La campaña temática de Coronavirus entrega el agente Tesla Malware


Tiempo estimado de lectura: 6 6 minutos

Mientras todo el mundo lucha contra la pandemia de COVID-19, los ciberdelincuentes están ocupados explotando la situación y atacando a usuarios y empresas vulnerables. En las últimas semanas, ha habido un aumento en los malspams con temática de coronavirus, que se están utilizando para entregar una variedad de malware. En Quick Heal Security Labs, hemos observado que el Agente Tesla se entrega a través de tales campañas: el motivo principal de estas campañas es robar datos confidenciales al capturar pulsaciones de teclas, tomar capturas de pantalla y eliminar contraseñas del navegador, etc.
Detalles de la campaña: Hemos observado una variedad de campañas de Agente Tesla con temática de coronavirus. A continuación hay diferentes categorías:
• Explotación de la vulnerabilidad de MS Office CVE-2017-11882
• Explotación de la vulnerabilidad de MS Office CVE-2017-8570
• Archivos con doble extensión ejecutable (ZIP, RAR, etc.)

Variante 1 – Detalles técnicos
Una víctima recibe un correo de phishing con un archivo adjunto titulado "COVID 19 NEW ORDER FACE MASKS.doc.rtf". Este documento es un archivo RTF que explota CVE-2017-11882, que es una vulnerabilidad de desbordamiento de búfer basada en pila presente en la herramienta del editor de ecuaciones de Microsoft. Esta vulnerabilidad permite al atacante ejecutar código arbitrario y, después de una explotación exitosa, entregar la carga útil del Agente Tesla. Esta carga útil caída realiza la inyección de código en el proceso conocido de Windows RegAsm.exe. El código inyectado en RegAsm.exe realiza todas las actividades de robo de información y lo envía al servidor CnC.

Cadena de ataque

Fig. 1 Cadena de ataque

El archivo RTF está muy ofuscado con varias palabras de control y espacios en blanco no válidos. Después de desofuscar el archivo, las siguientes llamadas a la API están presentes en este archivo.

Fig.2 Shellcode en archivo RTF

Fig.2 Shellcode en archivo RTF

Fig.3 Shellcode en archivo RTF

Fig.3 Shellcode en archivo RTF

Análisis de carga útil: La carga útil de .NET se descarga del exploit CVE-2017-11882. Cuando comienza la ejecución, comienza a descifrar la sección de recursos donde se almacena el código malicioso. Mediante el método de inyección de proceso, inyecta su código en un archivo genuino de Microsoft, RegAsm.exe, para evitar los productos de seguridad. El propósito de esta carga útil es robar datos confidenciales, registrar claves de usuario y enviar estos datos al servidor SMTP.

Variante 2 – Detalles técnicos

Una víctima recibe un correo de phishing con un archivo adjunto titulado como "COVID-19 BARCO AFECTADO SUSPECTO.doc" O "Medidas COVID-19 para FAIRCHEM STEED, Voyage (219152) .doc". Este documento es un archivo RTF que contiene el objeto OLE2Link para explotar CVE-2017-8570. Esta vulnerabilidad desencadena la ejecución de scripts sin interacción del usuario. Después de una explotación exitosa, el proceso winword.exe suelta el archivo .sct incrustado y lo ejecuta. El archivo .sct contiene el código que se muestra a continuación, que ejecuta PowerShell.exe para descargar y ejecutar la carga desde un servidor remoto.

Fig. 4 Cadena de ataque

Fig. 4 Cadena de ataque

El nombre compuesto (C6AFABEC197FD211978E0000F8757E2A) está presente en el archivo RTF para ejecutar un archivo .sct en la máquina de la víctima. Debido al manejo incorrecto de los objetos en la memoria, la aplicación de Office se cae y ejecuta con éxito el archivo scriptlet (.sct) que resulta en la ejecución de código malicioso presente en el archivo .sct.

Fig.5 CLSID de Moniker y ubicación descartada del archivo .sct

Fig.5 CLSID de Moniker y ubicación descartada del archivo .sct

La siguiente figura muestra el código: el archivo .sct contiene código PowerShell ofuscado.

Fig.6 Archivo .sct ofuscado

Fig.6 Archivo .sct ofuscado

Análisis de carga útil: La carga útil de .NET se descarga mediante el exploit CVE-2017-8750 anterior. Cuando comienza la ejecución, busca una instancia propia y, si la encuentra, genera una excepción y termina por sí misma. Si no se encuentra, comienza a descifrar la sección de recursos donde se almacena la dll maliciosa. El método de autoinyección se utiliza para inyectar una dll en un archivo propio. Cuando se inicia una nueva instancia de autoproceso, suelta un archivo de acceso directo (.lnk) al inicio para establecer la persistencia y cambia los atributos del archivo propio a oculto. El propósito de esta carga útil es robar datos confidenciales, registrar claves de usuario y enviar datos al servidor SMTP.

Variante 3 – Detalles técnicos

Una víctima recibe un correo de phishing que lleva archivos adjuntos archivados de diferentes tipos como ZIP, RAR, etc. con un nombre como "Aviso de proveedor COVID-19.zip". Este archivo adjunto malicioso extraerá la versión compilada de AutoIT del malware Agent Tesla con un nombre como "Aviso de proveedor COVID-19.jpg.exe". Cuando se inicia esta carga útil, realiza la inyección de código en un proceso conocido de Windows, RegAsm.exe. – después de la ejecución exitosa, la carga comienza la actividad de robo de información.

Higo. 7 cadena de ataque

Higo. 7 cadena de ataque

Análisis de carga útil: Cuando se inicia la ejecución, crea un archivo .URL en la ubicación de inicio que contiene un enlace a un archivo .VBS soltado en la ubicación 'srdelayed'. La copia automática en la carpeta 'srdelayed' se crea en la misma ubicación desde donde comenzó la ejecución del archivo. Comienza a descifrar la sección de recursos donde se almacena el código malicioso real. Aquí, la sección de recursos de AutoIt contiene código .NET y, utilizando el método de inyección de proceso, inyecta su código en el archivo original de Microsoft RegAsm.exe, también un archivo .NET. El propósito de esta carga útil es robar datos confidenciales, registrar claves de usuario y realizar la filtración de datos a través de SMTP.

Análisis de la carga útil de la etapa final: A continuación se muestra el análisis de la primera variante, que es muy similar a las otras dos variantes.

El código malicioso se almacena en la sección de recursos del binario.

Fig. 8 Sección de recursos

Fig. 8 Sección de recursos

Después del descifrado de datos en la memoria, el dll se carga y nuevamente comienza a descifrar un código malicioso final en la memoria que se inyecta en uno mismo o en un proceso RegAsm.exe.

Fig. 9 Descifrado de código .NET

Fig. 9 Descifrado de código .NET

Después de la autoinyección de este código descifrado, comienza a recopilar información del sistema, como Nombre de usuario, Nombre de equipo, OSFullName y otra información básica. También comienza a robar los datos de los navegadores. Tiene hasta 25 listas codificadas de navegadores junto con su ruta, de las cuales pocas son las que se mencionan a continuación:

Fig. 10 Listas de navegadores

Fig. 10 Listas de navegadores

También tiene una lista de clientes de correo electrónico junto con sus rutas desde donde roba datos de correo electrónico y los envía a su servidor CnC.

La carga útil puede capturar las capturas de pantalla de la ventana actual en formato JPG con algún intervalo de tiempo. La imagen capturada como la que se ve a continuación se envía al servidor de correo electrónico creando un cliente SMTP.

Fig. 11 Detalles del cliente SMTP

Fig. 11 Detalles del cliente SMTP

La imagen se envía a una ID de correo electrónico codificada, ‘Amani@planetships.net’ con el nombre del sujeto como SC_ con un cuerpo de mensaje que contiene la información del sistema de la víctima y la imagen capturada como un archivo adjunto.

Copiar datos del portapapeles es otra funcionalidad de esta carga útil: almacena todos los datos copiados en una matriz.

Fig. 12 Obtener una copia de los datos del portapapeles

Fig. 12 Obtener una copia de los datos del portapapeles

La actividad de registro de teclas está presente en esta carga útil: primero comprueba la publicación de distribución del teclado y captura todos los eventos del teclado.

Fig. 13 Obteniendo los detalles de las teclas del teclado

Fig. 13 Obteniendo los detalles de las teclas del teclado

Protección por curación rápida

Nuestra detección avanzada basada en comportamiento sin firma bloquea con éxito todas las variantes conocidas de Agent Tesla.

Conclusión

Los actores detrás de estas campañas están aprovechando el pánico global de Coronavirus para distribuir el malware Agent Tesla y robar información confidencial del usuario. Quick Heal aconseja a los usuarios que tengan mucho cuidado y eviten abrir archivos adjuntos y hacer clic en enlaces web en correos electrónicos no solicitados. Los usuarios también deben mantener actualizado su sistema operativo y tener una solución de seguridad completa instalada en todos los dispositivos

El equipo de investigación de Quick Heal monitorea de manera proactiva todas las campañas relacionadas con COVID-19 y trabaja sin descanso para garantizar la seguridad de nuestros clientes.

MITER ATT y CK TID

Táctica Técnica
Acceso inicial Accesorio de pesca submarina
Acceso inicial Enlace de pesca submarina
Ejecución Ejecución a través de API
Ejecución Explotación para la ejecución del cliente
Ejecución Potencia Shell
Ejecución Scripting
Persistencia Claves de ejecución del registro / Carpeta de inicio
Evasión de defensa Archivos o información ofuscados
Evasión de defensa Proceso de vaciado
Evasión de defensa Scripting
Acceso de credenciales Descarga de credenciales
Acceso de credenciales Credenciales en archivos
Descubrimiento Registro de consultas
Descubrimiento Descubrimiento de información del sistema
Colección Datos del portapapeles
Colección Captura de entrada
Colección La captura de pantalla
Comando y control Copia remota de archivos
Comando y control Protocolo de capa de aplicación estándar
Exfiltración Exfiltración sobre protocolo alternativo

COI:

527142E25A8229D1DC910AF23CDB5256 (DOC)

C1B04A9474CA64466AD4327546C20EFC (DOC)

F1E95D1E23A582E4EF8B19E55E21D40E (PE)

6D5ED323EF55F7BD34BC193DDC8AFE74 (PE)

C3166A86DBF5B6A95FC723EF639DAD45 (PE)

5 (.) 189 (.) 132 (.) 254

107 (.) 189 (.) 7 (.) 179

Experto en la materia:

  • Aniruddha Dolas
  • Pavankumar Chaudhari
  • Bajrang Mane

¿Tienes algo que agregar a esta historia? Compártelo en el



Enlace a la noticia original