Backdoor.Hawkball.A
Cartão de pontuação de ameaças
EnigmaSoft Threat Scorecard
Os EnigmaSoft Threat Scorecards são relatórios de avaliação para diferentes ameaças de malware que foram coletadas e analisadas por nossa equipe de pesquisa. Os Scorecards de Ameaças da EnigmaSoft avaliam e classificam as ameaças usando várias métricas, incluindo fatores de risco reais e potenciais, tendências, frequência, prevalência e persistência. Os Scorecards de Ameaças da EnigmaSoft são atualizados regularmente com base em nossos dados e métricas de pesquisa e são úteis para uma ampla gama de usuários de computador, desde usuários finais que buscam soluções para remover malware de seus sistemas até especialistas em segurança que analisam ameaças.
Os Scorecards de Ameaças da EnigmaSoft exibem uma variedade de informações úteis, incluindo:
Classificação: A classificação de uma ameaça específica no banco de dados de ameaças da EnigmaSoft.
Nível de gravidade: O nível de gravidade determinado de um objeto, representado numericamente, com base em nosso processo de modelagem de risco e pesquisa, conforme explicado em nossos Critérios de Avaliação de Ameaças .
Computadores infectados: O número de casos confirmados e suspeitos de uma determinada ameaça detectada em computadores infectados conforme relatado pelo SpyHunter.
Consulte também Critérios de Avaliação de Ameaças .
| Nível da Ameaça: | 60 % (Médio) |
| Computadores infectados: | 1 |
| Visto pela Primeira Vez: | June 16, 2019 |
| Visto pela Última Vez: | June 16, 2019 |
| SO (s) Afetados: | Windows |
Backdoor: Hawkball.A é um método usado para ignorar a criptografia ou autenticação de sistemas e produtos de computador. Esse backdoor pode ser usado no acesso a senhas, apagando dados em discos rígidos, bem como transferindo informações para uma nuvem.
O backdoor foi encontrado sob o nome de Hawkball, aparecendo nos países de língua russa e membros do governo localizados na Ásia Central.
A maneira como o backdoor funciona inclui a importação de malware para um sistema infectado. Feito isso, ele começa a coletar informações nos computadores vitimados. Para o backdoor funcionar e ser transportado, foi usado um arquivo malicioso que parecia vir de uma organização antiterrorista centrada em ex-repúblicas do bloco Oriental. O nome do texto traduzido é 'Coleta da composição orientadora de unidades de segurança antiterroristas e serviços especiais da CEI (Comunidade de Estados Independentes)'.
Abrir o arquivo malicioso inicia vários problemas e ações que transmitem a infecção. Isso acontece por meio de duas vulnerabilidades do Microsoft Office que foram corrigidas anteriormente - CVE-2017-11882 (encontrada no MS Office 2007 Service Pack 3, no MS Office 2010 Service Pack 2, no MS Office 2013 Service Pack 1 e no MS Office 2016). A outra vulnerabilidade é CVE-2018-0802, encontrada no MS Office 2007, 2010, 2013 e no editor de equações de 2016.
O Backdoor.Hawkball.A comunica-se com um servidor de comando e controle via HTTP, exportando informações do computador da vítima, como endereço IP, versão do sistema operacional, página OEM, nome de usuário, detalhes sobre a arquitetura e o nome do computador. Também pode executar técnicas para ver se um digitalização está em andamento.
O arquivo de isca em questão, doc.rtf (MD5: AC0EAC22CE12EAC9EE15CA03646ED70C), tem um objeto OLE usando o Equation Editor para descartar seu shell code incorporado no diretório% TEMP% usando o nome 8.t. O shell code é descriptografado na memória via EQENDT32.EXE.
Quando isso acontece, o shell code descriptografado é descartado como WLL (MD5: D90E45FBF11B5BBDCA945B24D155A4B2), um plug-in do Microsoft Word. É descartado em C:\Users\ADMINI~1\AppData\Roaming\Microsoft\Word\STARTUP.
Olhando para os detalhes técnicos
DllMain da carga útil decide se a seqüência WORD.EXE está dentro da linha de comando da amostra. Se a string não existir na amostra, o malware não executará o comando RunDll32.exe < C:\Users\ADMINI~1\AppData\Roaming\Microsoft\Word\STARTUP\hh14980443.wll, DllEntry> com Função WinExec().
DllEntry é a única função de exportação da carga útil em questão. O malware, em seguida, usa a pasta% TEMP% para criar um arquivo de log chamado c3E57B.tmp. O malware, em seguida, grava a hora local atual, bem como dois valores codificados que seguem este formato:
O arquivo de log é gravado a cada 15 segundos, com os dois últimos dígitos sendo codificados e passados como parâmetros para a função. O arquivo criptografado tem um arquivo de configuração de 0x78 bytes, com os dados sendo descriptografados com uma operação 0xD9 XOR, com os dados descriptografados contendo as informações de comando e controle e a cadeia de caracteres mutex usada quando o malware é iniciado.
% TEMP%/3E557B.tmp hospeda o endereço IP do arquivo de configuração com a hora local.
Criando o Mutex
O malware cria um mutex para impedir que várias instâncias dele sejam executadas. Antes do mutex ser nomeado, o malware decide se está sendo executado na função de um perfil do sistema. Para verificar se o malware está resolvendo a variável de ambiente% APPDATA%, ele verifica a string config/systemprofile. Se o malware estiver sendo executado como um perfil do sistema, a cadeia de caracteres d0c originada no arquivo de configuração descriptografado será usada na criação do mutex. Fora isso, então a string _cu termina anexada ao d0c e o mutex é então renomeado para d0c_cu. Depois que o mutex é criado, o malware grava uma entrada diferente no arquivo de log em% TEMP% usando os valores 32 e 0.
