Hackers entregan software malicioso con documento de Word y archivo RAR

El grupo OceanLotus, conocido por sus múltiples campañas de ataque en todo el mundo, el grupo de actores de amenazas apunta a sectores privados en múltiples industrias, gobiernos extranjeros, activistas y disidentes conectados a Vietnam

Los investigadores de la división 42 de Palo Alto Networks observaron una nueva familia de malware personalizada denominada "KerrDown" utilizada por el grupo de actores de amenazas desde 2018. Esta campaña en curso se dirige principalmente a personas que hablan en Vietnam o en Vietnam.

Los actores de amenazas entregan el malware de descarga KerrDown a los objetivos en dos métodos: Documento malicioso de Word habilitado para macros y RAR archive

Una vez que la víctima abre el archivo de carga útil malintencionada, le pide a las víctimas que habiliten las macros para ver el contenido del archivo, el documento contiene un archivo de imagen escrito en idioma vietnamita y dos manchas base64 insertadas en la página.

Para engañar a las víctimas y evadir la detección de herramientas automatizadas, los atacantes han cambiado el tamaño de la fuente a 1.

En función de la arquitectura de la máquina de la víctima (32 bits / 64 bits), las DLL de KerrDown incrustadas se eliminarán en la máquina de la víctima.

“La DLL recupera la carga útil de la URL, la descifra utilizando el DEAlgoritmo y ejecutarlo en la memoria. Por lo tanto, se observa que solo el descargador de DLL de KerrDown se guarda en el sistema y la carga útil se ejecuta directamente en la memoria ".

En el momento del análisis, los investigadores encontraron que KerrDown todavía estaba activo y podían descargar la copia de la variante.

RAR Archives KerrDown

Con la variante RAR, los atacantes modificaron el código del descargador, agregaron más etapas y ocultaron cada etapa mediante compresión y cifrado. También cambian la forma en que se ejecuta el código malicioso.

Cuando las víctimas abren el archivo DLL malicioso del archivo, éste carga el archivo DLL y el archivo DLL carga varias etapas para ejecutar la carga útil final.

  • Una vez que la víctima abre el documento, ejecuta wwlib[.]Dll en el mismo directorio.
  • La DLL decodifica el shellcode codificado en base64 y se ejecuta.
  • Luego el código de shell descifra el segundo código de shell.
  • El segundo código de shell descifra el tercer código de shell con AES.
  • El tercer shellcode recupera el expediente desde la ubicación remota y lo ejecuta.
  • El cuarto shellcode carga la baliza de ataque de cobalto y la incrusta en la memoria.
Fecha actualización el 2021-02-04. Fecha publicación el 2019-02-04. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: gbhackers
hackers