Una campaña de spam fue
descubierta por investigadores donde se ejecuta como backdoor FELIXROOT,
que es un malware encargado de realizar trabajos de ciberespionaje.
Los corres no deseados operaban
con archivos que contenían información acerca de un seminario que trataba sobre
esfuerzos de protección ambiental.
Donde los archivos contenían
códigos para explotar vulnerabilidades de Microsoft Office como lo son los
CVE-2017-0199 y CVE-2017-11882 para descartar y ejecutar el binario de backdoor.
Según la información que se
hizo pública, se informó que los documentos que se usaron como anzuela para
engañar a los usuarios fueron escritos en ruso, donde la falla CVE-2017-0199
descarga una carga útil de segunda etapa para activar la vulnerabilidad
CVE-2017-11882 que se encarga de ejecutar el backdoor final.
Al realizarse una explotación
exitosa, el componente de cargador se ejecuta a través de RUNDLL32.EXE, y el
componente backdoor se carga en la memoria.
La vulnerabilidad
CVE-2017-0199 podrían permitir a los ciberdelincuentes descargar y ejecutar un
script de Visual Basic que contiene comandos de PowerShell al momento de la
víctima abrir el archivo malicioso.
Mientras que la vulnerabilidad
CVE-2017-11882 permite la ejecución de un código remoto para la explotación
arbitraria en el contexto de usuario.
Esta falla también involucra
la huella dactilar objetivo a través de Windows Management Instrumentation
(WMI), el registro de Windows, la ejecución remota de shell y la exfiltración
de datos.
EL backdoor FELIXROOT se
comunica con un servidor de comando y control mediante los protocoles HTTP y
HTTPS POST. Mientras el tráfico C2 se cifra con AES convirtiéndose en Base64.
Cuando los datos se envían a
través de la red, estos se cifran y establecen una estructura personalizada.
FELIXROOT tiene un comando que
le permiten ejecutar tareas específicas, cuando ya todas las tareas se
ejecutan, el código malicioso rompe el ciclo, devolviendo al búfer la
terminación y eliminando todas las huellas del equipo objetivo, aplicando el
siguiente proceso:
1.Elimina el archivo LNK del
directorio de inicio.
2.Elimina la clave de registro
HKCU \ Software \ Classes \ Applications \ rundll32.exe \ shell \ open
3.Elimina los componentes del
cuentagotas del sistema.
Durante la investigación
determinaron que esta falla de backdoor es una amenaza bastante crítica.
Fuente: Security
Affairs