El analista de malware Vitali Kremez, del equipo de @MalwareHunterTeam ha publicado sus hallazgos sobre una nueva familia de troyano que utiliza peticiones DNS para ocultar las comunicaciones con el servidor de control y comando.
La vía de propagación utilizada es mediante correos de «spear-phishing» en los que se adjunta un PDF malicioso que descarga y ejecuta el payload (https://masikini[.]com/CarlitoRegular%5B.%5Dzip).
El zip contiene un fichero JScript que es ejecutado utilizando el componente ActiveXObject WScript.Shell de la API de Windows.
Una vez ejecutado, el malware comprueba la existencia del archivo «mozart.txt» y si no existe lo crea con el contenido ‘1 2 3 4 5’. A continuación, se comunicará con el servidor de control utilizando peticiones DNS a un servidor configurado en el código de la muestra analizada: 93[.]188[.]155[.]2.
Estas consultas se realizan utilizando la función InetPtonW de la API de Windows. Se han obtenido hasta siete comandos diferentes que la máquina infectada utilizaba para comunicarse con el C&C y obtener nuevas órdenes o actualizaciones:
- .getid
- .gettasks
- .gettasksize
- .gettask
- .reporttask
- .reportupdates
- .getupdates
Las respuestas se obtienen codificadas en Base64 y son interpretadas por el malware utilizando un componente específico encargado de descifrar la información.
Para protegerse ante esta amenaza es posible bloquear las peticiones DNS al servidor 93[.]188[.]155[.]2, sin embargo pueden aparecer nuevas variantes que utilicen otros servidores, por lo que es importante tener una solución de seguridad que permita monitorizar el tráfico DNS en sus sistemas.
Algunos IoC:
Mozart DNS C&C:
- 93[.]188[.]155[.]2
Payload URL:
- masikini[.]com/CarlitoRegular[.]zip
PDF malicioso SHA-256:
- f1e32936482998483c076b4502542718d7de33a79cab9b51ddf3de9d4a415145
Cargador y parser de comandos:
- 2f622ffe606172c544901f111e9e0e8b38f8eab794b54958418de146af987925
- 051f15288d162db642ccb694cbd8dafeb71b89614ac711c350f992a7b2a9d7d7
Más información:
Let’s Learn: Diving Deeper into «Mozart» TLD Loader & DNS TLD Commands
https://www.vkremez.com/2020/02/lets-learn-diving-deeper-into-mozart.html
