El uso de correos electrónicos de phishing no es nuevo para el ciberataque y sigue siendo una de las estrategias clásicas para comprometer la máquina de la víctima. Los ciberdelincuentes atraen a las víctimas para que abran archivos adjuntos de correo electrónico (en su mayoría archivos Doc y XLS) simulándolos para que parezcan importantes utilizando palabras clave como factura, pago, finanzas, pedidos, etc. Quick Heal Security Labs observó un tipo de ataque para comprometer a la víctima.
Visión general:
En este ataque, el atacante primero envía un correo electrónico de phishing disfrazado de importante y que contiene un documento de Excel como archivo adjunto. Aquí hay un correo electrónico de phishing que fue rastreado durante esta investigación.
Fig.1: Correo electrónico de phishing con archivo de Excel como archivo adjunto
Al abrir este documento de Excel, le pide a la víctima que "habilite el contenido macro" para ejecutar código malicioso de macro VBA en segundo plano.
Fig.2: Solicitud de solicitud para habilitar Macros
Ha habido un aumento en el uso de macro VBA en ataques de phishing y esta tendencia no es nueva. Hay formas de detectar este ataque fácilmente. Por lo tanto, los atacantes han cambiado su técnica de explotación y están utilizando la macro de Excel 4.0 en estos días.
La técnica de macro de Excel 4.0 es antigua pero sigue siendo efectiva ya que todas las versiones de Excel pueden ejecutar macros de Excel 4.0. En esta técnica, las macros no se almacenan en un proyecto VBA, sino que se colocan dentro de las celdas de una hoja de cálculo que contiene funciones como Exec (), Halt (), Auto_Open (), etc. Para engañar a la víctima, los atacantes aprovechan la función de ocultación de la hoja de cálculo y la almacenan Las macros en su interior.
El siguiente es un ejemplo que muestra que el código de macro real está oculto dentro de otra hoja de Excel y que al usar la opción de mostrar esa hoja se puede ver como se muestra en la figura 3.
Fig.3: Mostrar hoja de Excel
La figura siguiente muestra el código exacto y el flujo de ejecución.
Fig.4: Ejecución de código macro
Auto_Open () es una función utilizada para ejecutar un código tan pronto como se abre el libro de trabajo.
Podemos ver en la Fig.4, la función Auto_Open ejecutará Macro1 (), lo que significa que la ejecución del código comenzará desde la Fila 4, que es Macro1. Después de eso, llamará a Macro2 (paso 2) y luego se ejecutará la siguiente instrucción que es 33 (en la fila 14). En el paso 3, 1S t la carga útil de la etapa se está descargando en %temperatura% carpeta usando msiexec.exe proceso como se muestra en la Fig. 5.
Mientras msiexec.exe es un proceso legítimo de Microsoft, es uno de los binarios de viviendo de la tierra que pertenece al componente de Windows Installer. Los piratas informáticos están haciendo uso de este proceso para descargar la carga útil, ya que muchas soluciones de seguridad tratan esto como un proceso de lista blanca, lo que dificulta la detección mediante la técnica de detección de comportamiento.
Fig.5: Descarga de 1S t Etapa de carga útil
Análisis ejecutable:
Después de descargar una carga útil, msiexec.exe También es responsable de ejecutar la carga útil y realiza más actividades. El 1S t la carga útil de la etapa es solo un cuentagotas que se usa para colocar múltiples archivos en el %temperatura% carpeta. Finalmente, suelta un archivo .dll que actúa como la carga útil de la etapa final y se utiliza para realizar más actividades maliciosas.
La carga útil de la etapa final es ejecutada por Rundll32.exe con el argumento del nombre de la función como "sega". Comienza a recopilar información del sistema, como el número de tareas en ejecución, la identificación del sistema, el usuario es parte del dominio o no, los usos de la unidad, etc.
Fig.6: Flujo de ejecución del ataque
La carga final suelta un script de PowerShell que es responsable de verificar si el usuario es parte del dominio o no. El script de PowerShell descartado se almacena en %temperatura% ubicación en formato ofuscado.
Después de recopilar la información requerida de la máquina de la víctima, la carga útil comienza a codificar datos utilizando una codificación URL simple y envía datos utilizando el método POST a su servidor C2.
Fig. 7: Envío de datos utilizando el método POST
Aquí está la captura de pantalla de los datos decodificados:
Fig. 8: Datos decodificados
El servidor C2 responde con un comando después de obtener los detalles.
Según la respuesta, la carga útil realiza acciones en la máquina de la víctima mientras ejecuta un net.exe con el comando "usuario / dominio neto"Y recopila la información y la envía de vuelta al servidor C2.
Algunas de las siguientes funciones se utilizan al enviar datos al servidor C2.
Fig. 9: llamadas a la API de comunicación C2
Esta carga útil también crea un mutex global para ejecutar la carga útil solo para una ocurrencia.
Fig. 10: Crear mutex global
El objetivo principal de este malware es crear una puerta trasera que se pueda usar para robar datos del sistema y si el sistema está en el dominio, puede realizar un movimiento lateral para crear una red de puerta trasera.
Conclusión:
El uso de trucos de ingeniería social para comprometer a la víctima es un método típico y los piratas informáticos siempre cambian sus técnicas para evadir las detecciones AV mediante el uso de nuevas ideas como la macro de Excel 4.0 y el proceso de ventanas genuinas como msiexec.exe. Las soluciones de seguridad empresarial Quick Heal y Seqrite protegen a sus usuarios de dichos archivos adjuntos de correo electrónico malicioso y también pueden ayudar a identificar la comunicación remota del servidor de Comando y Control. Por lo tanto, recuerde mantener siempre actualizadas las soluciones de seguridad de punto final.
COI:
78EA9835C2D7F6760315EA043807B8C8
34B769FA431AC1945BE9CC33D4CC2426
DDAE8B7AA9A93CE17610EB063F5838CE
6675C63A2534FD65B3B2DA751F2B393F
Experto en la materia:
Anjali Raut, Aniruddha Dolas
