Silver Oryx Blade: nuevo Troyano bancario observado en agosto de 2024

Visión general

El objetivo de esta publicación es describir los TTP y proporcionar indicadores de compromiso relacionados con un nuevo troyano bancario, al que SCILabs denominó Silver Oryx Blade. Dentro de sus principales características identificadas, se encuentra el compromiso de servidores del videojuego Minecraft como repositorio de malware y la combinación de diferentes lenguajes de programación durante la cadena de infección. Esta amenaza fue identificada por SCILabs durante el mes de agosto de 2024 por medio del monitoreo y caza de amenazas en LATAM.

El objetivo principal de Silver Oryx Blade, es robar información bancaria de usuarios brasileños, por medio del monitoreo de sitios bancarios a los que accede la víctima a través de su navegador web.

El método de distribución de este troyano son correos electrónicos de phishing, usando como pretextos asuntos fiscales y supuestos bonos salariales, suplantando al Ministerio de Hacienda de Brasil y gerencias de finanzas de organizaciones de dicho país.

Es relevante destacar que SCILabs identificó en Silver Oryx Blade, el uso de bibliotecas como WatsonTCP, así como la aplicación de cifrado AES en algunas cadenas, características que son empleadas de forma similar por el troyano Coyote. Durante la investigación se identificó un dominio usado en esta campaña de Silver Oryx Blade que posiblemente esté relacionado con una campaña de Coyote, no obstante, las diferencias en las TTP y en los artefactos utilizados en la cadena de infección son significativas. Por ello, se ha planteado con un nivel medio de confianza, la hipótesis de que este nuevo troyano bancario está siendo distribuido por los mismos operadores de malware.

Figura 1. Troyano Bancario Silver Oryx Blade

¿Cómo podría Silver Oryx Blade afectar a las organizaciones?

Silver Oryx Blade puede robar información bancaria de todo tipo de usuarios, incluyendo empleados de organizaciones. Además, tiene capacidades de ejecución de comandos y algunos artefactos utilizados en la cadena de infección tienen una baja tasa de detección en motores antivirus de la plataforma VirusTotal, lo que incrementa la posibilidad de ataques exitosos. Si un ataque tiene éxito dentro de una organización, los cibercriminales pueden filtrar o vender la información robada en foros clandestinos de la Dark Web o en el mercado negro, poniendo en riesgo la confidencialidad, integridad y disponibilidad de su información, ocasionando pérdidas económicas y de reputación.

Contexto de amenaza

En agosto de 2024, SCILabs identificó, por medio del monitoreo de amenazas en la región, un archivo malicioso de tipo MSI comprimido en formato ZIP. Tras su análisis, se detectaron TTP diferentes a los de los troyanos previamente reportados por SCILabs, como el uso de cargas útiles en texto plano que, cabe destacar, son indetectables por los motores antivirus de la plataforma VirusTotal, junto con otras técnicas que se describirán más adelante.

Mediante técnicas de retrohunt, SCILabs identificó que el método de distribución de este troyano son correos electrónicos de phishing dirigidos a usuarios brasileños. Estos correos utilizan como pretexto supuestos bonos salariales, transferencias PIX y comunicados fiscales, suplantando a gerencias financieras, de recursos humanos y al Ministerio de Hacienda de Brasil.

Figura 2. Muestra de correo electrónico con el pretexto de un bono salarial
Figura 3. Muestra de correo electrónico con el pretexto de un comunicado fiscal
Figura 4. Ejemplo de plantilla de phishing con el pretexto de una supuesta transferencia PIX

Los actores de amenaza detrás de esta campaña utilizan la técnica de email spoofing para enviar los correos electrónicos maliciosos suplantando a los remitentes. Durante el análisis de uno de estos correos, se identificó el uso del dominio milkdavaca[.]com, etiquetado por un usuario de la plataforma VirusTotal, como parte de la infraestructura del troyano Coyote, esto debido al uso del mismo certificado SSL y registrante. Al momento de redactar este reporte, el dominio se encuentra protegido por el servicio Withheld for Privacy. Este hallazgo permite generar la hipótesis de que los operadores de Coyote y Silver Oryx Blade podrían ser los mismos.

La mayoría de los correos contienen URL embebidas que redirigen a las víctimas a sitios que descargan automáticamente archivos de tipo ZIP. Estos contienen los droppers MSI con nombres que simulan ser documentos legítimos, como PDF (ej. pdf.mes168.msi), oficios (ej. Ofic.01194.msi) o nombres de empresas con presencia en Brasil, como VISU (ej. visu.96178215.msi). La variedad en los nombres de estos artefactos indica que además de los pretextos y las instituciones suplantadas, los operadores adaptan los señuelos al contexto sociocultural del país objetivo, en este caso Brasil, una táctica común en los troyanos bancarios de Latinoamérica.

Durante la investigación, SCILabs descubrió que los operadores de este malware utilizan servicios de acortadores de enlaces como bit[.]ly, y plataformas de almacenamiento de archivos como ufile[.]io, además de sitios comprometidos como un servidor del videojuego Minecraft, usado aproximadamente desde mayo del 2024 para distribuir el malware.

Figura 5. Uso de ufile[.]io para distribuir a Silver Oryx Blade

Es importante destacar que SCILabs identificó algunos overlaps con el troyano bancario Coyote. Entre ellos se encuentran características generales como el uso de bibliotecas específicas, por ejemplo: WatsonTCP y el cifrado de cadenas con AES. Sin embargo, la cadena de infección, que se detallará más adelante, además del troyano presentan diferencias sustanciales en comparación con las campañas de Coyote previamente reportadas por SCILabs, como en el informe con ID “EW2403-074” liberado en marzo de 2024, así como con investigaciones publicadas en fuentes abiertas.

Resumen técnico

El archivo descargado desde las URL embebidas en el correo de phishing es un archivo MSI, identificado con nombres variados como “pdf.mes168.msi”, “visu.96178215.msi” o “Ofic.01194.msi”, entre otros. Estos archivos corresponden al primer dropper de Silver Oryx Blade.

Figura 7.Primer dropper MSI

El archivo MSI contiene los siguientes artefactos:

Figura 8. Contenido del primer dropper

Switchable_attitudeoriented_process_improvement.dll: Este archivo es un PE de 64 bits desarrollado con C# .NET que funciona como un segundo dropper, además tiene el objetivo de obtener los archivos para desplegar la siguiente y última etapa de infección. Este archivo realiza las siguientes acciones:


  • Genera un directorio %PUBLIC% cuyo nombre es una cadena alfabética pseudoaleatoria de “n” caracteres en formato CamelCase, basada en un GUID, por ejemplo: “Bebfeeebfaea” o “Cewhcqvcwqqzjrvlzca“.
  • Lee el archivo “a98090f0634”, que también se encuentra dentro del MSI, y procesa su contenido. Luego, decodifica todos los archivos en base64 que se encuentran dentro de este y los escribe en el directorio previamente creado. Estos archivos representan la última etapa de la cadena de infección.
Figura 9. Segundo dropper de Silver Oryx Blade
  • a98090f0634: Este artefacto es el payload codificado en base64, y que es procesado por el dropper mencionado anteriormente. Contiene los archivos que corresponden a la última etapa de la infección, los cuales se describen a continuación.

Una vez que es ejecutado el archivo MSI por la víctima, comienzan las acciones mencionadas anteriormente, realizando la instalación de la última etapa de la cadena de infección en el directorio %PUBLIC%/[cadena alfabética pseudoaleatoria de “n” caracteres]. A continuación, se describen los archivos instalados.

  • EACefSubProcessª.exe: un ejecutable legítimo de la empresa de videojuegos Electronic Arts, utilizado para cargar el troyano en memoria mediante la técnica de DLL Side-Loading.
  • libcef.dll: loader desarrollado en C++, empleado para cargar el troyano Silver Oryx Blade en memoria.
  • chrome_elf.dll: una biblioteca legítima de Chromium, posiblemente utilizada por el troyano debido al uso de CEF (Chromium Embedded Framework), que podría permitir la redirección del tráfico del navegador hacia el C2 de los atacantes y capturar información de inicio de sesión en los sitios web visitados por la víctima.
  • MqSFsKgLSw1GKqGcD5bP.txt: payload de Silver Oryx Blade, cifrada con AES, que es cargada en memoria por el loader libcef.dll.
  • msvcp140.dll y msvcp140d.dll: bibliotecas legítimas de Windows, parte de Microsoft C Runtime Library, utilizadas para funciones de manejo de cadenas, operaciones matemáticas, así como entrada y salida de archivos en aplicaciones C++, como en el caso de este troyano
  • vcruntime140.dll y vcruntime140_1.dll: también son bibliotecas legítimas de Microsoft, responsables de la ejecución del código C++, además del manejo de excepciones y recursos, como la inicialización de variables globales y la gestión de excepciones en tiempo de ejecución.

Un punto importante por destacar es la inclusión de las bibliotecas legítimas msvcp140d.dll y vcruntime140_1.dll, que corresponden a las versiones de depuración (debug) de Microsoft C Runtime Library. Esto podría indicar que los operadores de malware continúan realizando pruebas con este troyano.

Una vez que Silver Oryx Blade es instalado, el segundo dropper ejecuta EACefSubProcessª.exe, que usa la técnica de DLL Side-Loading para ejecutar el loader libcef.dll, el cual inyecta en memoria el payload cifrada con AES y almacenada en el archivo MqSFsKgLSw1GKqGcD5bP.txt.

Figura 10. Lectura del payload realizada por el loader

Tras su ejecución, el troyano genera persistencia creando un acceso directo en el directorio de inicio: %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\EACefSubProcessª.lnk.

Finalmente, Silver Oryx Blade intenta establecer comunicación con uno de los servidores de comando y control (C2) configurados que esté disponible, conectándose mediante un socket usando la biblioteca WatsonTCP. Posteriormente, el troyano inicia el monitoreo de ventanas de los bancos brasileños de interés para comenzar el robo de información.

Figura 11. Cadenas identificadas en memoria y relacionadas con el monitoreo de instituciones bancarias brasileñas durante el análisis dinámico

Entre los bancos e instituciones financieras de interés para Silver Oryx Blade, identificados durante el análisis, se encuentran alrededor de 50 entidades, incluidas instituciones como Mercado Pago y Binance.

bancobrasil.com.brbrde.com.brbanrisul.com.brbanestes.com.br
bb.com.brbancobmg.com.brbanpara.b.bruniprimedobrasil.com.br
caixa.gov.brbrb.com.brbancoamazonia.com.brrendimento.com.br
banco.bradescoconfesol.com.brdaycoval.com.brsicredi.com.br
binance.comtribanco.com.brmercantildobrasil.com.brbnb.gov.br
mercadobitcoin.com.brcredisisbank.com.brbancopan.com.brmercadopago.com.br
bitcointrade.com.brcredisan.com.brunicred.com.brmercantildobrasil.com.br
foxbit.com.brbancobs2.com.brsafra.com.brstone.com.br
blockchain.combancofibra.com.brsafraempresas.com.brbanese.com.br
santandernet.com.bruniprimebr.com.brbanestes.b.brviacredi.coop.br
sofisa.com.brbancotopazio.com.brzeitbank.com.broriginal.com.br
itau.com.brbtgmais.comcora.com.brcitidirect.com
Tabla 1. Sitios de instituciones bancarias de interés para Silver Oryx Blade

Es importante mencionar que, durante el análisis, se identificó el uso del Framework Json.NET de Newtonsoft para la manipulación de los datos transmitidos al C2. Esto es posible gracias a que los operadores de este troyano emplean Fody Costura para incrustar recursos .NET.

La cadena de procesos creada por esta amenaza es:

  • Ejecución del archivo MSI
  • msiexec.exe
  • EACefSubProcessª.exe

Características destacables de Silver Oryx Blade y Coyote

A continuación, se presentan las principales características distintivas de Silver Oryx Blade, contrastadas con campañas previamente observadas del troyano Coyote en la región. Este análisis tiene como objetivo brindar mayor claridad en la identificación de esta nueva amenaza para futuras investigaciones. Dado que SCILabs ha observado algunos overlaps entre ambos troyanos, es importante destacar estas similitudes, ya que permiten plantear, con un nivel medio de confianza la hipótesis de que los operadores de Silver Oryx Blade podrían ser los mismos que los de Coyote.

  • Aunque Silver Oryx Blade utiliza WatsonTCP para la comunicación con el C2 y el cifrado AES en las cadenas, Coyote embebe las cadenas directamente en sus artefactos. Por otro lado, el nuevo troyano almacena sus cargas útiles en archivos de texto y en algunos casos usando también base64.
  • Tanto Coyote como Silver Oryx Blade hacen uso de artefactos desarrollados en .NET y C++. Sin embargo, Coyote emplea también NIM y un conjunto más amplio de herramientas, como Squirrel y NuGet, además de artefactos de gran tamaño (superando los 100MB en algunas campañas).
  • Algunos nombres de las DLL utilizadas por ambos troyanos coinciden en ciertas campañas, como libcef.dll y chrome_elf.dll. Sin embargo, Coyote utiliza una libcef.dll legítima para cargar, mediante DLL Side-Loading, una chrome_elf.dll maliciosa. En contraste, Silver Oryx Blade usa libcef.dll maliciosa como loader y una chrome_elf.dll legítima.
  • Silver Oryx Blade, junto con todos los artefactos de su cadena de infección, es detectado por las soluciones antivirus de VirusTotal, en su mayoría, como un troyano genérico. Esto contrasta con las campañas de Coyote, que son etiquetadas específicamente por nombre por la mayoría de los motores antivirus.
  • Como se mencionó en la sección “Contexto de la amenaza”, un usuario de la plataforma VirusTotal identificó que un dominio usado en una de las campañas de Silver Oryx Blade, está relacionado con la infraestructura del troyano Coyote, debido al uso del mismo certificado SSL y registrante.
  • Además, como se mencionó al comienzo del documento, se observó que, durante las campañas del nuevo troyano, activas desde al menos abril de 2024, también se estaban llevando a cabo campañas de Coyote, las cuales continúan siendo detectadas recientemente.

En conclusión, aunque ambos troyanos presentan diferencias significativas en sus artefactos y TTP, existen similitudes clave, como el uso de cifrado, bibliotecas compartidas, y la posible coincidencia en el registrante y certificado SSL en la infraestructura de los C2. Estas similitudes permiten plantear la hipótesis de que ambos troyanos son operados por los mismos actores de amenaza.

En la siguiente tabla se puede observar un resumen de las diferencias generales entre Silver Oryx Blade y Coyote.

 Silver Oryx BladeCoyote
Lenguajes de programaciónC# y C++C# , C++ y NIM
Herramientas y BibliotecasFody Costura, Watson TCP, Json.NET de Newtonsoft, archivos de texto planoFody Costura, Watson TCP, Squirrel, NuGet
Método de persistenciaAcceso directo en carpeta de inicio de WindowsHKCU\Environment\UserInitMprLogonScript
Ventana de instalaciónSin ventana de instalaciónPersonalizada
Tamaño del troyanoMenos de 2MBMas de 100MB en algunas campañas
Etiqueta asignada por la mayoría de las soluciones antivirus en VirusTotalGeneric TrojanCoyote
Tabla 2. Diferencias entre Silver Oryx Blade y Coyote

Resumen del flujo del ataque observado

  • La víctima recibe un correo de phishing que utiliza como pretexto supuestos bonos salariales, transferencias PIX y comunicados fiscales, suplantando a gerencias financieras, de recursos humanos y al Ministerio de Hacienda de Brasil.
  • El correo contiene una URL que redirige a la víctima a un sitio que descarga automáticamente un archivo ZIP, el cual contiene el primer dropper del troyano en formato MSI.
  • Al ejecutar el archivo MSI, se inicia la cadena de infección.
  • El MSI, que incluye una DLL embebida desarrollada en .NET y una payload codificada en base64, extrae los artefactos necesarios para la instalación del troyano.
  • El troyano crea un directorio en %PUBLIC% con un nombre pseudoaleatorio en formato CamelCase, basado en un GUID (ej. Bebfeeebfaea o Cewhcqvcwqqzjrvlzca). En este directorio se despliega un ejecutable vulnerable a DLL Side-Loading, que carga el troyano en memoria, junto con un loader desarrollado en C++, una payload cifrada con AES, y DLLs legítimas de Microsoft utilizadas durante la ejecución.
  • Para mantener persistencia, el troyano crea un acceso directo en %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup.
  • El troyano se comunica con uno de sus servidores de comando y control (C2) configurados, si alguno está disponible.
  • Una vez la víctima accede a sitios de interés del malware, el troyano inicia el robo de información bancaria, como usuario y contraseña las cuales son enviadas al servidor C2 del atacante.

Diagrama del flujo de ataque

TTPs observados alineados al marco MITRE® ATT&CK

Tabla 3. TTPs observados alineados al marco MITRE® ATT&CK

Conclusión

SCILabs considera que Silver Oryx Blade, es una amenaza de importancia en la región, debido a sus técnicas para distribuir sus cargas útiles en archivos de texto que pueden evadir sistemas de detección. Es probable que en el futuro, este troyano expanda su actividad a otros países de Latinoamérica como México, además de Brasil, y que otros troyanos como Grandoreiro, Mekotio y Red Mongoose Daemon adopten algunos TTP mencionados en este reporte. Adicionalmente, se espera que los operadores de este troyano y Coyote realicen modificaciones en sus artefactos y en el flujo de ataque para garantizar una mayor tasa de éxito en sus ataques.

SCILabs considera importante que instituciones y empresas estén al tanto de las actualizaciones de los TTP e indicadores de compromiso para minimizar el riesgo de infección y el impacto que el robo de información bancaria puede tener en las organizaciones. Sugerimos considerar las siguientes recomendaciones:

Recomendaciones específicas ante Silver Oryx Blade

  • Agregar los IoC compartidos en este documento a sus soluciones de seguridad.
  • Con respecto a los correos electrónicos, se recomienda:
  • Evitar abrir correos de remitentes desconocidos
    • Evitar abrir enlaces sospechosos
    • Evitar abrir o descargar archivos sospechosos
  • Realizar actividades de caza de amenazas en los procesos de los EndPoint, en busca de procesos sospechosos y accesos directos en la carpeta de inicio del sistema operativo no autorizadas por la organización.
  • Verificar si se encuentran directorios sospechosos en %PUBLIC% con un nombre pseudoaleatorio en formato CamelCase, por ejemplo: Bebfeeebfaea o Cewhcqvcwqqzjrvlzca y realizar una investigación a profundidad para descartar o confirmar una infección del troyano bancario Silver Oryx Blade.
  • Verificar si se encuentran accesos directos sospechosos en %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ y realizar una investigación a profundidad para descartar o confirmar una infección del troyano bancario Silver Oryx Blade.
  • Realizar actividades de caza de amenaza en sus EndPoints en busca de archivos de texto mayores a un MB que tengan cadenas cifradas con AES o base64, dentro de las rutas comúnmente utilizadas por Silver Oryx Blade en %PUBLIC%, y realizar una investigación a profundidad para descartar o confirmar una infección del troyano bancario.

Indicadores de Compromiso

Hashes SHA256

FF756F33ED59E6623D6C6D6F08147F9537D57E3B9794975A462DC18A75165EB2

DBAEB3BBF3F194B4ED43BBA67177F4DFA79D5957504CCC638CCD3B9244261BF9

57178E5581D7BEB1936722E8B5642120ECC1A129B00AE123AC5B89C13A8F604B

36577DFC9D3266124993D9C4D104B533657D84D29E8FC8D7D4F9D9896747CC0E

4E9D19A0AC036B4542119A642BD18EF5D6ED6272043D598A630B8501B235B2F2

77C552981A57576C12EB0E0BF186424925C70F13AFB5D93D20D28D4DF5FE1A89

83C73A2E1D118C2B7B8C634D705E99E583F54D13F22123A03B235C4A8A9C2DD2

5CB49673F81DD79F3FC2688B2A7B5F8EDB6D02F21F1461A3ADB5CE4CE4CB08D0

A3DA2089155C3275AD02A0DFF65E4A717E8376FA1DDBFEA4537C4C0DCA7FAA15

D358B01958B4E6091A0B6D290D1724AAF5D1B19B1A98D173A2FAAFD6C707771D

DFFEE58979C13FCB39D6666854C4FDBCA3959DDD68A2560832B76E4C15DCE6D6

URLs

hxxps://portaldriverdownloads[.]com/alnnov2/3039a97419926c5ad50405bc16de7315

hxxps://redetop.com.br/pipermail/cn.supply_redetop.com.br/2024-May/029485.html

hxxp://bit.ly/3dU5poL

hxxps://ufile[.]io/emzdy9p5

bydeletrico[.]com

perpetualosten[.]com

belensysten[.]com

skydewiller[.]com

blendcyte[.]com

submarineclock[.]com

syetemcuevo[.]com

paginagogo[.]com

foursiason[.]com