Hackers abusan del comando de la interfaz de administración de Windows para entregar malware

Los ciberdelincuentes continúan innovando y usan herramientas legítimas para entregar archivos maliciosos con este nueva campaña se utiliza WMIC Comando de interfaz de administración de Windows

WMIC es una interfaz de línea de comandos que permite a los usuarios ejecutar operaciones WMI, que solían obtener el estado de los sistemas informáticos locales o remotos. El uso de herramientas legítimas permite a los agentes de amenazas volar bajo el radar de los productos de seguridad.

Los investigadores de Symantec observaron que los autores de malware abusaban de WMIC para descargar el malware que roba información.

Los atacantes usan para entregar un archivo de acceso directo (.lnk) a través de una URL o enlace en un correo electrónico o como un archivo adjunto, una vez que el usuario abre el archivo contiene un comando WMIC , descarga el archivo malicioso del servidor remoto del atacante.

El archivo descargado del servidor remoto es el archivo malicioso XSL (Lenguaje de hojas de estilo extensible) y el XSL malicioso contiene el javascript que se ejecuta con otra aplicación legítima mshta[.]Exe utilizada al ejecutar el Host de aplicación HTML de Microsoft.

Los investigadores dijeron que el JavaScript contiene una lista de 52 dominios y elige una URL aleatoria, así como el puerto aleatorio entre 25010-25099 para descargar el archivo HTA.

El archivo HTA también tiene la opción de aleatorización para descargar otros archivos, la mayoría de ellos son DLL compilados con el lenguaje de programación Delphi.

Entonces HTA lanzaría el archivo DLL hwasrhela64196155383.dll con RegSvr32.exe, que es un ejecutable directo y carga DDL adicional, la exportación final es BTMEMO utilizada para descifrar y cargar los archivos DLL.

Los módulos de carga útil descargados son:

  • Email password stealer
  • Web browser password stealer
  • Network Phishing
  • File browser
  • Coinminer
  • Backdoor
  • Keylogger

La carga principal es un ladrón de información y los módulos adicionales se descargan por las URL generadas por la HTA, los módulos descargados tendrán extensiones .jpg o .gif.

Fecha actualización el 2021-09-03. Fecha publicación el 2018-09-03. Categoría: hackers. Autor: Oscar olg Mapa del sitio Fuente: gbhackers
hackers