al analizar el código fuente del sitio de descarga SCILabs identificó que está escrito en portugués (pt-BR), además de que la URL desde donde se obtiene el primer dropper se encuentra embebida dentro de él.

El archivo VBS obtenido por la víctima, también se encuentra escrito en portugués (pt-BR) indicando que esta ofuscado para protegerse. Al analizar el código, SCILabs identificó múltiples segmentos separados en funciones, cada una de ellas contiene una serie de números enteros separados por un asterisco, sobre los cuales es aplicada una operación XOR con una llave que, de acuerdo con la investigación, puede variar entre 15 y 100.

SCILabs desofuscó el código en su totalidad, identificando que, además de los fragmentos útiles, también contenía múltiples líneas de código “basura” con la intención de desviar la atención de los investigadores y analistas de malware.

Después de segregar el código útil del que no lo era, SCILabs observó que redujo su tamaño por lo menos un 90 % del original, identificando las siguientes funcionalidades.

• Descarga del segundo dropper: mediante el comando Curl, se lleva a cabo la descarga del segundo dropper de Golden Jaguar el cual, de acuerdo con las pruebas realizadas por SCILabs, tienen el nombre Instalador.msi, Installer.msi o Windows.msi, con la intención de hacer creer al usuario que se trata de un artefacto legítimo.

• Ejecución del segundo dropper: una vez que el segundo dropper es descargado, es renombrado con un nombre formado por un grupo de números descritos con la expresión regular, ^\d{4}-\d{3}-\d{4}$, por ejemplo 4821-256-7452.msi, posteriormente, mediante comandos de PowerShell, el artefacto MSI es ejecutado.

• Es importante mencionar que el artefacto MSI contiene embebido un Script de PowerShell, la DLL maliciosa de Golden Jaguar, y una serie de artefactos legítimos, los cuales serán descritos más adelante en este reporte.

• Eliminación de artefactos: al terminar esta etapa, el malware elimina los archivos temporales y archivos MSI creados durante la primera fase.

Después de inspeccionar el segundo dropper, SCILabs identificó 45 artefactos comprimidos sin extensión, los cuales serán descritos a continuación, entre los artefactos se encuentran la DLL maliciosa del troyano bancario, un script malicioso de PowerShell y varios ejecutables legítimos.  

Después de ser ejecutado el segundo dropper SCILabs observó las siguientes capacidades y características:

• Creación de directorio: el malware crea un directorio de instalación dentro de %PROGRAMDATA% con un nombre que intenta hacerse pasar por una carpeta legitima, probablemente con la finalidad de generar confianza en el usuario, durante las pruebas que realizó SCILabs, fueron encontrados los siguientes nombres: C:\ProgramData\WindowsDefender_-8464 y C:\ProgramData\Mozilla-4640.

• Descompresión e instalación de archivos: Golden Jaguar descomprime los artefactos contenidos dentro del dropper MSI en el directorio creado previamente, dando el siguiente resultado:

• Ejecutable legítimo de Thunderbird firmado digitalmente por Mozilla, el cual contiene una vulnerabilidad de DLL Side-Loading.

• DLLs legitimas de Thunderbird las cuales son utilizadas durante la ejecución legitima de Thunderbird.

• DLL maliciosa de Golden Jaguar nombrada xull.dll, compilada en Delphi.

SCILabs identificó el uso de diferentes APIs comúnmente utilizadas en el desarrollo de malware, entre las más relevantes se encuentran:

• MonitorFromWindow: devuelve el identificador del monitor asociado con una ventana específica.
  • Posible uso malicioso: identificar si la ventana activa está en un entorno virtualizado para evadir análisis.
• EnumWindows: enumera todas las ventanas de nivel superior en el sistema.
  • Posible uso malicioso: buscar ventanas de antivirus o sandboxes abiertas para terminarlas o evadirlas.
• GetMonitorInfoW: obtiene información sobre un monitor específico, como dimensiones y flags.
  • Posible uso malicioso: detectar entornos de depuración o monitores pequeños típicos de máquinas virtuales.
• EnumDisplayMonitors: enumera todos los monitores conectados al sistema.
  • Posible uso malicioso: identificar si el sistema tiene un solo monitor (indicio de una VM) y modificar comportamiento del malware.
• GetDesktopWindow: obtiene un identificador para la ventana del escritorio.
  • Posible uso malicioso: capturar la pantalla del usuario sin su conocimiento mediante técnicas de screen scraping.

• Script malicioso de PowerShell llamado run_hidden.ps1 el cual está escrito en portugués (pt-BR) y tiene las siguientes capacidades:

• Extracción de configuraciones adicionales desde un archivo con extensión INI.

• Ejecución en modo oculto (para evitar ser detectado por el usuario) del archivo legitimo vulnerable.

• Registro del equipo: Golden Jaguar obtiene datos del equipo de la víctima, como, versión de sistema operativo, versión de antivirus, datos sobre el procesador, ubicación, dirección IP, entre otras, esta información es enviada al servidor de comando y control y registrada en un contador de infecciones.

• Generación de persistencia: el malware genera persistencia utilizando las llaves de registro de Windows, específicamente en, HKCU\Software\Microsoft\Windows\CurrentVersion\Run, por medio de un comando de PowerShell que tiene como finalidad llevar a cabo la ejecución en modo oculto del artefacto legitimo Thunderbird-477.exe.  

• Inyección de la DLL maliciosa: finalmente el malware inyecta la DLL maliciosa en procesos legítimos utilizando la técnica de DLL Side-Loading, en esta fase es importante mencionar que SCILabs observó dos comportamientos diferentes (en diferentes pruebas de infección) descritos a continuación.

• Inyección en ejecutable legítimo de Edge: la DLL maliciosa es inyectada en el proceso legitimo msedge.exe perteneciente al buscado Microsoft Edge.

• Inyección en ejecutable legítimo de Google Chrome: durante la ejecución del segundo dropper, es descargado un archivo legitimo adicional de nombre GoogleUpdate.exe, en el cual es inyectada la DLL maliciosa.

• Actividad maliciosa: Golden Jaguar queda a la espera de que el usuario consulte algún sitio bancario de su interés, para abrir un socket, monitorear la actividad del teclado de la víctima y comenzar a robar información confidencial, por ejemplo, usuario, contraseña y otros datos que podrían ser sensibles para el usuario. Finalmente comparte la información robada con el servidor de comando y control de los atacantes.

Dentro de las cadenas del proceso de Golden Jaguar fue identificado un listado de más de 200 bancos, que actúa a manera de diccionario de bancos del interés del troyano bancario.

En el listado recuperado por SCILabs fueron identificados bancos procedentes de diferentes lugares del mundo, entre ellos, por lo menos 21 sitios de instituciones pertenecientes a Latinoamérica. Por lo anterior es altamente probable que Golden Jaguar se expanda a otros países de Latinoamérica e incluso nivel global en un futuro próximo.

Institución bancaria	País de procedencia	Institución bancaria	País de procedencia
Bancatlan	Honduras	Utilcash	Belice
Tigo money	Honduras	Banco Galicia	Argentina
BBVA	México	Banco Provincia	Argentina
Mercado Pago	México	Banco Chile	Chile
BBVA	Perú	Banco Continental	Paraguay
Banco Ripley	Perú	Practipago	Paraguay
Banco Promerica	Guatemala	Scotiabank	Uruguay
Bantrab	Guatemala	Bicentenariobu	Venezuela
Caixa	Brasil	Banco do Brasil	Brasil

Además, es importante mencionar que Golden Jaguar también tiene la capacidad de realizar consultas en el historial de navegación de la víctima en busca de datos que puedan estar relacionados con los bancos objetivos.

Atribución del país objetivo y la probable procedencia

• Procedencia: después de analizar los elementos de prueba obtenidos de la investigación realizada, el análisis de malware y de la infraestructura de Golden Jaguar, al observar coincidencias en el idioma de escritura de código y servidores de descarga de malware, SCILabs determinó con un nivel medio de confianza que los operadores de Golden Jaguar son de procedencia brasileña.

• Objetivo: después de la investigación realizada, el análisis de malware y de la infraestructura de Golden Jaguar, SCILabs identificó los siguientes elementos de prueba, concluyendo con un a nivel alto de confianza, que esta campaña de Golden Jaguar está dirigida en su totalidad a Brasil.

• Correo electrónico de phishing escrito en portugués (pt-BR).

• La institución suplantada en el pretexto del correo es de procedencia brasileña (Sao Paulo).

Resumen del flujo de ataque

• El usuario recibe un correo electrónico de phishing, el cual usa como pretexto supuestos asuntos judiciales relacionados con el juzgado especial de Sao Paulo.

• El correo electrónico contiene un hipervínculo, si el usuario abre el hipervínculo es redirigido a un sitio de descarga automática desde donde obtiene un archivo VBS.

• Si la víctima ejecuta el primer dropper en formato VBS, el malware inicia con la descarga y ejecución de un segundo artefacto MSI que realiza las siguientes tareas:

• Creación de directorios.
• Descompresión de archivos.
• Ejecución de un artefacto legítimo de Thunderbird vulnerable a DLL Side-Loading.
• Registro del equipo infectado en un contador de infecciones.
• Generación de persistencia.
• Inyección de la DLL maliciosa de Golden Jaguar en procesos legítimos de Microsoft Edge o Google Chrome.

• Golden Jaguar comienza a inspeccionar el navegador de la víctima, cuando el usuario ingresa a un sitio del interés del troyano bancario, este abre un socket para iniciar el monitoreo de la actividad del teclado y comenzar a robar información bancaria.

• Finalmente, los datos son enviados al servidor de comando y control de los atacantes.

DIAGRAMA DE FLUJO DE ATAQUE

TTPs OBSERVADOS ALINEADOS AL MARCO MITRE ATT&CK®

CONCLUSIÓN

SCILabs considera a Golden Jaguar una amenaza significativa en la región debido a sus técnicas de evasión de defensas y mecanismos para generación de malware, así como la baja tasa de detección de algunos de sus artefactos y los procesos legítimos en los que se inyecta, volviéndolo difícil de detectar para las víctimas.

Derivado de los elementos de prueba recolectados durante esta investigación, SCILabs determinó con un nivel alto de confianza que esta amenaza se encuentra dirigida principalmente a Brasil, sin embargo, es altamente probable que en el futuro próximo extienda su actividad a otros países de Latinoamérica, tales como México, Perú, Colombia, Guatemala, Argentina, Venezuela, entre otros.

Con base en los artefactos e infraestructura analizada, SCILabs considera que Golden Jaguar, continuará presente en Latinoamérica durante los siguientes meses utilizando un flujo de ataque similar en sus campañas, pero, realizando pequeñas modificaciones en su infraestructura y en sus TTPs, por ejemplo, utilizando una mayor cantidad de archivos durante su cadena de infección, diferentes llaves XOR en su ofuscación y variantes en los ejecutables legítimos (vulnerables a DLL Side-Loading) en los que es inyectado.

SCILabs considera fundamental que instituciones y empresas monitoreen actualizaciones de TTPs e indicadores de compromiso para reducir el riesgo de infección y mitigar el impacto del robo de información bancaria en sus operaciones. Recomendamos considerar las siguientes medidas:

• Bloquear los indicadores de compromiso presentes en este documento.

• Realizar campañas de concientización sobre las diversas técnicas de ingeniería social utilizadas para la distribución de los artefactos maliciosos

• Realizar tareas de caza de amenazas en busca de directorios sospechosos, con nombres que parezcan legítimos pero que en la parte final contengan un guion medio (-), o un guion bajo (_), seguido de 4 números pseudo aleatorios, por ejemplo, caracteres incluyendo guiones bajos, por ejemplo, WindowsDefender_-8464, especialmente en el directorio %PROGRAMDATA%, o bien que contengan expresiones regulares, como, ^\d{4}-\d{3}-\d{4}$ como parte de su nombre.

• Identificar llaves de registro sospechosas dentro de:  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

• Identificar las aplicaciones que se ejecuten en el inicio del sistema en los EndPoints de su organización, principalmente aquellas ejecuciones sospechosas de PowerShell.

• Evaluar el impacto de restringir el uso de Thunderbird en su organización, de ser posible realizar el bloqueo.

• Estar al tanto de ejecuciones sospechosas de PowerShell principalmente si llevan a cabo la ejecución de procesos con nombre similares a Thunderbird-477.exe.

INDICADORES DE COMPROMISO

A continuación, se muestran los indicadores de compromiso obtenidos del análisis realizado por SCILabs, con un ALTO nivel de confianza.

Hashes SHA256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URLs
Se recomienda realizar el bloqueo de la URL completa para poder evitar futuros falsos positivos o fallas en la operación.

hxxps[:]//127[.]175[.]153[.]160[.]host[.]secureserver[.]net/gerar/gera[.]php?token=902491a33b59feea450f226448423a2c7e7b76f37328b6d082349ad8c43649c4
hxxps[:]//241[.]129[.]205[.]92[.]host[.]secureserver[.]net/Instalador[.]msi
hxxps[:]//lasaludesunderecho6[.]com/download/installer[.]msi
hxxps[:]//241[.]129[.]205[.]92[.]host[.]secureserver[.]net/
hxxps[:]//lasaludesunderecho6[.]com/
hxxps[:]//lasaludesunderecho6[.]com/download/
hxxps[:]//127[.]175[.]153[.]160[.]host[.]secureserver[.]net
hxxps[:]//41[.]232[.]205[.]92[.]host[.]secureserver[.]net/json/gera[.]php?token=7c1261b0c9a8c029e230acf312e57952684eef38db0608f4cd58f5e966ef0725
hxxps[:]//41[.]232[.]205[.]92[.]host[.]secureserver[.]net/
hxxps[:]//41[.]232[.]205[.]92[.]host[.]secureserver[.]net/json/
hxxps[:]//41[.]232[.]205[.]92[.]host[.]secureserver[.]net/windows[.]msi
hxxps[:]//41[.]232[.]205[.]92[.]host[.]secureserver[.]net/json/Contador/contador[.]php
hxxps[:]//41[.]232[.]205[.]92[.]host[.]secureserver[.]net/json/Contador/
hxxps[:]//41[.]232[.]205[.]92[.]host[.]secureserver[.]net/json/Contador/data[.]php
hxxps[:]//41[.]232[.]205[.]92[.]host[.]secureserver[.]net/json/Contador/logs[.]txt
hxxps[:]//41[.]232[.]205[.]92[.]host[.]secureserver[.]net/json/Contador/delete_logs[.]php
hxxp[:]158[.]69[.]149[.]134:8009

---