SVCReady

Els ciberdelinqüents estan utilitzant un carregador de programari maliciós desconegut que es lliura mitjançant atacs de pesca. Els detalls sobre l'amenaça i les seves campanyes d'atac associades es van revelar al públic en un informe d'HP. Segons les conclusions dels investigadors, l'amenaça rastrejada com a SCVReady utilitza una tècnica inusual quan es carrega al dispositiu de la víctima. Cal tenir en compte que, tot i que l'amenaça no es pot atribuir de manera concloent a un grup APT específic, hi ha certs vincles entre la campanya d'atac i les operacions d'amenaça anteriors realitzades pel grup TA551 (Shatack).

SVCReady es distribueix dins de fitxers de Word enverinats adjunts per atraure correus electrònics. Els fitxers danyats encara utilitzen macros VBA per executar el codi shell, que al seu torn ofereix la càrrega útil des d'una ubicació remota. Tanmateix, en el cas de SVCReady, les macros de VBA i el codi d'intèrpret d'ordres es divideixen, i els atacants amaguen el codi d'intèrpret compromès dins de les propietats del fitxer. Un cop l'amenaça s'hagi desplegat al sistema, primer realitzarà la recopilació d'informació inicial mitjançant consultes de registre i trucades a l'API de Windows. Aleshores, les dades adquirides es transmetran a un servidor de comandament i control (C2, C&C). La comunicació entre les versions posteriors de l'amenaça i el seu servidor C2 està xifrada RC4.

El carregador també intentarà comprovar si s'està executant dins d'un entorn virtualitzat fent dues consultes WMI. Depenent dels resultats, SVCReady podria entrar en un son de 30 minuts. Pel que fa al seu mecanisme de persistència, l'amenaça crearà una tasca programada i una nova clau de registre al sistema trencat. Tanmateix, la implementació d'aquesta funció actualment és defectuosa i provoca errors que impedeixen que el programari maliciós s'iniciï després d'un reinici. Aquesta funcionalitat es podria arreglar en una de les properes versions, ja que els investigadors d'HP assenyalen que SVCReady encara està en desenvolupament actiu. Els actors de l'amenaça poden indicar al programari maliciós que faci captures de pantalla arbitràries, executi ordres d'intèrpret d'ordres, executi un fitxer escollit o recuperi càrregues útils amenaçadores addicionals.

Tendència

Més vist

Carregant...