Un nuevo cargador de malware en aumento.
Hp Threat Research ha publicado un nuevo informe que detalla un nuevo cargador. Los investigadores han estado observando nuevas campañas de spam malicioso desde finales de abril. 2022, distribuir un malware previamente desconocido, llamado SVCReady. El cargador se distribuye de forma poco común – a través de shellcode oculto en las propiedades de los documentos de Microsoft Office. De lo que ha descubierto el equipo de investigación de amenazas, parece que el malware todavía está en desarrollo, con varias actualizaciones hechas en mayo.
Una mirada al cargador de malware SVCReady
En la campaña analizada, los atacantes enviaron archivos adjuntos .doc por correo electrónico. Estos documentos contienen Visual Basic para Aplicaciones (VBA) Se necesitan macros de apertura automática para ejecutar código malicioso. Sin embargo, los documentos no usan PowerShell o MSHTA para descargar más cargas útiles de la web. En vez de eso, la macro de VBA ejecuta el shellcode almacenado en las propiedades del documento, que luego cae y ejecuta el malware SVCReady, el informe señaló.
En cuanto al malware en sí, es capaz de recopilar información del sistema, como nombre de usuario, nombre de la computadora, huso horario, y si la máquina está unida a un dominio. También hace consultas al Registro, específicamente el HKEY_LOCAL_MACHINEHARDWAREDESCRIPCIÓNSistema clave, para los detalles sobre el fabricante de la computadora, BIOS y firmware. Otros detalles que recopila SVCReady incluyen listas de procesos en ejecución y software instalado. La recopilación de información se realiza a través de llamadas a la API de Windows en lugar del buscador de instrumentación de administración de Windows.. Todos los detalles recopilados se formatean como JSON y se envían a el servidor C2 a través de una solicitud HTTP POST.
La comunicación con el servidor de comando y control se realiza a través de HTTP, pero los datos en sí están encriptados a través del cifrado RC4. También es digno de mención que el malware intenta lograr la persistencia:
Después de filtrar información sobre la PC infectada, el malware intenta lograr la persistencia en el sistema. Los autores del malware probablemente tenían la intención de copiar la DLL del malware en el directorio de Roaming., dándole un nombre único basado en un UUID recién generado. Pero parece que no implementaron esto correctamente porque rundll32.exe se copia en el directorio de itinerancia en lugar de en la DLL de SVCReady..
También se entregó un malware de seguimiento
Otro malware se distribuye como una carga útil de seguimiento después de la infección inicial. – el ladrón de líneas rojas. “En ese momento el formato de comunicación C2 no estaba encriptado. Puede ser que esta campaña haya sido una prueba por parte de los operadores de SVCReady. En el momento de escribir, aún no hemos recibido más cargas útiles de malware desde entonces,”Concluyó el informe.
Otros ejemplos de cargadores de malware descubiertos recientemente incluyen ChromeLoader y Abejorro.