Autores: Klimentiy Galkin, especialista júnior en inteligencia sobre amenazas, Centro de seguridad de expertos de Positive Technologies

Este artículo tiene únicamente fines informativos y no fomenta ni aprueba actividades ilegales. Nuestro objetivo es informar sobre una herramienta existente utilizada por los delincuentes cibernéticos para generar cadenas de ataques maliciosos dirigidos a vulnerar organizaciones y advertir sobre el uso generalizado de este tipo de herramientas en todo el mundo.

• En un estudio sobre el grupo PhaseShifters publicado en noviembre de 2024, cubrimos ataques a empresas rusas. Algunos de los cargadores maliciosos de estos ataques se generaron utilizando el servicio Crypters And Tools.
• El artículo describe la estructura interna y la infraestructura de Crypters And Tools.
• La investigación reveló que al menos tres grupos utilizan este servicio (PhaseShifters, Blind Eagle, TA558).
• Nuestras observaciones indican que el crypter se utiliza exclusivamente con fines delictivos, y su funcionalidad lo confirma.

• Crypter as a Service (CaaS) es un servicio por suscripción que permite a los usuarios cifrar, empaquetar u ofuscar archivos (no necesariamente maliciosos).
• PhaseShifters (Sticky Werewolf, UAC-0050, Angry Likho) es un grupo de hackers dedicado al espionaje, que tiene como objetivo organizaciones de Rusia, Bielorrusia e instituciones gubernamentales polacas.
• TA558 fue descrito inicialmente por Proofpoint como un grupo cibercriminal con motivaciones financieras dirigido a empresas de hostelería y turismo, principalmente en América Latina. El grupo también se ha dirigido a América del Norte y Europa Occidental y ha estado activo desde al menos 2018. En 2024, observamos al grupo atacando a empresas de todo el mundo.
• Blind Eagle (APT-C-36) es un grupo APT, que se cree que se origina en América del Sur, que ha estado atacando continuamente instituciones gubernamentales en Colombia y América Latina desde abril de 2018, junto con grandes corporaciones en finanzas, petróleo y otras industrias. Su vector de ataque inicial suelen ser correos electrónicos de phishing con archivos adjuntos (a menudo archivos protegidos con contraseña) que contienen malware como Remcos o QuasarRAT. En 2023-2024, también se observó que atacaban otros países, entre ellos Estados Unidos.

Tras la publicación de un artículo sobre el grupo de hackers PhaseShifters, que atacó a empresas y agencias gubernamentales rusas, los especialistas del departamento de inteligencia sobre amenazas del Centro de seguridad de expertos de Positive Technologies continuaron investigando la infraestructura y los servicios utilizados por estos delincuentes cibernéticos. Tras algunas investigaciones, descubrimos un directorio abierto que contenía una copia (aplicación privada) del crypter basado en suscripciones, Crypters And Tools. Mediante un examen minucioso, pudimos ampliar el clúster de actividad asociado a este CaaS, identificar nuevos nodos de infraestructura y comprender cómo funciona el crypter. La ampliación de la agrupación reveló que múltiples grupos utilizan la herramienta. Algunos de ellos ya se mencionaban en el artículo de PhaseShifters: TA558 y Blind Eagle.

Este estudio se publicará en dos partes. La primera parte cubre la estructura interna y la infraestructura del crypter. La segunda parte cubre los grupos que han utilizado alguna vez este servicio, así como otras conexiones entre ellos.

Crypters And Tools se mencionó por primera vez en septiembre de 2023 en un foro de la web oscura. Sin embargo, las pruebas sugieren que el servicio existía antes con otro nombre y que a veces tenía una funcionalidad más amplia. Por ejemplo, los primeros mensajes en el canal de Telegram del servicio datan del 22 de julio de 2022.

Así, pudimos identificar los nombres anteriores de Crypters and Tools.

La interfaz de Crypters And Tools ha cambiado en múltiples ocasiones.

Además de los cambios en la interfaz, los formatos admitidos para los archivos generados se han ampliado de VBS y BAT a PDF, DOC, DOCX y otros.

Supongamos que un usuario está suscrito al servicio. A continuación, se muestra el flujo del proceso.

Como se ve en las Figuras 4.4 y 6, la interfaz del crypter contiene un campo URL — BASE64. Aquí, el usuario especifica un enlace para generar su cargador de malware. Este enlace debe descargar un documento de texto que contenga una cadena Base64 invertida con los bytes del archivo ejecutable de malware. El usuario puede almacenar estos documentos en cualquier servicio, incluidos sus propios repositorios.

Independientemente del formato del cargador, el proceso de carga y ejecución del malware es el mismo.

A continuación, se muestra un ejemplo de cargador VBS.

El script PowerShell llamado almacena una cadena Base64 en una variable (normalmente llamada $codigo, $sodigo, o $dosigo). Descodificándolo, obtenemos el siguiente script PowerShell.

El script decodificado contiene un enlace para descargar una imagen. Tras la descarga, la imagen se analiza en busca de una secuencia con el formato: <<BASE64_START>>BASE64_ENCODE(Ande Loader)<<BASE64_END>> (en la Figura 10 se muestra un ejemplo de byte). El script llama a un método del archivo ejecutable decodificado Ande Loader.

A continuación, Ande Loader descarga la carga útil del malware desde el enlace proporcionado por el usuario crypter, la decodifica y la inyecta en un proceso legítimo de Windows. Además, establece persistencia en el sistema.

Ande Loader es un cargador de malware basado en C# cuyo nombre proviene de su método Ande3 en el código fuente. Ha sido utilizado por grupos como Blind Eagle, Phantom Control y PhaseShifters, que lo distribuyen de forma codificada dentro de imágenes. Funcionalmente, Ande Loader no tiene nada de particular; en GitHub se pueden encontrar programas similares en C# (Fig. 12).

Varias rutas PDB extraídas de archivos del cargador analizados (ejemplos en la Figura 13) sugieren que los desarrolladores de Crypters And Tools mantienen activamente Ande Loader.

Analizamos la versión de noviembre de 2024 de Crypters And Tools. La aplicación está empaquetada con Themida, escrita en C# y utiliza librerías adicionales. Al desempaquetarla, se muestra la siguiente estructura de clases.

Las clases FrmLogin y FrmRegister gestionan la autenticación y el registro de usuarios en el crypter. Dentro de estas clases, se inicializa un cliente Firebase para recuperar los datos del usuario del almacenamiento. Las licencias están vinculadas al HardwareID del usuario.

La clase FrmMain contiene la lógica principal de la aplicación:

• Selección del cargador a generar (visible en el menú lateral, ver Figura 17).
• Configuración de parámetros (tipo de cargador, método de persistencia, número de líneas en el script ofuscado y otros).
• Seleccionar un proceso legítimo en el que se inyectará el malware (campo de inyección de procesos). El conjunto de procesos disponibles para la inyección está predefinido y limitado (se enumeran a continuación).
   

• Generación de un archivo basado en parámetros seleccionados por el usuario.

Al estudiar la aplicación Crypters And Tools, hemos aprendido lo siguiente sobre su infraestructura:

• Para almacenar los datos necesarios para el registro y el inicio de sesión, se utiliza una base de datos en tiempo real Firebase (RTDB):
  • Enlace a la base de datos: https://onyx-zodiac-376415-default-rtdb.firebaseio.com
  • Nombre de la base de datos: Base de datos
• Se utiliza un servidor privado controlado por Crypters And Tools para almacenar las cargas útiles de los usuarios que probablemente hayan adquirido una versión de suscripción privada. Por defecto, se utiliza la dirección IP 91.92.254.14 y se puede acceder a los archivos a través de enlaces formateados como /Users_Api/<username>/<filename>.
• Para actualizar la aplicación se utiliza un directorio abierto. En el momento de escribir esto, el archivo binario hace referencia a la dirección IP 158.69.36.15 de un servidor XAMMP. El archivo con el número de versión se encuentra en: http://158.69.36.15/Upload/version.txt.
• Las imágenes que contienen Ande Loader y otros scripts se encuentran en:
  • http://servidorwindows.ddns.com.br/Files/js.jpeg
  • https://1017.filemail.com/api/file/get?filekey=<token_1>
  • http://servidorwindows.ddns.com.br/Files/vbs.jpeg
  • https://raw.githubusercontent.com/CryptersAndToolsOficial/ZIP/refs/heads/main/js_rmp.txt
  • https://raw.githubusercontent.com/CryptersAndToolsOficial/ZIP/refs/heads/main/vb_rmp.txt
• Los creadores de la aplicación gestionan el sitio web cryptersandtools.com y el canal de Telegram CryptersAndTools.

Entre las características notables de la infraestructura se incluyen:

• Los dominios suelen contener subcadenas con el nombre del servicio o del autor (por ejemplo, cryptersandtools, nodetecton).
• Al principio, la infraestructura consistía probablemente en computadoras domésticas y servidores: la mayoría de las direcciones IP estaban dentro del mismo sistema autónomo y región: ALGAR TELECOM SA en São Paulo o Minas Gerais. Más tarde, los propietarios del servicio pasaron a utilizar proveedores de alojamiento, incluso extranjeros.
• La mayoría de los dominios utilizan certificados Let’s Encrypt con el nombre del asunto establecido en localhost. Sin embargo, para algunos dominios, existe el siguiente certificado: Asunto: CN=localhost C=BR OU=EG O=TAG ST=Some-State.
• Los servidores XAMMP, que pueden contener tanto archivos de usuario como la propia aplicación, suelen seguir la misma estructura:
  • Directorio estándar: /dashboard
  • Directorio de carga: Upload/
  • Directorio de archivos: Files/
• El servidor privado para almacenar archivos utiliza el mismo formato de ruta en los enlaces: /Users_Api/<username>/.
• Las direcciones IP de la infraestructura del crypter alojan imágenes que contienen Ande Loader.

La investigación de la infraestructura también implicó la búsqueda de indicadores adicionales a través de las plataformas de redes sociales utilizadas para promocionar el servicio. Por ejemplo, uno de los desarrolladores del servicio es un usuario llamado NoDetectOn. Esta información nos ayudó a descubrir indicadores de red adicionales. Realizamos búsquedas en canales de YouTube y Telegram, analizando más de 130 archivos multimedia, incluidos videos, capturas de pantalla y otros, subidos por el propietario del servicio para mostrar la funcionalidad del crypter. A partir de este material, se pueden hacer varias observaciones. En primer lugar, durante las demostraciones de la aplicación, el autor del video, a pesar de utilizar máquinas virtuales y conexiones RDP, seguía mostrando su dirección IP externa en la interfaz del malware (como Remcos o XWorm).

En segundo lugar, muchos videos mostraban la herramienta Process Hacker, que muestra una lista de procesos activos. En ocasiones, la lista revelaba un servidor XAMMP activo operando dentro de la misma infraestructura. Esto se ve corroborado por el hecho de que los dominios utilizados por los servidores de directorio abierto se corresponden con direcciones IP del mismo proveedor, detectadas previamente en la interfaz gráfica del malware.

Analizando los videos del grupo del crypter, podemos determinar el país de origen. Así, los nombres de las variables en el código fuente y los nombres de los métodos están en portugués. Además, la bandeja de entrada del correo electrónico del autor en los videos contiene mayoritariamente mensajes en portugués. Un correo electrónico claramente visible muestra un retiro de 1 009 BRL de Binance (BRL = real brasileño), y menciona el CPF, el número de identificación fiscal de Brasil.

Un número significativo de archivos maliciosos se cargaron desde fuentes públicas en EE. UU., Alemania y China. Es probable que esto se deba a que los usuarios emplean VPN para distribuir el malware. Hemos observado ataques con Crypters And Tools dirigidos a Estados Unidos, Europa del Este (incluida Rusia) y América Latina. Por ejemplo, en 2023-2024, los ataques de Blind Eagle, que utilizaban malware y técnicas de ofuscación similares, se dirigieron principalmente a organizaciones estadounidenses. 

La distribución de los archivos maliciosos guarda una estrecha correlación con las estadísticas de ataques que identificamos al estudiar el grupo TA558. En concreto, Argentina, Brasil, Colombia, México, Rumania y Chile se encuentran entre los países más atacados.

Los atacantes pueden simplificar el proceso de organización de la etapa inicial de un ataque suscribiéndose a un crypter que eluda las soluciones de seguridad. Investigar los mecanismos internos de herramientas como Crypters And Tools, así como su infraestructura de red, puede ser útil para estudiar los ataques e identificar conexiones entre grupos APT.

Teniendo en cuenta el reciente análisis del mercado de la ciberdelincuencia realizado por nuestros colegas, se puede afirmar que herramientas como Crypters And Tools y malware de diversos tipos seguirán ganando popularidad entre la comunidad de hackers. Esto conducirá a un aumento del número de archivos maliciosos y, en consecuencia, a un incremento de los ataques con éxito en regiones con defensas de ciberseguridad más débiles. El costo del malware en los foros clandestinos sugiere que los costos de un ataque sofisticado son significativamente inferiores a los beneficios potenciales de la venta de información confidencial o la extorsión. 

Seguiremos vigilando el uso de esta herramienta y prestando atención a nuevos servicios que ofrezcan funcionalidades similares. Lea la segunda parte de nuestra investigación para saber qué grupos trabajaron con Crypters And Tools y qué otras similitudes comparten.