Nuevo troyano bancario Silver Shifting Yak
Visión general
El objetivo de esta publicación es informar acerca de los TTP y proporcionar indicadores de compromiso relacionados con un nuevo troyano bancario, al que SCILabs denominó Silver Shifting Yak. Algunas de suscaracterísticas son el cambio dinámico de las URLs de su servidor de C2, y el nombre de los dominios usados en la cadena de infección. Esta amenaza fue identificada por SCILabs durante el mes de octubre de 2024 por medio del monitoreo y caza de amenazas en Latinoamérica.
El objetivo principal de Silver Shifting Yak es robar información de instituciones financieras como: Banco Itaú, Banco do Brasil, Banco Bandresco, Foxbit, Mercado Pago Brasil, entre otras, por medio del monitoreo de los sitios a los que accede la víctima a través de su navegador web; así como credenciales de acceso usadas en portales de Microsoft como Outlook, Azure y Xbox.
SCILabs no logró identificar el método de distribución de este troyano; sin embargo, basados en la experiencia con otras amenazas en la región y en el patrón de nombres de archivo <2 letras-4 números-3 letras>.zip, similar al formato aleatorio de documentos digitales utilizado por otras amenazas, es probable que se distribuya a través de correos electrónicos maliciosos, utilizando como pretexto supuestas facturas y documentos digitales. Este método es común en la actividad de troyanos bancarios en Latinoamérica, como Grandoreiro, URSA/Mispadu y Silver Oryx Blade también descubierto por SCILabs en agosto de 2024.
Es importante destacar que al momento de la redacción de este reporte, algunos de los artefactos identificados durante la investigación y utilizados en la cadena de infección de Silver Shifting Yak, presentan una baja tasa de detección en soluciones antivirus según la plataforma VirusTotal. Esto incrementa el riesgo de compromiso para empleados de distintas organizaciones, por lo que es fundamental que las empresas se mantengan alerta ante esta amenaza.
¿Cómo podría afectar a una organización?
Silver Shifting Yak puede robar información de instituciones financieras y plataformas de Microsoft de todo tipo de usuarios, incluyendo empleados de organizaciones. Si un ataque tiene éxito dentro de una organización, los ciberdelincuentes pueden filtrar o vender la información robada en foros clandestinos de la DarkWeb o en el mercado negro, poniendo en riesgo la confidencialidad, integridad y disponibilidad de su información, llegando a dañar su reputación.
Análisis
Contexto de la amenaza
En octubre de 2024 SCILabs identificó la URL: hxxps[:]//nvidrive[.]com/download/b12aa4d64c6edf95dad972b211b79a64 que al ser visitada, inicia la descarga de un archivo de tipo ZIP con un nombre en el formato <2 letras-4 números-3 letras>.zip mediante la técnica de HTML Smuggling.
La plantilla que se muestra al visitar la URL presenta un mensaje en portugués brasileño, informando al usuario que la descarga está en proceso de preparación y comenzará en 5 segundos. A partir de este punto, todos los mensajes mostrados por el sitio web están en portugués, lo que indica que la campaña está orientada a usuarios en Brasil.
Una vez finalizado el contador, la página muestra un segundo mensaje indicando que la descarga ha concluido, junto con la imagen del icono de WinRAR y el nombre del archivo.
Un aspecto importante por destacar es que el dominio cuenta con varias páginas que muestran mensajes como “página no encontrada” o “acceso no autorizado”, junto con hipervínculos que invitan al usuario a regresar a la “página principal” la cual en realidad redirige al buscador de Google. También se observan mensajes indicando que se han agregado “registros” o que falta el parámetro “contador”, lo que sugiere que los atacantes están llevando un seguimiento de todos los equipos que visitan el sitio para descargar el malware. Este seguimiento permite a los atacantes verificar el éxito de la distribución del troyano y administrar la propagación de la infección.
Es importante destacar que el dominio nvidrive[.]com, utilizado por los actores de amenaza para distribuir al troyano fue registrado en septiembre de 2024 a través de NameCheap, Inc., un proveedor de registros de dominio y hosting, que también ofrece servicios de privacidad de dominios. Las principales características del dominio son las siguientes:
- Privacidad de registro: no hay detalles específicos sobre el propietario en el WHOIS, lo que indica que probablemente se utilizó un servicio de privacidad para ocultar la identidad del registrante original, una práctica común en actividades maliciosas para dificultar la atribución y el rastreo.
- Uso de Cloudflare[1] como DNS: el dominio está configurado con nameservers de Cloudflare, lo cual permite que el tráfico pase a través de su red. Esto ayuda a ocultar la IP real del servidor que aloja el malware, complicando la identificación de la infraestructura del atacante y facilitando que los operadores cambien rápidamente el backend si es detectado.
- Estado del dominio “clientTransferProhibited”: este estado evita que el dominio sea transferido a otro registrador sin autorización, permitiendo que los operadores de malware mantengan el control del dominio y eviten su toma por terceros en caso de un intento de clausura o robo de infraestructura.
Dadas estas características, es probable que el dominio haya sido creado específicamente para esta campaña.
Resumen técnico
Al analizar el código fuente de la página alojada en el dominio nvidrive[.]com mencionado anteriormente, SCILabs identificó un código de JavaScript diseñado para impedir la visualización del código fuente, utilizando detectores de eventos (Event Listeners) para bloquear el clic derecho y secuencias de teclas como “Ctrl + U”.
Como se mencionó en la sección anterior, el archivo descargado es un comprimido en formato ZIP que sigue el patrón de nombre <2 letras-4 números-3 letras>.zip. Este contiene una carpeta vacía llamada “__data” y un archivo ejecutable X64, desarrollado en lenguaje C++, con un tamaño de aproximadamente 30MB, con el mismo nombre que el archivo comprimido.
El ejecutable importa diversas bibliotecas, como Kernel32.dll, User32.dll y Ole32.dll, que en conjunto permiten acceder a recursos del sistema, como archivos, servicios y procesos, además de facilitar la manipulación de datos. También incluye bibliotecas de la serie API-MS-CRT (Microsoft C Runtime Library), que cuentan con funciones como la generación de valores aleatorios, operaciones de fecha y hora, acceso a variables de entorno, configuración del sistema, además de la manipulación de cadenas, entre otras.
Al ejecutarse, el archivo mencionado actúa inicialmente como dropper, extrayendo un archivo ZIP en la ubicación %ProgramData%/[directorio con nombre de letras aleatorias]. Este contiene una copia de sí mismo y una DLL maliciosa desarrollada en .NET, que funciona como loader para la carga útil final del troyano. Los nombres del archivo ZIP, de los archivos contenidos y del directorio creado son cadenas aleatorias de longitud variable, sin un patrón identificable hasta el momento.
Después de instalar el troyano, este almacena el dominio de su servidor de comando y control (C2) en la llave de registro HK_CU/Environment/SFA, y una URL para descargar la carga útil en HK_CU/Environment/SFL. Ambos valores se guardan codificados en base64. En HKEY_CURRENT_USER\Environment comúnmente se almacenan variables de entorno personalizadas que afectan el entorno de trabajo del usuario al iniciar sesión. Dado que esta clave no requiere permisos administrativos para ser modificada, también es utilizada en campañas maliciosas.
A continuación, Silver Shifting Yak establece persistencia mediante un script de PowerShell en la llave de registro HKEY_CU/Environment/UserInitMprLogonScript, permitiendo que el malware se ejecute automáticamente cada vez que el usuario inicie sesión en Windows.
Posteriormente la DLL, desarrollada en C# .NET y ofuscada con base64, también almacenada en el directorio %ProgramData%/[directorio con nombre de letras aleatorias], se carga en memoria con el propósito de ejecutar las siguientes acciones:
- Recupera el C2 almacenado en el registro de Windows.
- Descarga la carga útil que se encuentra cifrada mediante AES[1] y base64, la llave de descifrado y el vector de inicialización desde una URL que cambia en cada ejecución del troyano debido a que es generada mediante un GUID[2] y el valor DATETIME actual del equipo infectado.
- Mediante las API CreateThread y WaitForSingleObject inyecta el payload final del troyano en memoria.
Una vez en ejecución, el troyano Silver Shifting Yak inicia el monitoreo del navegador de la víctima, con el objetivo de robar información de bancos brasileños y ciertos sitios de Microsoft mediante el uso de WebSockets.
Durante el análisis, se identificaron alrededor de 50 bancos e instituciones financieras de interés para Silver Shifting Yak, incluyendo entidades como Mercado Pago y Binance, así como servicios de Microsoft como Azure, Live y Hotmail.
Dominios monitoreados por Silver Shifting Yak | |||
bancobrasil.com.br | santandernet.com.br | unicred.com.br | bancotopazio.com.br |
internetbanking.caixa.gov.br | santandernetibe.com.br | safra.com.br | citidirect.com |
gerenciador.caixa.gov.br | itau.com.br | brde.com.br | zeitbank.com.br |
loginx.caixa.gov.br | meu.original.com.br | banese.com.br | banestes.com.br |
banco.bradesco | banrisul.com.br | bancobmg.com.br | rendimento.com.br |
cidadetran.bradesco | internetbanking.banpara.b.br | brbbanknet.brb.com.br | viacredi.coop.br |
binance.com | bancoamazonia.com.br | internetbanking.confesol.com.br | sicredi.com.br |
mercadobitcoin.com.br | ecode.daycoval.com.br | tribanco.com.br | mercadopago.com.br |
bitcointrade.com.br | mercantildobrasil.com.br | credisisbank.com.br | bancotopazio.com.br |
foxbit.com.br | stone.com.br | credisan.com.br | azure.com |
blockchain.com | bancopan.com.br | bancobs2.com.br | live.com |
accounts.binance.com | santandernet.com.br | bancofibra.com.br | hotmail.com |
Es importante destacar que durante el análisis se identificaron coincidencias en algunas capacidades y herramientas utilizadas por Silver Shifting Yak, Silver Oryx Blade[1] y Coyote, como el uso de cifrado AES para ciertas cadenas en la cadena de infección, WebSockets para la comunicación con el C2, el monitoreo de tráfico web y la utilización del framework Json.NET de Newtonsoft para la manipulación de datos transmitidos al C2, así como Fody Costura para incrustar recursos .NET.
SCILabs, con nivel de confianza medio, tiene la hipótesis de que los operadores del troyano Silver Oryx Blade, reportado en agosto de 2024 también por SCILabs, podrían ser los mismos que los del troyano Coyote y de acuerdo con esta investigación de igual manera podrían estar relacionados con Silver Shifting Yak. Debido a los cambios sustanciales observados en las campañas de estos tres troyanos, se han clasificado como variantes de malware posiblemente operadas por un mismo grupo de amenazas. Esta variabilidad permite a los atacantes:
- Adaptarse a diferentes entornos objetivo.
- Evadir la detección.
- Optimizar el impacto de sus campañas.
- Mantener sus campañas activas y efectivas frente a las defensas de seguridad.
- Dificultar el análisis y la atribución a un solo grupo de amenazas.
Características destacables de Silver Shifting Yak, Silver Oryx Blade y Coyote
A continuación, se presentan las principales características distintivas de Silver Shifting Yak, contrastadas con campañas previamente observadas del troyano Silver Oryx Blade y Coyote en la región. Este análisis tiene como objetivo brindar mayor claridad en la identificación de esta nueva amenaza para futuras investigaciones.
Silver Shifting Yak | Silver Oryx Blade | Coyote | |
Lenguajes de programación | C# y C++ | C# y C++ | C#, C++ y NIM |
Herramientas y Bibliotecas | Fody Costura, Watson TCP, Json.NET de Newtonsoft | Fody Costura, Watson TCP, Json.NET de Newtonsoft | Fody Costura, Watson TCP, Squirrel, NuGet |
Formato de cargas útiles | Web Request Strings | Archivos de texto plano | PE |
Métodos de carga e inyección | Memory-Injection: CreateThread y WaitForSingleObject | DLL-SideLoading | DLL-SideLoading[3] y CLR |
Método de persistencia | HKCU\Environment\UserInitMprLogonScript y PowerShell | Acceso directo en carpeta de inicio de Windows | HKCU\Environment\UserInitMprLogonScript |
Ventana de instalación | Sin ventana de instalación | Sin ventana de instalación | Personalizada |
Tamaño del troyano | Al rededor de 30MB | Menos de 2MB | Mas de 100MB en algunas campañas |
C2 | Un dominio por campaña, con múltiples URL únicas generadas mediante un GUID y un DATETIME | Múltiples dominios en una sola campaña | Múltiples dominios en una sola campaña |
Métodos de cifrado y ofuscación | AES, base64 | AES, base64 | AES, base64 |
Técnica destacable | Uso de GUID para generar URLs únicas | Uso de GUID para generar directorios con nombres únicos | – |
Etiqueta asignada por la mayoría de las soluciones antivirus en VirusTotal | Generic Trojan | Generic Trojan | Coyote |
En conclusión, los tres troyanos presentan diferencias significativas en sus artefactos y TTP; sin embargo, comparten similitudes clave, como el uso de lenguajes C++ y C#, cifrado AES, ofuscación mediante MD5, bibliotecas compartidas y técnicas de desarrollo que pueden revelar pistas sobre la metodología de un actor de amenazas, como el uso de GUID para aleatorizar cadenas. Este análisis nos permite plantear la hipótesis de que los tres troyanos son operados por los mismos actores de amenaza. Por lo tanto, SCILabs llevará a cabo un perfilamiento de amenazas para confirmar o descartar esta hipótesis.
Resumen del flujo de ataque
- Aunque no se logró identificar el método de distribución, es altamente probable que el usuario objetivo sea víctima de correos de phishing o campañas de malvertising con pretextos relacionados con facturas y documentos digitales.
- El usuario es enviado a un sitio apócrifo que realiza la descarga automática de un archivo comprimido en formato ZIP, el cual contiene el primer dropper de Silver Shifting Yak en formato EXE.
- Una vez que la víctima extrae el archivo ejecutable y lo ejecuta comienza el despliegue del troyano bancario, realizando las siguientes tareas:
- Descarga un segundo archivo de tipo ZIP que contiene el mismo ejecutable abierto por primera vez y una DLL que funciona como loader del troyano.
- El archivo ZIP es descomprimido en %ProgramData%/[directorio con nombre de letras aleatorias].
- Se establece persistencia mediante un script de PowerShell en la llave de registro HKEY_CU/Environment/UserInitMprLogonScript.
- Se almacena el dominio de su servidor de comando y control (C2) en la llave de registro HK_CU/Environment/SFA, y una URL para descargar la carga útil en HK_CU/Environment/SFL.
- Silver Shifting Yak carga la DLL almacenada en %ProgramData%/[directorio con nombre de letras aleatorias] en memoria.
- La DLL obtiene la carga útil final del troyano y la carga en memoria.
- Silver Shifting Yak monitorea el navegador de la víctima, teniendo la capacidad de leer y verificar el nombre de las ventanas abiertas.
- Cuando el usuario visita algún sitio del interés del troyano es cuando comienza el robo de información confidencial como usuario, además de la contraseña para posteriormente ser compartida con el servidor de comando y control del atacante.
Flujo de ataque
TTP observados alineados al marco MITRE ATT&CK®
Conclusión
SCILabs considera a Silver Shifting Yak una amenaza significativa en la región debido a sus técnicas avanzadas para generar URLs de C2 dinámicas, lo que le permite evadir soluciones de seguridad, así como la baja tasa de detección de algunos de sus artefactos. Sus capacidades para robar información de plataformas como Azure representan un riesgo considerable para las organizaciones. Además, si se confirma su estrecha relación con Silver Oryx Blade y Coyote, bajo los mismos operadores, estos actores de amenaza se convertirían en un riesgo mayor por su continuo desarrollo y mejora de artefactos maliciosos, así como sus esfuerzos de evasión de detección por herramientas de ciberseguridad.
Es probable que en el futuro este troyano extienda su actividad a otros países de Latinoamérica, como México, además de Brasil, y que otros troyanos como Grandoreiro, Mekotio y Red Mongoose Daemon adopten algunos TTP descritos en este informe.
SCILabs considera fundamental que instituciones y empresas monitoreen actualizaciones de TTP e indicadores de compromiso para reducir el riesgo de infección y mitigar el impacto del robo de información bancaria en sus operaciones. Se recomienda considerar las siguientes medidas:
- Agregar los IoCs compartidos en este documento a sus soluciones de seguridad.
- Con respecto a los correos electrónicos, se recomienda:
- Evitar abrir enlaces sospechosos
- Evitar abrir o descargar archivos sospechosos
- Realizar actividades de caza de amenazas en los procesos de los EndPoint, en busca de procesos sospechosos provenientes de carpetas similares a %ProgramData%/[directorio con nombre de letras aleatorias].
- Realizar tareas de caza de amenazas en busca de la existencia de la llave de registro, HKCU\Environment\UserInitMprLogonScript, en caso de existir, verificar que las aplicaciones ejecutadas sean legítimas y hayan sido instaladas por el usuario o la organización.
- Si en alguno de los equipos de la organización se encuentra algún indicio de Silver Shifting Yak, se sugiere realizar una investigación en las cuentas bancarias que se utilizan en este y realizar cambios de contraseñas inmediatamente.
- Realizar actividades de caza de amenaza en sus EndPoints en busca de llaves de registro en las rutas HK_CU/Environment/SFA y HK_CU/Environment/SFL con valores cifrados con AES o base64 y realizar una investigación a profundidad para descartar o confirmar una infección del troyano bancario.
Indicadores de compromiso
Los siguientes indicadores fueron obtenidos a partir del análisis de malware y tienen un ALTO nivel de confianza.
Valores Hash Sha-256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 y Dominios
Se recomienda realizar el bloqueo completo de los dominios y URLs.
circulomaximo[.]com
stakbeef[.]com
hxxps[:]//nvidrive[.]com/download/b12aa4d64c6edf95dad972b211b79a64
hxxps[:]//circulomaximo[.]com/0764851f-9f5b-44ae-9c3b-31daec27f939?d=NGE1MjdmODNhM2E0Y2E3ZTFkNzBhZGIyNmEzNWI3MmU=&t=2&p=MjAyNC0wOS0yM1QwODo0NzozNi43MjBa
hxxps[:]//stakbeef[.]com/mickipbbgblzsdtwieljmons/jwijlmpriowikhgaiqbraydrxbd/mtyuzwakzcgjgjqhfjjcrgcro/?d=NGE1MjdmODNhM2E0Y2E3ZTFkNzBhZGIyNmEzNWI3MmU=&t=2&p=MjAyNC0xMC0yOVQxODo1MToxOC4xMzla