Un grupo de piratas informáticos desconocido inyectó código malicioso dentro del servicio legítimo de Informe de errores de Windows (WER) para evadir la detección como parte de un ataque de malware sin archivos como lo descubrieron los investigadores de Malwarebytes el mes pasado.
La explotación del servicio WER en ataques para la evasión de la defensa no es una táctica nueva, pero, como dijeron los investigadores del Equipo de Inteligencia de Amenazas de Malwarebytes, Hossein Jazi y Jérôme Segura, es muy probable que esta campaña sea el trabajo de un grupo de ciberespionaje aún desconocido.
"Los actores de amenazas comprometieron un sitio web para alojar su carga útil y utilizaron el marco CactusTorch para realizar un ataque sin archivos seguido de varias técnicas de anti-análisis" , explica el informe , compartido de antemano con BleepingComputer.
Spear-phishing utilizado para eliminar la carga útil
El ataque se observó por primera vez el 17 de septiembre después de que los investigadores detectaron correos electrónicos de phishing que contenían un documento malicioso incluido en un archivo ZIP.
Las cargas útiles maliciosas iniciales estaban en las computadoras de los objetivos a través de spear-phishing con correos electrónicos usando un reclamo de compensación laboral como cebo.
Una vez abierto, el documento ejecutará shellcode a través de una macro maliciosa identificada como un módulo VBA de CactusTorch que carga una carga útil .NET directamente en la memoria del dispositivo Windows ahora infectado.
En el siguiente paso, este binario se ejecuta desde la memoria de la computadora sin dejar rastros en el disco duro, inyectando shellcode incrustado en WerFault.exe, el proceso de Windows del servicio WER.
Otro malware utiliza la misma técnica de inyección de proceso para evitar la detección, incluido el ransomware Cerber y NetWire RAT .
El subproceso del servicio Informe de errores de Windows recién creado inyectado con código malicioso pasará por varias comprobaciones de análisis para ver si se está depurando o si se está ejecutando en una máquina virtual o un entorno de zona de pruebas, todos los signos de ser examinados por un investigador de malware.
Si se pasan todas las comprobaciones y el malware cargado se siente lo suficientemente seguro como para pasar al siguiente paso, descifrará y cargará el shellcode final en un subproceso WER recién creado, que se ejecutará en un nuevo subproceso.
La carga útil final de malware alojada en la red asia-kotoba [.] En forma de un favicon falso se descargará e inyectará en un nuevo proceso.
Desafortunadamente, Malwarebytes no pudo analizar esta carga útil final ya que la URL del host estaba inactiva en el momento en que los investigadores analizaron el ataque.
Posibles huellas dactilares APT32
Si bien los investigadores de Malwarebytes no pudieron atribuir el ataque a ningún grupo de piratería con suficiente confianza, algunos de los indicadores de compromiso y tácticas utilizadas apuntan al grupo de ciberespionaje APT32 respaldado por Vietnam (también registrado como OceanLotus y SeaLotus).
Uno de ellos es el hecho de que APT32 es conocido por usar el módulo VBA CactusTorch para lanzar variantes de Denis Rat en sus ataques.
Lamentablemente, Malwarebytes no logró obtener una copia de la carga útil final después de investigar este ataque para establecer una conexión directa.
La otra pista que podría vincular este ataque con el grupo de piratería vietnamita es el dominio ( yourrighttocompensation [.] Com ) registrado en Ciudad Ho Chi Minh, Vietnam, que se utilizó para alojar y entregar el documento de phishing y las cargas útiles maliciosas.
APT32 se ha dirigido anteriormente a "empresas extranjeras que invierten en los sectores de fabricación, productos de consumo, consultoría y hotelería de Vietnam" mediante la entrega de archivos adjuntos maliciosos a través de correos electrónicos de spear-phishing, según la firma de ciberseguridad FireEye.