Los piratas informáticos atacan a los usuarios de Windows con documentos de Excel armados

Los piratas informáticos utilizan los documentos de Excel como armas principalmente debido a su uso generalizado y las vulnerabilidades inherentes del software.

El bloqueo de Microsoft de las macros VBA de forma predeterminada ha llevado a los piratas informáticos a explotar archivos “.XLL” como medio para distribuir malware.

Los investigadores de Fortinet identificaron recientemente que los piratas informáticos están atacando activamente a los usuarios de Windows utilizando documentos de Excel armados para entregar Remcos RAT.

FortiGuard Labs descubrió un complejo ataque de phishing cuando recibió un correo electrónico que contenía un archivo Excel malicioso disfrazado de archivo de pedido.

Al abrir este documento, se aprovecha la vulnerabilidad de ejecución remota de código de Microsoft Office rastreada por CVE-2017-0199 para acortar la URL hxxps://og1(. )in/2Rxzb3. Se producirá una redirección “hxxp://192(. )3(.)220(.)22/xampp/en/cookienetbookinetchahce.hta.” Mshta.exe es una aplicación de Windows que ejecuta archivos HTA a través de un componente DCOM y utiliza JavaScript, VBScript y Base64. Oculte información con múltiples capas de ofuscación mediante codificación, codificación de URL y secuencias de comandos de Power Shell.

Guía del comprador de detección y respuesta gestionadas: descarga gratuita (PDF)

El proceso continúa de tal manera que el archivo HTA descarga un archivo ejecutable llamado “dllhost.exe” al directorio %AppData% usando la API URLDownloadToFile().

Archivo abierto en Excel (Fuente – Fortinet)

Cuando se ejecuta dllhost.exe, extrae varios archivos a %AppData%\intercessionate\Favourablies117\sulfonilurea y crea un proceso PowerShell de 32 bits (C:\Windows\SysWOW64\WindowsPowerShell\v1.0 \powershell.exe). Código ofuscado de 'Aerognosy.Res' usando Invoke-Expression (iEx).

La carga útil final incluye Remcos, una RAT comercial con capacidades avanzadas de control remoto. Aunque se vende legalmente en línea con capacidades avanzadas de control remoto, los actores de amenazas lo están explotando para recopilar información confidencial y tomar el control de las computadoras de las víctimas.

Según el informe, el malware copia dllhost.exe a %temp% como 'Vaccinerende.exe', oculta un proceso 'PowerShell' en segundo plano, carga código malicioso desde 'Valvulate.Cru' y lo ejecuta. Está escrito con esa persistencia. se logra expandiendo el archivo en la memoria. API “VirtualAlloc()” y “CallWindowProcA()”. Finalmente, el malware establece un control remoto completo sobre el sistema comprometido.

Flujo de trabajo completo de la campaña de phishing (Fuente: Fortinet)

El malware utiliza una cadena de ataque de varios pasos que comienza con un exploit de PowerShell.

En una primera fase se implementarán técnicas avanzadas de antianálisis. Ellos son:

Código que contiene celdas que se autodecodifican y está envuelto en instrucciones inútiles. Manejadores de excepciones vectorizados para ayudar a controlar los esfuerzos de depuración. Resolución API dinámica con acceso PEB a fs:(30h). Varios mecanismos de prevención de depuración (comprobación de ThreadHideFromDebugger (0x11) y supervisión de ProcessDebugPort)

Luego, el malware utiliza el halo de proceso creando una instancia con halo de 'Vaccinerende.exe' que se recupera de 'dllhost.exe' y se suspende con el indicador 'CREATE_SUSPENDED'.

Utilice API como “NtAllocateVirtualMemory” y “NtMapViewOfSection”.

Para mantener el modo de infección, se crea una clave en la entrada del registro Auto_Run ubicada en “HKCU\Software\Microsoft\Windows\CurrentVersion\Run”.

Funciones y comandos de Remcos (Fuente – Fortinet)

La última parte obtiene la variante Remcos RAT 5.1.2 Pro cifrada de hxxp(:)//192(.)3(.)220(.)22/hFXELFSwRHRwqbE214.bin. Se decodifica y se ejecuta en RAM con ayuda operativa. Funcionalidad proporcionada por la función BIOS 'NtCreateThreadEx'.

Esta solución para Remcos indica que el servidor C&C se empaquete usando Packet Magic ('0xFF0424') e incluye el tamaño de los datos del comando, ejecutándose en 107(.)173(.)4(.)16:2404, use un paquete con un. ID de comando. 0x4K y para registros que incluyen algunos archivos del sistema identificados por los caracteres calificativos \x7C\x1E\x1E\x1F\x7C.

Esto le permite controlar funciones como espionaje remoto, registrador de teclas, captura de pantalla y manipulación de procesos a través de un bloque de configuración de 57 valores en Configuración.

Realice análisis privados de malware en tiempo real en máquinas virtuales Windows y Linux. ¡Obtén una prueba gratuita de 14 días en ANY.RUN!