{"id":475,"date":"2024-11-11T15:31:46","date_gmt":"2024-11-11T15:31:46","guid":{"rendered":"https:\/\/www.gdata.com.mx\/blog\/?p=475"},"modified":"2026-05-07T00:43:51","modified_gmt":"2026-05-07T00:43:51","slug":"malware-por-bitbucket-presentacion-de-asyncrat","status":"publish","type":"post","link":"https:\/\/www.gdata.com.mx\/blog\/malware-por-bitbucket-presentacion-de-asyncrat\/","title":{"rendered":"Malware por (bit)bucket:\u00a0Presentaci\u00f3n de AsyncRAT"},"content":{"rendered":"\n

Recientemente, descubrimos una sofisticada campa\u00f1a de ataque que emplea un enfoque de m\u00faltiples etapas para distribuir AsyncRAT a trav\u00e9s de una plataforma leg\u00edtima llamada Bitbucket.<\/p>\n\n\n\n

Un an\u00e1lisis de Lovely Antonio y Lance Go <\/strong><\/p>\n\n\n\n

Quer\u00edamos aprender c\u00f3mo se explota Bitbucket para descargar la carga \u00fatil. Se utilizaron varias capas de base64 para ocultar el c\u00f3digo a simple vista. Despu\u00e9s de quitar esas capas, pudimos descubrir la historia completa y los indicadores clave de compromiso (IOC) que encontramos al analizar la entrega de la carga \u00fatil de AsyncRAT. <\/p>\n\n\n\n

Utilizar Bitbucket como repositorio de malware<\/strong><\/p>\n\n\n\n

Los atacantes han recurrido a Bitbucket, una plataforma de alojamiento de c\u00f3digo popular, para alojar sus cargas maliciosas. Algunos ejemplos de malware que utilizan Bitbucket incluyen el ladr\u00f3n Predator, el ladr\u00f3n Azorult y el ransomware STOP. Este enfoque presenta varias ventajas para los atacantes: <\/p>\n\n\n\n

    \n
  1. Legitimidad: Bitbucket es una plataforma ampliamente utilizada para el desarrollo y la colaboraci\u00f3n de software leg\u00edtimos, lo que hace que sea menos probable que genere sospechas entre las soluciones de seguridad.\u00a0<\/li>\n\n\n\n
  2. Accesibilidad: los repositorios p\u00fablicos de Bitbucket permiten a los atacantes compartir y distribuir f\u00e1cilmente sus cargas \u00fatiles a una amplia audiencia.\u00a0<\/li>\n<\/ol>\n\n\n\n

    AsyncRAT explota varios vectores de ataque, incluidos correos electr\u00f3nicos de phishing con archivos adjuntos maliciosos [1], descargas autom\u00e1ticas desde sitios web comprometidos y kits de explotaci\u00f3n dirigidos a vulnerabilidades de software.  <\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    Secuencia de ejecuci\u00f3n de la implementaci\u00f3n de AsyncRAT<\/p>\n\n\n\n

    Etapa 1: La capa de ofuscaci\u00f3n de VBScript<\/strong><\/p>\n\n\n\n

    Se envi\u00f3 una muestra denominada \u201c01 DEMANDA LABORAL.vbs\u201d[1] a nuestra plataforma de env\u00edo de muestras para su an\u00e1lisis. El archivo VBS, tras una inspecci\u00f3n inicial, muestra lo que parece ser un galimat\u00edas (ver figura 2). Tras una inspecci\u00f3n m\u00e1s detallada, se puede encontrar un c\u00f3digo oculto dentro del archivo (ver figura 3). <\/p>\n\n\n\n

    El script est\u00e1 dise\u00f1ado para ofuscar y ejecutar un comando de PowerShell. Utiliza manipulaci\u00f3n de cadenas, codificaci\u00f3n Base64 y ejecuci\u00f3n de comandos de PowerShell para lograr su objetivo. El c\u00f3digo revela que una variable \u201cQpWJ\u201d (que se ve en la figura 3) est\u00e1 codificada en Base64 junto con un simple reemplazo de caracteres.  <\/p>\n\n\n\n

    <\/a><\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    Figura 2: Archivo enviado llamado 01 DEMANDA LABORAL.vbs <\/p>\n\n\n\n

    <\/a><\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    Figura 3: El relleno eliminado revela VBScript. <\/p>\n\n\n\n

    Etapa 2: PowerShell: el mecanismo de entrega de carga \u00fatil<\/strong><\/p>\n\n\n\n

    El VBScript construye y ejecuta un comando de PowerShell, lo que hace que el ataque pase a la siguiente etapa de forma eficaz. El comando de PowerShell decodificado proporciona una imagen m\u00e1s clara de la actividad maliciosa (consulte las figuras 4 y 5).<\/p>\n\n\n\n

    <\/a><\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    Figura 4: Descodificaci\u00f3n de \u201cQpWJ\u201d con Cyberchef <\/p>\n\n\n\n

    <\/a><\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    Figura 5: Script de PowerShell decodificado <\/p>\n\n\n\n


    <\/a>El c\u00f3digo (figura 5) descarga un archivo llamado dllhope.txt[2] desde un repositorio de Bitbucket. Tambi\u00e9n vale la pena se\u00f1alar que VirusTotal marc\u00f3 las URL utilizadas por el script para que se asociaran con AsyncRAT (consulte la figura 6). <\/p>\n\n\n\n

    Al abrir el archivo ClassLibrary3.dll [3] en DNSpy se revela el c\u00f3digo y el m\u00e9todo \u201cZxKHG\u201d junto con los seis par\u00e1metros necesarios. Los argumentos pasados \u200b\u200bse pueden encontrar en el script inicial [1]. <\/p>\n\n\n\n

    Los par\u00e1metros del m\u00e9todo son los siguientes: <\/p>\n\n\n\n

      \n
    1. _5 es una URL para obtener datos de la URL invertida\u00a0<\/li>\n\n\n\n
    2. \u00a0‘txt[.]pes4oivne\/sdaolnwod\/sds\/cfrrpiaj\/gro[.[tekcubtib\/\/[:spxxh’\u00a0<\/li>\n\n\n\n
    3. (‘hxxps:\/\/bitbucket[.]org\/jaiprrfc\/sds\/downloads\/envio4sep[.]txt’)\u00a0<\/li>\n\n\n\n
    4. eMozMBl contiene la ruta completa del archivo VBScript\u00a0<\/li>\n\n\n\n
    5. PdjLvfa se utiliza para nombrar y crear accesos directos.\u00a0<\/li>\n\n\n\n
    6. UmZbL contiene el valor ‘1’, lo que probablemente indica una configuraci\u00f3n o un indicador de funci\u00f3n.\u00a0<\/li>\n\n\n\n
    7. MbmvK no fue utilizado por el m\u00e9todo en el momento del an\u00e1lisis\u00a0<\/li>\n\n\n\n
    8. El m\u00e9todo no utiliz\u00f3 RMMYL en el momento del an\u00e1lisis.\u00a0<\/li>\n<\/ol>\n\n\n\n

      La secci\u00f3n de c\u00f3digo resaltada en la Figura 8 se carga de forma reflexiva utilizando [system.AppDomain]::CurrentDomain.Load. Esta t\u00e9cnica permite la ejecuci\u00f3n en memoria, evitando los mecanismos de seguridad tradicionales que utilizan el escaneo de patrones en los archivos. ClassLibrary3.dll[3] revela la funcionalidad principal del ataque, incluidos los mecanismos de persistencia y la ejecuci\u00f3n de la carga \u00fatil descargada: AsyncRAT. Un par\u00e1metro de bandera, UmZbL, dicta c\u00f3mo proceder\u00e1 el c\u00f3digo. <\/p>\n\n\n\n

      \"\"<\/figure>\n\n\n\n

      Figura 6: Virustotal del repositorio Bitbucket de dllhope.txt <\/p>\n\n\n\n

      \"\"<\/figure>\n\n\n\n

      Figura 7. dllhope.txt: codificado en Base64 descargado desde Bitbucket<\/p>\n\n\n\n

      <\/a><\/p>\n\n\n\n

      \"\"<\/figure>\n\n\n\n

      Figura 7: dllhope.txt decodificado en dBase64 conocido como ClassLibrary3.dll<\/p>\n\n\n\n

      La decodificaci\u00f3n de dllhope.txt[2] (ver figura 7) revela un archivo compilado .NET llamado ClassLibrary3.dll[3] (ver figuras 8 y 9). <\/p>\n\n\n\n

      <\/a><\/p>\n\n\n\n

      \"\"<\/figure>\n\n\n\n

      Figura 8. ClassLibrary3 vista en DNSpy<\/p>\n\n\n\n

      Comprobaci\u00f3n anti-VM<\/strong><\/p>\n\n\n\n

      Si el par\u00e1metro de bandera contiene \u201c4\u201d: el c\u00f3digo verifica la presencia de herramientas de virtualizaci\u00f3n como VMware o VirtualBox. Si alguno de estos procesos est\u00e1 en ejecuci\u00f3n, el m\u00e9todo retorna inmediatamente, probablemente para evitar el an\u00e1lisis en un entorno aislado. <\/p>\n\n\n\n

      \"\"<\/figure>\n\n\n\n

      <\/a><\/p>\n\n\n\n

      Comprobaci\u00f3n anti-virtualizaci\u00f3n<\/p>\n\n\n\n

      Mecanismos de persistencia:<\/strong><\/p>\n\n\n\n

      Si el par\u00e1metro de bandera contiene \u201c1\u201d, el c\u00f3digo intentar\u00e1 establecer la persistencia mediante dos mecanismos: clave de ejecuci\u00f3n del registro y acceso directo a la carpeta de inicio. Un script llamado \u201cxx1.ps1\u201d crea una entrada en \u201cHKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\u201d para la persistencia, mientras que el otro script llamado \u201cxx2.vbs\u201d ejecuta la carga \u00fatil a trav\u00e9s de una ventana oculta de PowerShell. ClassLibrary3.dll[3] crea un acceso directo en la carpeta de inicio llamado PdjLvfa.lnk que apunta a powershell.exe con argumentos para ejecutarse a s\u00ed mismo[1] en una ventana oculta. Esto proporciona una capa adicional de persistencia. <\/p>\n\n\n\n

      \"\"<\/figure>\n\n\n\n

      <\/a><\/p>\n\n\n\n

      Intente establecer la persistencia utilizando la clave de ejecuci\u00f3n del registro<\/p>\n\n\n\n

      \"\"<\/figure>\n\n\n\n

      <\/a><\/p>\n\n\n\n

      Descarga y ejecuci\u00f3n de la carga \u00fatil:<\/strong><\/p>\n\n\n\n

      El c\u00f3digo descarga otra carga \u00fatil desde una URL que se construye invirtiendo y decodificando una cadena. La ubicaci\u00f3n de descarga de AsyncRAT se indica al final del script de PowerShell (que se ve en la Figura 5): hxxps[:]\/\/bitbucket[.]org\/jaiprrfc\/sds\/downloads\/envio4sep[.]txt.<\/p>\n\n\n\n

      \"\"<\/figure>\n\n\n\n

      Descargando la carga \u00fatil de AsyncRat<\/strong><\/p>\n\n\n\n

      Luego, la carga \u00fatil descargada se decodifica en Base64 y se carga en AppDomain. Se invoca un m\u00e9todo llamado WwQTZc dentro de la clase SuLOYU.MXuuJb de la carga \u00fatil cargada. Esto realiza el vaciado del proceso a RegSvcs.exe para ejecutar la carga \u00fatil de AsyncRAT. <\/p>\n\n\n\n

      \"\"<\/figure>\n\n\n\n
      \"\"<\/figure>\n\n\n\n

      Etapa 3: Carga \u00fatil de AsyncRAT<\/strong><\/p>\n\n\n\n

      AsyncRAT, que apareci\u00f3 por primera vez en 2013, es un troyano de acceso remoto (RAT) de c\u00f3digo abierto escrito en C#. Aunque inicialmente se present\u00f3 como una herramienta de administraci\u00f3n remota, r\u00e1pidamente gan\u00f3 notoriedad entre los cibercriminales por sus potentes capacidades y facilidad de uso. <\/p>\n\n\n\n

      AsyncRAT proporciona a los atacantes un amplio control sobre las m\u00e1quinas infectadas, lo que les permite realizar una amplia gama de actividades maliciosas: <\/p>\n\n\n\n

        \n
      1. Control de escritorio remoto: vea y controle la pantalla de la v\u00edctima en tiempo real\u00a0<\/li>\n\n\n\n
      2. Gesti\u00f3n de archivos: busque, cargue, descargue y modifique archivos\u00a0<\/li>\n\n\n\n
      3. Keylogging: captura las pulsaciones de teclas\u00a0<\/li>\n\n\n\n
      4. Acceso a c\u00e1mara web y micr\u00f3fono: active de forma remota la c\u00e1mara web y el micr\u00f3fono de la v\u00edctima\u00a0<\/li>\n\n\n\n
      5. Gesti\u00f3n de procesos: ver y finalizar procesos en ejecuci\u00f3n\u00a0<\/li>\n\n\n\n
      6. Ejecuci\u00f3n de comandos: ejecutar comandos arbitrarios\u00a0<\/li>\n<\/ol>\n\n\n\n

        Pruebas de MITRE ATT&CK<\/strong><\/p>\n\n\n\n

        T\u00e1ctica <\/td>T\u00e9cnica <\/td>IDENTIFICACI\u00d3N <\/td><\/tr>
        Ejecuci\u00f3n <\/td>Int\u00e9rprete de comandos y secuencias de comandos: shell de comandos de Windows <\/td>T1059.003 <\/td><\/tr>
        Ejecuci\u00f3n <\/td>Int\u00e9rprete de comandos y secuencias de comandos: PowerShell <\/td>T1059.001 <\/td><\/tr>
        Persistencia <\/td>Ejecuci\u00f3n de inicio autom\u00e1tico de arranque: claves de ejecuci\u00f3n del registro \/ carpeta de inicio <\/td>T1547 <\/td><\/tr>
        Evasi\u00f3n de defensa <\/td>Archivos o informaci\u00f3n ofuscados <\/td>T1027 <\/td><\/tr>
        Evasi\u00f3n de defensa <\/td>Mascarada <\/td>T1036 <\/td><\/tr>
        Evasi\u00f3n de defensa <\/td>Desofuscar\/Decodificar archivos o informaci\u00f3n <\/td>T1140 <\/td><\/tr>
        Evasi\u00f3n de defensa <\/td>Inyecci\u00f3n de proceso <\/td>T1055 <\/td><\/tr>
        Evasi\u00f3n de defensa <\/td>Evasi\u00f3n de virtualizaci\u00f3n\/sandbox <\/td>T1497 <\/td><\/tr>
        Impacto <\/td>Software de acceso remoto <\/td>T1219 <\/td><\/tr>
        Recopilaci\u00f3n <\/td>Captura de entrada: registro de teclas <\/td>T1056.001 <\/td><\/tr>
        Recopilaci\u00f3n <\/td>Captura de pantalla <\/td>T1113 <\/td><\/tr>
        Exfiltraci\u00f3n <\/td>Exfiltraci\u00f3n por el canal C2 <\/td>T1041 <\/td><\/tr>
        Acceso a credenciales <\/td>Volcado de credenciales <\/td>T1003 <\/td><\/tr>
        Movimiento lateral <\/td>Servicios remotos: Protocolo de escritorio remoto <\/td>T1021.001 <\/td><\/tr>
        Impacto <\/td>Datos encriptados para mayor impacto <\/td>T148 <\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

        COI<\/strong><\/p>\n\n\n\n

         <\/td>SHA256<\/strong> <\/td>Nombre del archivo<\/strong> <\/td><\/tr>
        1 <\/td>8fb6471b01c1d8122548d184ce5bceefae4df4ef0f1d1bb5c67b276c258e9125 <\/td>01 DEMANDA LABORAL.vbs <\/td><\/tr>
        2 <\/td>E0d40dbc6be121cf62f222295ab1e01b5ce741d37d6c4b53f3beacb38a66e8e8 <\/td>dllesperanza.txt <\/td><\/tr>
        3 <\/td>Ab3d8588b58152994d299fa57842798f3071cb0f550b37f1db8b42d56f8580f2 <\/td>Biblioteca de clases 3.dll <\/td><\/tr>
        4 <\/td>C929354d7972f2595d805507f8896609a7b7aae74566aef9a0a5cb16f36e4fe2 <\/td>enviosaaa.txt <\/td><\/tr>
        5 <\/td>1826b8379fdfdcd53dec782fb390ed1f5e97ee7ed3b099e8c3eb5b040a992553 <\/td>Stub.exe <\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
         <\/td>URL<\/strong> <\/td><\/tr>
        6 <\/td>hXXps[:]\/\/bitbucket.org\/jaiprrfc\/sds\/downloads\/envio4sep.txt <\/td><\/tr>
        7 <\/td>hXXps[:]\/\/bitbucket.org\/556ghfhgfhgf\/fdsfdsf\/downloads\/dllhope.txt <\/td><\/tr>
        8 <\/td>hXXps[:]\/\/firebasestorage.googleapis.com\/v0\/b\/rodriakd-8413d.appspot.com\/o\/Pe\/PeHope.txt?alt=media&token=7fe13398-6aa2-43e8-992c-35095e035362 <\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

        Referencias<\/strong><\/p>\n\n\n\n

        [1] https:\/\/blog.checkpoint.com\/research\/november-2023s-most-wanted-malware-new-asyncrat-campaign-discovered- while-fakeupdates-re-entered-the-top-ten-after-brief -hiato\/<\/a> <\/p>\n\n\n\n

        [2] https:\/\/blog.qualys.com\/vulnerabilities-threat-research\/2022\/08\/16\/asyncrat-c2-framework-overview-technical-analysis-and-detection<\/a> <\/p>\n\n\n\n

        Enlace: https:\/\/www.gdatasoftware.com\/blog\/2024\/10\/38043-asyncrat-bitbucket<\/a> Blog de G DATA Del equipo de analistas de virus del laboratorio de seguridad G DATA<\/p>\n","protected":false},"excerpt":{"rendered":"

        Recientemente, descubrimos una sofisticada campa\u00f1a de ataque que emplea un enfoque de m\u00faltiples etapas para distribuir AsyncRAT a trav\u00e9s de una plataforma leg\u00edtima llamada Bitbucket.<\/p>\n

        Un an\u00e1lisis de Lovely Antonio y Lance Go <\/p>\n

        Quer\u00edamos aprender c\u00f3mo se explota Bitbucket para descargar la carga \u00fatil. Se utilizaron varias capas de base64 para ocultar el c\u00f3digo a simple vista. Despu\u00e9s de quitar esas capas, pudimos descubrir la historia completa y los indicadores clave de compromiso (IOC) que encontramos al analizar la entrega de la carga \u00fatil de AsyncRAT. <\/p>\n","protected":false},"author":1,"featured_media":518,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7],"tags":[],"class_list":["post-475","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-malware"],"jetpack_featured_media_url":"https:\/\/www.gdata.com.mx\/blog\/wp-content\/uploads\/2024\/11\/1-2.jpg","featured_image_src":"https:\/\/www.gdata.com.mx\/blog\/wp-content\/uploads\/2024\/11\/1-2-150x150.jpg","_links":{"self":[{"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/posts\/475","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/comments?post=475"}],"version-history":[{"count":3,"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/posts\/475\/revisions"}],"predecessor-version":[{"id":519,"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/posts\/475\/revisions\/519"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/media\/518"}],"wp:attachment":[{"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/media?parent=475"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/categories?post=475"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.gdata.com.mx\/blog\/wp-json\/wp\/v2\/tags?post=475"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}