Una nueva pieza de, lo que parece ser, altamente malware dirigido ha sido descubierta por investigadores de Alien Vault. La nueva cepa de malware, apodado GzipDe y que más se utiliza en las campañas de ciberespionaje, utiliza un artículo sobre la próxima Cumbre de Cooperación de Shanghai Organización.
Más información sobre la Operación de malware GzipDe
Hace aproximadamente una semana, los investigadores detectaron un nuevo documento maliciosos que atacan a esta área. Al parecer,, el documento ha incluido un texto tomado del informe como un señuelo.
Alien Vault descubrió un documento de Word-bomba en VirusTotal que fue publicado por un usuario de Afganistán. Esta es la forma en que desenterraron el malware.
El documento-bomba mencionada anteriormente (.archivo doc) es el primer paso de una infección de múltiples etapas en el que se implementan varios servidores y artefactos. La etapa final de la operación maliciosa parece ser la instalación de una puerta trasera Metasploit. Sin embargo, esto no es tan interesante como el programa de descarga .NET, que utiliza un método de cifrado de encargo para ofuscar memoria de proceso y evitar la detección antivirus.
El documento malicioso engañado a los usuarios para habilitar macros, Una vez activado el que se ejecuta un script de Visual Basic. A continuación, el guión corrió un cierto código de PowerShell, que posteriormente se descarga un archivo ejecutable PE32. El proceso finalizó con el malware real - GZipDe - los investigadores reportado.
GZipDe parece estar codificada en .NET, y que está diseñado para utilizar “un método de cifrado de encargo a ofuscar memoria de proceso y evadir la detección antivirus.” Puesto que el propósito inicial de GzipDe es actuar como un descargador, esto significa que el malware se descarga una pieza más peligroso desde un servidor remoto. Sin embargo, durante la investigación de los investigadores, el servidor remoto había terminado que normalmente terminaría el análisis. Sin embargo, Resultó que Shodan, el motor de búsqueda IO, indexados al servidor e incluso registró permiten cumplir una carga útil de Metasploit.
El servidor, 175.194.42[.]8, ofrece una carga útil Metasploit. Contiene shellcode a la detección sistema de bypass (ya que parece tener una cabecera válida DOS) y una carga útil Meterpreter – una puerta trasera capaz. Por ejemplo, puede recopilar información del sistema y contactar con el servidor de comando y control para recibir más órdenes.
Adicionalmente, la shellcode carga toda la DLL en la memoria, lo que le permitió funcionar aunque no se escribe información en el disco. Esta operación se conoce como inyección reflectante DLL. Desde este punto, el atacante puede transmitir cualquier otra carga útil con el fin de adquirir privilegios elevados y moverse dentro de la red local, los investigadores llegaron a la conclusión.