Un grupo de investigadores de Symantec, han descubierto un ataque que es capaz de usar algunas funciones de Windows. Los atacantes pueden hacerse de estas utilidades para acceder al dispositivo de la víctima y robar toda su información.
De acuerdo con Symantec, el ataque en cuestión es similar al “Living off the land”, que consiste en hacer uso de los recursos del computador, ejecutar una serie de scripts y shells para infectar el equipo.
En este descubrimiento, los investigadores explican que el atacante aprovecha las vulnerabilidades del WMIC de Windows (windowsmanagement instrumentation command-line). Se trata de un herramienta de administración de Windows, donde mendiante líneas de comandos, ejecuta tareas administrativas como consultar la configuración del sistema, control de procesos y ejecución de scripts a nivel local y remoto, lo que lo hace aun mas accesible a los hackers.
Recientemente, observamos creadores de malware utilizando una combinación de una herramienta que se encuentra en todas las computadoras con Windows y un tipo de archivo generalmente inofensivo asociado con la modificación y la representación de documentos XML. Aunque estas dos cosas-la utilidad de línea de comandos de instrumentación de administración de Windows (WMIC) y un archivo eXtensible Stylesheet Language (XSL) normalmente no levantan sospechas si se encuentran en una computadora, en este caso se usan como parte de una infección de varias etapas cadena que ofrece una amenaza modular de robo de información.
Si bien, muchos atacantes usan WMIC para la propagación de sus fechorías, en este caso los ciberdelincuentes acceden a esta para descargas de archivos maliciosos. El uso de esta herramienta y otros procesos de Windows, hacen que los atacantes actúen sin ser detectados.
Al centrarse más en el software local y menos en introducir el malware en los sistemas destino, los maleantes pueden permanecer sin ser detectados durante más tiempo y minimizar el riesgo de quedar expuestos.
¿Cómo funciona este ataque?
De acuerdo con la fuente, la cadena de ataques comienza mediante una campaña de pishing, donde se envía un acceso directo (.ink) como una url o un archivo adjunto vía email.
Si la víctima hace clic en el enlace malicioso, el archivo de acceso directo, que contiene un comando WMIC, descarga un archivo XSL malicioso de un servidor remoto. Dando paso a la siguiente etapa del ataque.
El archivo XSL contiene código JavaScript ejecuta mshta.exe, otro proceso legítimo de Windows utilizado para ejecutar el host de aplicaciones HTML de Microsoft.
Dicho código contiene una lista de 52 dominios, a cada uno de los cuales se les asigna un número del 1-52. El JavaScript contiene una función random (radador), usada para generar al azar un dominio y número de puerto para descargar archivos HTML Application (HTA) y tres DLL, que luego se registran en regsvr32.exe, así como la carga principal.
Luego, se descargan módulos adicionales, que comprometen la PC de la víctima. Puesto que los módulos pueden robar información del equipo, así como una carga útil MailPassview para la captura de contraseñas de correo electrónico; El software WebBrowser Passview para recolectar credenciales del navegador web, un keylogger (registrador de teclas), un backdoor para la persistencia y un buscador para ver y exfiltrar archivos.
Si bien, se trata de un ataque poderoso, tomando en cuenta que es casi imperceptible, los desarrolladores de Symantec aseguran que: “las tácticas utilizadas en este caso particular fueron bloqueadas con éxito por nuestra protección basada en archivos, comportamientos y redes, incluida la tecnología avanzada de aprendizaje automático de Symantec.”
