Mientras todo el mundo lucha contra la pandemia de COVID-19, los ciberdelincuentes están ocupados explotando la situación y atacando a usuarios y empresas vulnerables. En las últimas semanas, ha habido un aumento en los malspams con temática de coronavirus, que se están utilizando para entregar una variedad de malware. En Quick Heal Security Labs, hemos observado que el Agente Tesla se entrega a través de tales campañas: el motivo principal de estas campañas es robar datos confidenciales al capturar pulsaciones de teclas, tomar capturas de pantalla y eliminar contraseñas del navegador, etc.
Detalles de la campaña: Hemos observado una variedad de campañas de Agente Tesla con temática de coronavirus. A continuación hay diferentes categorías:
• Explotación de la vulnerabilidad de MS Office CVE-2017-11882
• Explotación de la vulnerabilidad de MS Office CVE-2017-8570
• Archivos con doble extensión ejecutable (ZIP, RAR, etc.)
Variante 1 – Detalles técnicos
Una víctima recibe un correo de phishing con un archivo adjunto titulado "COVID 19 NEW ORDER FACE MASKS.doc.rtf". Este documento es un archivo RTF que explota CVE-2017-11882, que es una vulnerabilidad de desbordamiento de búfer basada en pila presente en la herramienta del editor de ecuaciones de Microsoft. Esta vulnerabilidad permite al atacante ejecutar código arbitrario y, después de una explotación exitosa, entregar la carga útil del Agente Tesla. Esta carga útil caída realiza la inyección de código en el proceso conocido de Windows RegAsm.exe. El código inyectado en RegAsm.exe realiza todas las actividades de robo de información y lo envía al servidor CnC.

Fig. 1 Cadena de ataque
El archivo RTF está muy ofuscado con varias palabras de control y espacios en blanco no válidos. Después de desofuscar el archivo, las siguientes llamadas a la API están presentes en este archivo.

Fig.2 Shellcode en archivo RTF

Fig.3 Shellcode en archivo RTF
Análisis de carga útil: La carga útil de .NET se descarga del exploit CVE-2017-11882. Cuando comienza la ejecución, comienza a descifrar la sección de recursos donde se almacena el código malicioso. Mediante el método de inyección de proceso, inyecta su código en un archivo genuino de Microsoft, RegAsm.exe, para evitar los productos de seguridad. El propósito de esta carga útil es robar datos confidenciales, registrar claves de usuario y enviar estos datos al servidor SMTP.
Variante 2 – Detalles técnicos
Una víctima recibe un correo de phishing con un archivo adjunto titulado como "COVID-19 BARCO AFECTADO SUSPECTO.doc" O "Medidas COVID-19 para FAIRCHEM STEED, Voyage (219152) .doc". Este documento es un archivo RTF que contiene el objeto OLE2Link para explotar CVE-2017-8570. Esta vulnerabilidad desencadena la ejecución de scripts sin interacción del usuario. Después de una explotación exitosa, el proceso winword.exe suelta el archivo .sct incrustado y lo ejecuta. El archivo .sct contiene el código que se muestra a continuación, que ejecuta PowerShell.exe para descargar y ejecutar la carga desde un servidor remoto.

Fig. 4 Cadena de ataque
El nombre compuesto (C6AFABEC197FD211978E0000F8757E2A) está presente en el archivo RTF para ejecutar un archivo .sct en la máquina de la víctima. Debido al manejo incorrecto de los objetos en la memoria, la aplicación de Office se cae y ejecuta con éxito el archivo scriptlet (.sct) que resulta en la ejecución de código malicioso presente en el archivo .sct.

Fig.5 CLSID de Moniker y ubicación descartada del archivo .sct
La siguiente figura muestra el código: el archivo .sct contiene código PowerShell ofuscado.

Fig.6 Archivo .sct ofuscado
Análisis de carga útil: La carga útil de .NET se descarga mediante el exploit CVE-2017-8750 anterior. Cuando comienza la ejecución, busca una instancia propia y, si la encuentra, genera una excepción y termina por sí misma. Si no se encuentra, comienza a descifrar la sección de recursos donde se almacena la dll maliciosa. El método de autoinyección se utiliza para inyectar una dll en un archivo propio. Cuando se inicia una nueva instancia de autoproceso, suelta un archivo de acceso directo (.lnk) al inicio para establecer la persistencia y cambia los atributos del archivo propio a oculto. El propósito de esta carga útil es robar datos confidenciales, registrar claves de usuario y enviar datos al servidor SMTP.
Variante 3 – Detalles técnicos
Una víctima recibe un correo de phishing que lleva archivos adjuntos archivados de diferentes tipos como ZIP, RAR, etc. con un nombre como "Aviso de proveedor COVID-19.zip". Este archivo adjunto malicioso extraerá la versión compilada de AutoIT del malware Agent Tesla con un nombre como "Aviso de proveedor COVID-19.jpg.exe". Cuando se inicia esta carga útil, realiza la inyección de código en un proceso conocido de Windows, RegAsm.exe. – después de la ejecución exitosa, la carga comienza la actividad de robo de información.

Higo. 7 cadena de ataque
Análisis de carga útil: Cuando se inicia la ejecución, crea un archivo .URL en la ubicación de inicio que contiene un enlace a un archivo .VBS soltado en la ubicación 'srdelayed'. La copia automática en la carpeta 'srdelayed' se crea en la misma ubicación desde donde comenzó la ejecución del archivo. Comienza a descifrar la sección de recursos donde se almacena el código malicioso real. Aquí, la sección de recursos de AutoIt contiene código .NET y, utilizando el método de inyección de proceso, inyecta su código en el archivo original de Microsoft RegAsm.exe, también un archivo .NET. El propósito de esta carga útil es robar datos confidenciales, registrar claves de usuario y realizar la filtración de datos a través de SMTP.
Análisis de la carga útil de la etapa final: A continuación se muestra el análisis de la primera variante, que es muy similar a las otras dos variantes.
El código malicioso se almacena en la sección de recursos del binario.

Fig. 8 Sección de recursos
Después del descifrado de datos en la memoria, el dll se carga y nuevamente comienza a descifrar un código malicioso final en la memoria que se inyecta en uno mismo o en un proceso RegAsm.exe.

Fig. 9 Descifrado de código .NET
Después de la autoinyección de este código descifrado, comienza a recopilar información del sistema, como Nombre de usuario, Nombre de equipo, OSFullName y otra información básica. También comienza a robar los datos de los navegadores. Tiene hasta 25 listas codificadas de navegadores junto con su ruta, de las cuales pocas son las que se mencionan a continuación:

Fig. 10 Listas de navegadores
También tiene una lista de clientes de correo electrónico junto con sus rutas desde donde roba datos de correo electrónico y los envía a su servidor CnC.
La carga útil puede capturar las capturas de pantalla de la ventana actual en formato JPG con algún intervalo de tiempo. La imagen capturada como la que se ve a continuación se envía al servidor de correo electrónico creando un cliente SMTP.

Fig. 11 Detalles del cliente SMTP
La imagen se envía a una ID de correo electrónico codificada, ‘Amani@planetships.net’ con el nombre del sujeto como SC_
Copiar datos del portapapeles es otra funcionalidad de esta carga útil: almacena todos los datos copiados en una matriz.

Fig. 12 Obtener una copia de los datos del portapapeles
La actividad de registro de teclas está presente en esta carga útil: primero comprueba la publicación de distribución del teclado y captura todos los eventos del teclado.

Fig. 13 Obteniendo los detalles de las teclas del teclado
Protección por curación rápida
Nuestra detección avanzada basada en comportamiento sin firma bloquea con éxito todas las variantes conocidas de Agent Tesla.
Conclusión
Los actores detrás de estas campañas están aprovechando el pánico global de Coronavirus para distribuir el malware Agent Tesla y robar información confidencial del usuario. Quick Heal aconseja a los usuarios que tengan mucho cuidado y eviten abrir archivos adjuntos y hacer clic en enlaces web en correos electrónicos no solicitados. Los usuarios también deben mantener actualizado su sistema operativo y tener una solución de seguridad completa instalada en todos los dispositivos
El equipo de investigación de Quick Heal monitorea de manera proactiva todas las campañas relacionadas con COVID-19 y trabaja sin descanso para garantizar la seguridad de nuestros clientes.
MITER ATT y CK TID
Táctica | Técnica |
Acceso inicial | Accesorio de pesca submarina |
Acceso inicial | Enlace de pesca submarina |
Ejecución | Ejecución a través de API |
Ejecución | Explotación para la ejecución del cliente |
Ejecución | Potencia Shell |
Ejecución | Scripting |
Persistencia | Claves de ejecución del registro / Carpeta de inicio |
Evasión de defensa | Archivos o información ofuscados |
Evasión de defensa | Proceso de vaciado |
Evasión de defensa | Scripting |
Acceso de credenciales | Descarga de credenciales |
Acceso de credenciales | Credenciales en archivos |
Descubrimiento | Registro de consultas |
Descubrimiento | Descubrimiento de información del sistema |
Colección | Datos del portapapeles |
Colección | Captura de entrada |
Colección | La captura de pantalla |
Comando y control | Copia remota de archivos |
Comando y control | Protocolo de capa de aplicación estándar |
Exfiltración | Exfiltración sobre protocolo alternativo |
COI:
527142E25A8229D1DC910AF23CDB5256 (DOC)
C1B04A9474CA64466AD4327546C20EFC (DOC)
F1E95D1E23A582E4EF8B19E55E21D40E (PE)
6D5ED323EF55F7BD34BC193DDC8AFE74 (PE)
C3166A86DBF5B6A95FC723EF639DAD45 (PE)
5 (.) 189 (.) 132 (.) 254
107 (.) 189 (.) 7 (.) 179
Experto en la materia:
- Aniruddha Dolas
- Pavankumar Chaudhari
- Bajrang Mane