• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / «Vicious Panda»: una campaña de malware que utiliza el Coronavirus como vector de infección

«Vicious Panda»: una campaña de malware que utiliza el Coronavirus como vector de infección

12 marzo, 2020 Por Fernando Ramírez Deja un comentario

Como cada vez que existe una noticia de interés mundial, esta es usada por los ciberdelincuentes como cebo para inducir a sus víctimas a clickar en los enlaces que sirven como vectores de infección del malware. En este caso, como ya podéis deducir, el cebo ha sido Coronavirus.

El equipo de investigación de Check Point hizo público el hallazgo y lo ha bautizado como «Vicious Panda» y está especialmente dirigido al sector público Mongol. El grupo al que se le ha vinculado el ataque, según indicaciones de Check Point parece tratarse de un grupo chino relacionado con ataques a países como Ucrania, Rusia y Bielorrusia desde 2016.

La investigación comenzó con el análisis de dos ficheros RTF (Rich Text Format), un formato de archivo de texto utilizado por productos de Microsoft. Una vez la víctima abre el documento de texto se ejecuta un troyano de acceso remoto (RAT) personalizado y no visto antes que hace capturas de pantalla del dispositivo, accede al árbol de directorios y permite la descarga de ficheros, entre otros.

Los ficheros RTF fueron creados con la herramienta RoyalRoad, vinculado su uso a grupos chinos, que está diseñada para incluir los payloads que causan la infección dentro de ficheros RTF. Las vulnerabilidades que se nutren de este fallo no son conocidas y están relacionadas con el editor de ecuaciones del software Microsoft Word.

Una vez se abre el fichero RTF y la vulnerabilidad es explotada con éxito, se introduce el fichero ‘intel.wll’ en la carpeta de inicio de Microsoft Word ‘% APPDATA% \ Microsoft \ Word \ STARTUP’, permitiendo no solo la persistencia del malware sino también el reintento del proceso completo de infección en caso de que se cortase.

El archivo, ‘intel.wll’, descarga un archivo DLL, que actúa como descargador del malware, y que también se comunica con el servidor de comando y control (C&C) de los atacantes.

Como ocurre con otros malware el servidor C&C no responde 24×7 sino que tiene una ventana de tiempo en la que acepta peticiones. Este tipo de medidas son introducidas por los atacantes para dificultar el análisis.

Por último, y después de recibir la orden correcta el servidor de control, descarga el malware y descifra el módulo RAT que es cargado en memoria, tratándose también en este caso de una DLL.

Más información:

https://research.checkpoint.com/2020/vicious-panda-the-covid-campaign

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Spring Boot & Angular

Arduino para Hackers

Hacking con Metasploit

Publicado en: General, Malware

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes
  • NSO Group confirma que el software espía Pegasus ha sido utilizado por al menos 5 países europeos
  • La estafa del “Servicio de Verificación DHL”

Entradas recientes

  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes
  • NSO Group confirma que el software espía Pegasus ha sido utilizado por al menos 5 países europeos
  • El Bridge Horizon de Harmony Protocol, sufre un robo de 100 Millones de dólares
  • Microsoft Defender de Windows ya está disponible para Android e iOS
  • DFSCoerce : NTLM Relay en MS-DFSNM
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes
  • NSO Group confirma que el software espía Pegasus ha sido utilizado por al menos 5 países europeos
  • El Bridge Horizon de Harmony Protocol, sufre un robo de 100 Millones de dólares

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...