En
una nueva campaña de malware, los ciberdelincuentes modificaron una
cadena de explotación conocida para impulsar al ladrón de información de
Agent Tesla sin desencadenar la detección de productos antivirus
comunes.
Los delincuentes cibernéticos configuran una infraestructura para entregar múltiples familias de malware a través de dos explotaciones públicas para las vulnerabilidades de Microsoft Word CVE-2017-0199 y CVE-2017-11882.Construido para soltar una gran cantidad de malware
Según los analistas de Cisco Talos, la campaña pretendía reducir al menos tres cargas útiles: el agente Tesla, Loki y Gamarue. Todos ellos son capaces de robar información y de los tres, solo Loki carece de funciones de acceso remoto.
El ataque comienza con un correo electrónico que contiene un documento de Word (DOCX) que incluye rutinas para descargar y abrir un archivo RTF, que entrega la carga útil final. Es este RTF que pasa desapercibido.
"Solo dos de los 58 programas antivirus encontraron algo sospechoso. Los programas que marcaron esta muestra solo advirtieron sobre un archivo RTF con formato incorrecto. AhnLab-V3 lo marcó como 'RTF / Malform-A.Gen', mientras que Zoner dijo que era probable "RTFBadVersion", "escriben los investigadores en un informe de hoy.Cambios para evasión de antivirus.
Los investigadores dicen que las modificaciones realizadas en la cadena de explotación permitieron que los documentos que contienen las rutinas para descargar el malware no se detecten con las soluciones antivirus habituales.
El sigilo del ejercicio de caída de carga útil se basa en las particularidades del formato de archivo RTF, que admite la incrustación de objetos a través de OLE (Object Linking and Embedding) y utiliza una gran cantidad de palabras de control para definir el contenido que contiene.
A esto se añade el hecho de que los analizadores RTF comunes generalmente ignoran lo que no saben y el resultado es la combinación perfecta para ocultar el código de explotación. Bajo este escenario, los usuarios no tienen que cambiar la configuración de Microsoft Word o hacer clic en cualquier cosa para activar el exploit.
Los delincuentes cibernéticos configuran una infraestructura para entregar múltiples familias de malware a través de dos explotaciones públicas para las vulnerabilidades de Microsoft Word CVE-2017-0199 y CVE-2017-11882.Construido para soltar una gran cantidad de malware
Según los analistas de Cisco Talos, la campaña pretendía reducir al menos tres cargas útiles: el agente Tesla, Loki y Gamarue. Todos ellos son capaces de robar información y de los tres, solo Loki carece de funciones de acceso remoto.
El ataque comienza con un correo electrónico que contiene un documento de Word (DOCX) que incluye rutinas para descargar y abrir un archivo RTF, que entrega la carga útil final. Es este RTF que pasa desapercibido.
"Solo dos de los 58 programas antivirus encontraron algo sospechoso. Los programas que marcaron esta muestra solo advirtieron sobre un archivo RTF con formato incorrecto. AhnLab-V3 lo marcó como 'RTF / Malform-A.Gen', mientras que Zoner dijo que era probable "RTFBadVersion", "escriben los investigadores en un informe de hoy.Cambios para evasión de antivirus.
Los investigadores dicen que las modificaciones realizadas en la cadena de explotación permitieron que los documentos que contienen las rutinas para descargar el malware no se detecten con las soluciones antivirus habituales.
El sigilo del ejercicio de caída de carga útil se basa en las particularidades del formato de archivo RTF, que admite la incrustación de objetos a través de OLE (Object Linking and Embedding) y utiliza una gran cantidad de palabras de control para definir el contenido que contiene.
A esto se añade el hecho de que los analizadores RTF comunes generalmente ignoran lo que no saben y el resultado es la combinación perfecta para ocultar el código de explotación. Bajo este escenario, los usuarios no tienen que cambiar la configuración de Microsoft Word o hacer clic en cualquier cosa para activar el exploit.
RTF con palabra de control para objetos OLE
La ofuscación dentro de la estructura del archivo RTF no es lo único que ayudó a que el documento no se detectara. Un análisis más profundo reveló que el atacante cambió los valores del encabezado del objeto OLE.
Luego del encabezado, agregaron datos sobre lo que parecía una etiqueta de fuente, pero resultó ser una vulnerabilidad para la vulnerabilidad de corrupción de memoria CVE-2017-11882 en Microsoft Office.
Luego del encabezado, agregaron datos sobre lo que parecía una etiqueta de fuente, pero resultó ser una vulnerabilidad para la vulnerabilidad de corrupción de memoria CVE-2017-11882 en Microsoft Office.
Los
investigadores dicen que la técnica es peligrosa, independientemente de
si las modificaciones se realizaron manualmente o usando una
herramienta. Los
cambios se encuentran en un nivel inferior y hacen que todo se vea
diferente, sin embargo, utiliza el código de explotación que se ha visto
en otras campañas.
Información de cabecera modificada
Capacidades de malware
Talos etiqueta al Agente Tesla como un "troyano sofisticado de robo de información", comercializado como una utilidad legal de registro de pulsaciones. Sin embargo, los investigadores cuestionan las características legítimas de la herramienta y afirman que tiene funciones de robo de contraseñas para 25 aplicaciones comunes, como navegadores web populares, correo electrónico y clientes FTP.
El malware Loki cae estrictamente en la categoría de robo de información, buscando agarrar contraseñas. Se anuncia regularmente como tal y su descripción agrega que también puede apuntar a las billeteras de criptomonedas.
En cuanto a la familia de amenazas de Gamarue, tiene un historial en el suministro de nuevos bots a los pastores de botnet. Es un gusano, por lo que se propaga rápidamente a los sistemas vulnerables y le da acceso a su operador. Aunque no es su especialidad, Gamarue se puede usar para robar información confidencial.
Talos etiqueta al Agente Tesla como un "troyano sofisticado de robo de información", comercializado como una utilidad legal de registro de pulsaciones. Sin embargo, los investigadores cuestionan las características legítimas de la herramienta y afirman que tiene funciones de robo de contraseñas para 25 aplicaciones comunes, como navegadores web populares, correo electrónico y clientes FTP.
El malware Loki cae estrictamente en la categoría de robo de información, buscando agarrar contraseñas. Se anuncia regularmente como tal y su descripción agrega que también puede apuntar a las billeteras de criptomonedas.
En cuanto a la familia de amenazas de Gamarue, tiene un historial en el suministro de nuevos bots a los pastores de botnet. Es un gusano, por lo que se propaga rápidamente a los sistemas vulnerables y le da acceso a su operador. Aunque no es su especialidad, Gamarue se puede usar para robar información confidencial.
0 Comentarios