Investigadores de seguridad han identificado una sofisticada campaña de software malicioso. Esta campaña emplea pantallas de verificación CAPTCHA falsas para la instalación encubierta de una puerta trasera basada en NodeJS.
Este ataque, integrado en la campaña más amplia de KongTuke, se aprovecha de sitios web comprometidos para la distribución de código JavaScript malicioso. Este código culmina con la implementación de troyanos de acceso remoto (RAT) avanzados. Estos RAT poseen la capacidad de dirigir el tráfico a través de servidores proxy SOCKS5, utilizando un método de cifrado basado en XOR para ofuscar la comunicación.
Investigadores de SpiderLabs han observado un incremento significativo en la proliferación de puertas traseras desarrolladas en NodeJS en diversas campañas de malware. Este aumento subraya la creciente eficacia de estas puertas traseras como vectores de acceso inicial en comparación con las tácticas convencionales.
La cadena de ataque comienza cuando las víctimas visitan sitios web comprometidos, a los que a menudo se accede a través de enlaces de redes sociales. Los sitios web contienen código malicioso inyectado que carga un archivo JavaScript siguiendo un patrón de nomenclatura específico de caracteres alfanuméricos alternos (por ejemplo, “4r6t.js”).
Este script de primera etapa realiza comprobaciones del entorno y recopila información del sistema, incluidos detalles del sistema operativo, dirección IP, tipo de navegador y datos de geolocalización antes de comunicarse con los servidores de comando y control (C2).
Si se cumplen las condiciones, el script muestra una pantalla de verificación CAPTCHA falsa, una técnica también conocida como «ClickFix». Cuando los usuarios interactúan con esta interfaz engañosa, los comandos maliciosos de PowerShell se copian silenciosamente en su portapapeles.
Estos comandos se ejecutan conectándose a una dirección IP codificada o aprovechando los túneles de Cloudflare para recuperar y ejecutar cargas útiles adicionales mientras evaden la detección.
«Dada la efectividad y las altas tasas de éxito de las técnicas CAPTCHA falsas como vector de acceso inicial en comparación con los métodos tradicionales, anticipamos un crecimiento y prevalencia continuos de estas tácticas», advirtieron los investigadores.
La puerta trasera NodeJS implementada incorpora sofisticados mecanismos anti-análisis, finalizando la ejecución si detecta entornos de máquinas virtuales, memoria insuficiente o nombres de computadoras que contienen «DESKTOP-«.
Después de pasar por alto estas comprobaciones, descarga y extrae un paquete Node.js legítimo para ejecutar sus componentes maliciosos.
La sofisticación técnica del malware es evidente en su protocolo de transmisión de datos, que emplea un esquema de cifrado personalizado: los datos se cifran con XOR con una clave aleatoria de 4 bytes, se comprimen con gzip y se les añade una suma de comprobación.
Esto garantiza una comunicación segura con los servidores C2 al tiempo que evade las herramientas de detección de red.
Para lograr persistencia, la puerta trasera crea entradas de registro que se hacen pasar por actualizadores legítimos del navegador.
Cuando está activo, espera comandos de la infraestructura C2, capaz de ejecutar comandos del sistema, implementar cargas útiles adicionales y establecer túneles proxy SOCKS5 que permiten a los atacantes enrutar tráfico malicioso a través de sistemas comprometidos.
La campaña KongTuke ha evolucionado significativamente desde su aparición en septiembre de 2024. Inicialmente utilizaba convenciones de nomenclatura de guiones con palabras clave como “métricas” y “análisis”, pero pasó al patrón alfanumérico actual en noviembre de 2024.
Los investigadores han identificado numerosos dominios comprometidos alojados principalmente en la infraestructura AS 399629 (BL Networks).
Este malware representa parte de una tendencia más amplia, con SpiderLabs observando implementaciones similares de puertas traseras basadas en NodeJS en múltiples campañas, incluidos los ladrones Mispadu y Lumma.
Los expertos en seguridad recomiendan que las organizaciones implementen capacidades sólidas de monitoreo de JavaScript, centrándose particularmente en conexiones sospechosas a dominios que coincidan con el patrón de expresión regular “\d[a-z]\d[a-z].js” y monitoreen la ejecución de PowerShell con comandos codificados.
Además, las organizaciones deben estar atentas a actividades de instalación inusuales de Node.js y modificaciones de registro que hagan referencia a los actualizadores del navegador, ya que pueden indicar un compromiso.
Dado que las técnicas CAPTCHA falsas demuestran tasas de éxito más altas que los métodos de phishing tradicionales, los equipos de seguridad deben priorizar la capacitación de concientización de los usuarios que aborde específicamente estas tácticas de ingeniería social cada vez más convincentes.
