H1N1 Loader

Descrição do H1N1 Loader

O malware H1N1 foi detectado pela primeira vez em liberdade como um carregador simples - ele tinha a tarefa de entregar outras ameaças de malware mais complexas ao computador já comprometido. No entanto, ele passou por uma evolução rápida, com os hackers por trás dele equipando a ameaça com várias funções ameaçadoras, como técnicas de ofuscação para impedir qualquer tentativa de análise, função de bypass do Controle de Conta de Usuário, coleta de dados e autopropagação na rede infiltrada. Claro, as funções do carregador ainda foram mantidas intactas.

O H1N1 foi entregue ao sistema de destino por meio de documentos do MS Word que contêm macros VBA corrompidas. Para ocultar o verdadeiro propósito da macro, ofuscação pesada, o uso das funções de string StrReverse, Ucase, Lcase, Right, Mid e Left é colocado em prática. Os documentos envenenados usam táticas de engenharia social para convencer o usuário a executar a macro corrompida, mostrando um bloco embaralhado acompanhado da mensagem - 'Habilite o conteúdo para ajustar este documento à sua versão do Microsoft Word.' O objetivo final da macro é eliminar um arquivo executável H1N1 para% temp% e, em seguida, executá-lo.

O próprio H1N1 emprega duas técnicas de anti-detecção e análise - ofuscação de string e ofuscação de importação por meio de hashing de importação. A ofuscação de string é obtida por meio do uso de SUB, XOR e ADD com valores DWORD fixos. Quando cada operação é resolvida, ela é usada como entrada para a próxima.

Para contornar o Controle de Conta de Usuário (UAC) dos sistemas Windows, o H1N1 explorou uma vulnerabilidade de sequestro de DLL. Ele forçou o instalador autônomo do Windows Update (wusa.exe) a executar um arquivo DLL corrompido como um processo de alta integridade sem obter uma resposta do UAC. Outra ferramenta anexada ao H1N1 foi uma função de eliminação de processo. A ameaça tem uma lista interna de processos e, se uma correspondência for detectada no sistema comprometido, ela será eliminada por meio do comando 'cmd.exe/c net stop [Nome do serviço] '. O processo também é impedido de ser iniciado em qualquer inicialização do sistema subsequente por meio de 'cmd.exe/c sc config[Nome do serviço] start=disabled.' A lista do H1N1 consistia em 5 processos, sendo quatro deles:

  • MpsSvc - Serviço de Firewall do Windows
  • wscsvc - Windows Security Center Service
  • WinDefend - Serviço Windows Defender
  • wuauserv - Serviço de atualização do Windows.

Um aspecto bastante peculiar do H1N1 era sua capacidade de excluir backups do sistema. Essa funcionalidade é comumente usada por ameaças de ransomware, mas raramente é evocada em outros tipos de malware. Nesse caso, as Cópias de Volume de Sombra dos arquivos são excluídas por meio de 'vssadmin.exe delete shadow/quiet/all', enquanto as opções de recuperação padrão do Windows foram desabilitadas executando comandos bcdedit.

A mudança mais drástica de comportamento, entretanto, foi a transição do H1N1 de um malware de carregamento para se tornar uma ameaça potente de exfiltração de dados principalmente. O carregador H1N1 pode extrair dados de informações de login do Firefox. Ele procurou o arquivo de dados de login 'logins.json' em todos os perfis do sistema e exfiltrou os valores que correspondiam às chaves 'encryptionUsername,' 'encryptionPassword' e 'hostname'. Para obter acesso às credenciais de login do Internet Explorer, a ameaça primeiro enumerou o cache de URL, fez o hash dos URLs e tentou combiná-los com os valores armazenados em - HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook and HKLM\Software\Microsoft\Office\15.0\Outlook\Profiles\Outlook.

O H1N1 Loader é um exemplo perfeito de como, por meio da iteração e do desenvolvimento constante, mesmo ameaças não tão sofisticadas podem se tornar partes potentes dos kits de ferramentas dos cibercriminosos.

Deixar uma Resposta

Por favor NÃO utilize este sistema de comentários para perguntas sobre pagamentos e suporte. Para solicitações de suporte técnico do SpyHunter, entre em contato diretamente com a nossa equipe de suporte técnico, abrindo um ticket de suporte ao cliente através do seu SpyHunter. Para problemas com pagamento, por favor acesse a página "Problemas ou Perguntas referentes ao Pagamento". Para solicitações genéricas (reclamaçōes, questōes legais, imprensa, marketing, direitos autorais) visite a nossa página "Perguntas e Comentários"n"