SharpRhino: nuevo troyano C# se infiltra en redes corporativas

El grupo de ransomware Hunters International ha comenzado a utilizar un nuevo troyano de acceso remoto (RAT) en C# llamado SharpRhino para infiltrarse en redes corporativas. Este software malicioso ayuda a los hackers a lograr una infección inicial, elevar privilegios en los sistemas infectados, ejecutar ciertos comandos de PowerShell y, en última instancia, desplegar software de ransomware.

Los investigadores de Quorum Cyber, que descubrieron el nuevo troyano, informan que se distribuye a través de un sitio web falso patrocinado en Google Ads que imita a Angry IP Scanner, una herramienta legítima de escaneo de redes utilizada por profesionales de TI.

El grupo de ransomware Hunters International se lanzó a finales de 2023 y se sospecha que es un renacimiento (rebranding) del grupo Hive debido a similitudes en el código. Entre las víctimas conocidas del grupo se encuentran el contratista de la Marina de EE.UU. Austal USA, la empresa óptica japonesa Hoya, Integris Health y el centro oncológico Fred Hutch. Incluso las instituciones médicas son un objetivo completamente aceptable para Hunters International.

Desde principios de este año, el grupo ha anunciado 134 ataques de ransomware contra diversas organizaciones en todo el mundo, lo que lo sitúa en el décimo lugar entre los grupos más activos en este campo.

El malware SharpRhino se distribuye como un instalador de 32 bits firmado («ipscan-3.9.1-setup.exe») que contiene un archivo autoextraíble 7z con archivos adicionales para llevar a cabo la infección. La víctima potencial descarga y ejecuta este software malicioso creyendo que es un instalador legítimo. Sin embargo, el programa EXEInfo reveló signos que indican que el instalador era un archivo ejecutable empaquetado en NSIS (Nullsoft Scriptable Installer System).

Al ejecutarse, el instalador malicioso modifica el registro de Windows para garantizar la persistencia y crea un acceso directo a «Microsoft.AnyKey.exe», que normalmente es un archivo binario de Microsoft Visual Studio, pero en este caso es utilizado por los atacantes. Además, el instalador crea el archivo «LogUpdate.bat», que ejecuta scripts de PowerShell en el dispositivo para el funcionamiento oculto del malware.

Para garantizar la fiabilidad de la explotación, el instalador crea dos directorios:

• C:\ProgramData\Microsoft\WindowsUpdater24 — contiene archivos que deben ejecutarse en el primer inicio del programa de instalación NSIS;
• C:\ProgramData\Microsoft\LogUpdateWindows — contiene archivos necesarios para establecer la persistencia.

El malware contiene dos comandos codificados: «delay» — para establecer un temporizador para la siguiente solicitud POST para recibir un comando, y «exit» — para terminar la comunicación.

El análisis muestra que el malware puede ejecutar comandos de PowerShell en el dispositivo infectado, lo que permite realizar diversas acciones peligrosas. Los expertos de Quorum Cyber probaron este mecanismo lanzando con éxito la calculadora de Windows a través de SharpRhino.

La nueva táctica de Hunters International, que incluye la creación de sitios web que imitan herramientas de red legítimas, indica que están apuntando a profesionales de TI con el objetivo de hackear cuentas con privilegios elevados.

Para evitar la descarga accidental de malware, se recomienda a los usuarios ser cautelosos con los resultados patrocinados en las búsquedas, activar bloqueadores de anuncios y agregar a favoritos los sitios web oficiales de los proyectos utilizados con frecuencia para descargar solo instaladores seguros.

Para mitigar las consecuencias de los ataques, se recomienda crear planes de copia de seguridad, segmentar la red y mantener actualizado todo el software para minimizar las oportunidades de los hackers de elevar privilegios y moverse lateralmente.