Los cibercriminales detrás de la campaña de malware DNSpionage han encontrado una nueva manera de infectar a víctimas específicas con una nueva variante del malware DNSpionage.
DNSpionage fue descubierto por primera vez en noviembre del año pasado, y se basaba en sitios o documentos maliciosos para infectar a las víctimas con DNSpionage, una herramienta remota que utilizaba comunicaciones DNS y HTTP para comunicarse con el servidor que controlaba el atacante y que usaba para escribir en él los comandos a ejecutar en los equipos atacados.
Como se ha comentado, en la campaña anterior, se podía utilizar un documento de Word con una macro maliciosa para, de esta manera, infectar a la víctima. En esta nueva campaña utilizan un documento de Excel con una macro similar.
Antaño utilizaban el directorio .oracleServices, no obstante, para esta nueva campaña detectada en febrero, el atacante, para evitar que las reglas de los antivirus lo detecten, utiliza un directorio .msdonedrive y renombra al malware «taskwin32.exe».
Donde reside el éxito de esta nueva campaña de malware, es que ahora realizan reconocimientos previos de las posibles víctimas antes de infectarlas, lo que permite al atacante escoger una víctima en concreto e infectarla con una probabilidad de éxito mayor que si simplemente tratasen de infectar a varios equipos de forma masiva.
Los pasos que sigue esta nueva campaña son:
1.El malware emplea un archivo .bat (a.bat) para ejecutar el comando WMI y así obtener una lista con todos los procesos que estén corriendo sobre la máquina de la víctima.
wmi process list
2. El malware también identifica el username y el nombre de la máquina de la víctima. Finalmente utiliza la API NewWkstaGetInfo() con el nivel 100 para así recuperar información adicional de la máquina.
Este nivel devuelve información sobre el entorno de trabajo de la víctima, incluida información específica de la plataforma, el nombre de dominio, del equipo local e información relativa al sistema operativo. Es precisamente esta información que logra obtener, la que es clave para así poder seleccionar una víctima determinada tal y como se ha hecho alusión con anterioridad.
Es igualmente reseñable esta peculiar forma poco sofisticada de separar una misma string (caso del archivo \\Configure.txt, el cual separa en \\Conf y en igure.txt). Esto provocaría que, por ejemplo, la siguiente regla Yara no hiciese saltar la alerta al no coincidir el string que busca.
rule DNSpionage {
strings:
$conf="Configure.txt"
condition:
All of them
}
Es precisamente esta anomia la que ocasiona que los antivirus como Avast o Avira (antivirus que el malware busca en la fase de reconocimiento dentro del sistema de la víctima y, en caso de encontrar alguno, realiza esta acción de separar el string) no alerten al usuario.
Estas eran las palabras de los investigadores que han detectado esta nueva campaña de malware sobre la fase de reconomiento que realiza Karkoff
«The malware searches for two specific anti-virus platforms: Avira and Avast. If one of these security products is installed on the system and identified during the reconnaissance phase, a specific flag will be set, and some options from the configuration file will be ignored,»
Karkoff, programado en .NET, permite al atacante ejecutar código arbitrario sobre la máquina víctima y de forma remota. Junto a todas sus características, también es interesante la funcionalidad por la cual genera un log con todos los comandos ejecutados sobre el sistema víctima con su fecha y hora.Son muchas las empresas y organizaciones que utilizan macros para reducir tareas repetitivas sin ser conscientes de cómo pueden estar perjudicando a la infraestructura de la organización. Así pues, se recomienda deshabilitar las macros, utilizar software antimalware de confianza y que se actualice en tiempo real, ser conocedores de las nuevas campañas de ingeniería social y de auditar los registros DNS tal y como recomendaron desde el Department of Homeland Security (DHS) para así reducir riesgos y posibilidades de sufrir ataques de DNS hijacking tales como los mencionados en este artículo
Más información
https://blog.talosintelligence.com/2019/04/dnspionage-brings-out-karkoff.html
Manu Alén
Deja un comentario