Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / Mozart, una nueva familia de troyano que oculta el tráfico utilizando consultas DNS

Mozart, una nueva familia de troyano que oculta el tráfico utilizando consultas DNS

Por Deja un comentario

El analista de malware Vitali Kremez, del equipo de @MalwareHunterTeam ha publicado sus hallazgos sobre una nueva familia de troyano que utiliza peticiones DNS para ocultar las comunicaciones con el servidor de control y comando.

La vía de propagación utilizada es mediante correos de «spear-phishing» en los que se adjunta un PDF malicioso que descarga y ejecuta el payload (https://masikini[.]com/CarlitoRegular%5B.%5Dzip).

El zip contiene un fichero JScript que es ejecutado utilizando el componente ActiveXObject WScript.Shell de la API de Windows.

Una vez ejecutado, el malware comprueba la existencia del archivo «mozart.txt» y si no existe lo crea con el contenido ‘1 2 3 4 5’. A continuación, se comunicará con el servidor de control utilizando peticiones DNS a un servidor configurado en el código de la muestra analizada: 93[.]188[.]155[.]2.

Servidor de C&C. Fuente: vkremez.com

Estas consultas se realizan utilizando la función InetPtonW de la API de Windows. Se han obtenido hasta siete comandos diferentes que la máquina infectada utilizaba para comunicarse con el C&C y obtener nuevas órdenes o actualizaciones:

  • .getid
  • .gettasks
  • .gettasksize
  • .gettask
  • .reporttask
  • .reportupdates
  • .getupdates
Ejemplo de petición. Fuente: vkremez.com

Las respuestas se obtienen codificadas en Base64 y son interpretadas por el malware utilizando un componente específico encargado de descifrar la información.

Para protegerse ante esta amenaza es posible bloquear las peticiones DNS al servidor 93[.]188[.]155[.]2, sin embargo pueden aparecer nuevas variantes que utilicen otros servidores, por lo que es importante tener una solución de seguridad que permita monitorizar el tráfico DNS en sus sistemas.

Algunos IoC:

Mozart DNS C&C:

  • 93[.]188[.]155[.]2

Payload URL:

  • masikini[.]com/CarlitoRegular[.]zip

PDF malicioso SHA-256:

  • f1e32936482998483c076b4502542718d7de33a79cab9b51ddf3de9d4a415145

Cargador y parser de comandos:

  • 2f622ffe606172c544901f111e9e0e8b38f8eab794b54958418de146af987925
  • 051f15288d162db642ccb694cbd8dafeb71b89614ac711c350f992a7b2a9d7d7

Más información:

Let’s Learn: Diving Deeper into «Mozart» TLD Loader & DNS TLD Commands
https://www.vkremez.com/2020/02/lets-learn-diving-deeper-into-mozart.html

Acerca de Francisco Salido

Francisco Salido Ha escrito 140 publicaciones.

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.