Campaña de malware descubierta que distribuye la poderosa puerta trasera FELIXROOT utilizando las vulnerabilidades de Microsoft Office para comprometer las computadoras con Windows de la víctima.
La campaña de puerta trasera de FELIXROOT se descubrió inicialmente en septiembre de 2017 y se distribuyó a través de documentos bancarios maliciosos de Ucrania con macro que descargan la puerta trasera del servidor de C & C.
Actualmente, los atacantes distribuyen documentos engaños en armas que contienen exploits para las vulnerabilidades de Office de Microsoft CVE-2017-0199 y CVE-2017-11882, en función de la fuente, el malware se distribuye a través de documentos en idioma ruso con vulnerabilidades de Microsoft Office.
Cómo funciona el Backdoor FELIXROOT
Como mencionamos anteriormente, hay dos vulnerabilidades (CVE-2017-0199 y CVE-2017-11882) que se explotan y el documento malicioso se distribuye con el nombre "Seminar.rtf".
Seminar.rtf contiene un archivo binario incrustado que se eliminará en % temp% que se usa para descartar y ejecutar el cuentagotas FELIXROOT.
FELIXROOT cuentagotas comprimido dentro del archivo ejecutable que creará dos archivos, un archivo LNK que apunte a %system32%\rundll32.exe y el componente de cargador FELIXROOT.
Aquí el archivo LNK es responsable de ejecutar el componente cargador de FELIXROOT y el componente de puerta trasera está completamente encriptado usando un cifrado personalizado que usa XOR con una clave de 4 bytes.
Después de la ejecución exitosa en la máquina de víctimas duerme 10 y se creará el nuevo hilo.
La puerta trasera de FELIXROOT utilizando los protocolos HTTP y HTTPS POST para la comunicación del servidor de comando y control, y una vez que recopiló los datos de la máquina de víctimas, los datos enviados a través de la red se encriptaron y organizaron en una estructura personalizada.
Según FireEye, el malware consulta la API de Windows para obtener el nombre de la computadora, el nombre de usuario, el número de serie del volumen, la versión de Windows, la arquitectura del procesador y dos valores adicionales.
Más tarde, todos los datos robados se transfieren a los servidores C2 utilizando el cifrado AES utilizando el protocolo HTTP o HTTPS y la clave AES es completamente única.
Después del cifrado, el texto de cifrado que se enviará a través de C2 está codificado en Base64. La puerta trasera FELIXROOT contiene varios comandos para tareas específicas y solía dormir un minuto antes de ejecutar la siguiente tarea.
Una vez que completa la ejecución y roba la información de la máquina comprometida, la puerta trasera FELIXROOT detiene la ejecución del bucle y finalmente limpia las huellas de la máquina infectada.
Fecha actualización el 2021-07-27. Fecha publicación el 2018-07-27. Categoría: backdoor Autor: Oscar olg Mapa del sitio Fuente: gbhackers