Los investigadores observaron una nueva campaña maliciosa que entrega un poderoso malware ExileRAT a través de documentos de Microsoft Powerpoint utilizando la infraestructura del servidor C2 utilizada anteriormente.
Los atacantes envían el malware a través de un archivo adjunto de correo electrónico y la dirección de correo representa a la Administración Central Tibetana (CTA) , una organización gubernamental con sede en el Tíbet.
La naturaleza de esta campaña de malware parece espiar a las poblaciones civiles por razones políticas y es muy probable que no se distribuya para obtener ganancias financieras.
Documento de formato de archivo PPSX, se usó una presentación de diapositivas no editable derivada de MS Powerpoint para este ataque y se adjuntó con una lista de correo de CTA
Un análisis más profundo reveló que la campaña de malware compartió la carga útil y la infraestructura que utiliza el malware anterior LuckyCat, un troyano basado en Android y Windows.
Además de eso, el servidor de servidor C2 descubierto se usó para varias campañas con las mismas cargas útiles y el programa de descarga de archivos PPSX ayuda a un atacante a ejecutar las diferentes cargas útiles en el sistema de víctimas.
Infraestructura de listas de correo utilizada por la empresa india DearMail , que proporciona un administrador de campañas de correo electrónico basado en la web habilitado para la nube.
Los atacantes abusaron del Encabezado de correo electrónico y modificaron la respuesta estándar que ayuda a obtener una respuesta directa de las víctimas a la dirección de correo electrónico del atacante.
Proceso de infección de malware ExileRAT
Los atacantes que utilizan la vulnerabilidad de ejecución remota de código basada en Microsoft Office y su vulnerabilidad alojada en GitHub están disponibles para el público.
El código de explotación reside en el "slide1.xml.ralEl archivo y los investigadores analizan el archivo mediante análisis dinámico en Threat Grid y descubren que el
PPSX también intenta ponerse en contacto con la ubicación de IP para realizar algunas búsquedas de ubicación geográfica.
Despues iniciado la solicitud HTTP al servidor C2 donde recupera el script de JavaScript responsable de descargar la carga útil "syshost.exe" e infectar el sistema.
ExileRAT es un Malware basado en troyanos de acceso remoto que puede obtener información del sistema (nombre de la computadora, nombre de usuario, unidades de listado, adaptador de red, nombre del proceso), obtener / enviar archivos y ejecutar o finalizar procesos.
Según Cisco Talos Research, además de esta infección por ExileRAT, el investigador identificó varios otros directorios abiertos que contenían otros archivos .exe y .dll, a saber, "AcroRd32.exe" y "ccL100U.dll".
“El IP codificado del servidor C2 en Syshost.exe también fue el hogar de un interesante dominio específico: mondaynews [.] Tk. "Los investigadores de Talos dijeron que este dominio es el dominio C2 de una RAT de Android creada el 3 de enero. Esta es una versión más nueva de la RAT de Android LuckyCat utilizada en 2012 contra activistas tibetanos".
Fecha actualización el 2021-02-06. Fecha publicación el 2019-02-06. Categoría: malware Autor: Oscar olg Mapa del sitio Fuente: gbhackers