Existen muchas variedades de malware y también
formas de distribución. Ningún sistema ni plataforma están exentos de
poder sufrir algún tipo de ataque. Es por ello que tomar ciertas
precauciones es muy importante para preservar el buen funcionamiento de
nuestros equipos. Hoy nos hacemos eco de un nuevo malware que se
distribuye a través de archivos de Microsoft Excel. Lo han denominado CHAINSHOT y se utiliza para explotar la vulnerabilidad de día cero de Adobe Flash, conocida como CVE-2018-5002.
Malware que se distribuye a través de un archivo Excel
Este malware se distribuye a través de documentos Excel. Este archivo contiene un pequeño objeto en Flash ActiveX y lo denominan Movie (película). Dentro hay una URL para instalar la aplicación Flash.
Los investigadores han podido descifrar la clave RSA de 512 bits
y descifraron así la carga útil. Además, los también encontraron que la
aplicación Flash era un descargador que crea un par de claves RSA de
512 bits al azar en la memoria del proceso. La clave privada permanece
en la memoria y la clave pública se envía al servidor atacante para
cifrar la clave AES (utilizada para cifrar la carga útil). Una vez
ocurre esto, envían la carga cifrada al descargador y la clave privada
existente para descifrar la clave y la carga AES de 128 bits.
Han sido los investigadores de seguridad de Palo Alto Networks los que descifraron esta amenaza y compartieron sus hallazgos.
Indicaron que mientras la clave privada permanece solo en la memoria,
el módulo n de las claves públicas se envía al servidor del atacante.
En el lado del servidor, el módulo se usa junto con el exponente
codificado e 0x10001 para cifrar así la clave AES de 128 bits que se
utilizó previamente para cifrar el exploit y la carga útil del shellcode.
Cuando este grupo de investigadores logró descifrar la clave AES de
128 bits, también pudieron descifrar la carga útil. Explicaron que una
vez que la carga útil gana permisos RWE, la ejecución se pasa a la carga
útil del shellcode que luego carga una DLL integrada internamente
llamada FirstStageDropper.dll.
De ser exitoso este exploit, cargaría una carga útil del shellcode y
un archivo DLL interno denominado FirstStageDropper.dll. A este archivo
lo denominan CHAINSHOT y lo cargan en la memoria y lo ejecutan llamando a
la función de exportación __xjwz97. La DLL contiene dos recursos. El
primero de ellos es DLL x64 internamente denominado
SecondStageDropper.dll y el segundo es un shellcode x64 kernelmode.
Cómo evitar ser víctima de esta amenaza
Ahora bien, ¿cómo podemos evitar ser víctimas de ello?
Lo más importante es tener cuidado con posibles archivos que podamos
recibir por e-mail o descargar de páginas web. Como hemos visto, en esta
ocasión se trata de un archivo Excel que viene configurado de manera
maliciosa.
Por tanto siempre hay que prestar atención a cualquier archivo
sospechoso que se nos presente. Además también es importante contar con programas y herramientas de seguridad. De esta manera podremos hacer frente a diferentes variedades de malware que puedan comprometer nuestros equipos.
Muy importante también es actualizar siempre el dispositivo
y las diferentes aplicaciones desde páginas oficiales. Por ejemplo, hay
que evitar descargar Adobe Flash de cualquier sitio que encontremos,
mucho menos de un archivo que hemos recibido. Es importante siempre
hacerlo de páginas oficiales y que inspiren confianza.
Para ver más información sobre este informe que ha presentado el
grupo de investigación de Palo Alto Network, podemos consultar su página web.
Escrito por
0 Comentarios