Nueva técnica de ataque fileless abusa del servicio Windows Error Reporting (WER)

Los ataques que involucran malware por lo general están relacionados con un archivo malicioso que se aprovecha de las fallas, modifica archivos o instalá otros, con la finalidad de realizar operaciones en el dispositivo afectado sin el consentimiento del usuario. Pero, también existen ataques que logran dicha finalidad sin necesidad de inyectar carga útil maliciosa (payload), estos son conocidos como ataques sin archivos (fileless), los cuales son difíciles de detectar, debido a que utilizan los mismos archivos, herramientas o procesos del sistema para realizar actividades maliciosas.

Un grupo de investigadores ha detectado una nueva técnica de ataque fileless, que abusa del servicio de Microsoft Windows Error Reporting (WER - servicio utilizado para reportar errores) y bautizaron como “Kraken”. Según los expertos el servicio de reporte “WerFault.exe”, es usualmente invocado cuando ocurre un error relacionado con el sistema operativo, funciones de Windows, o aplicaciones.

Los investigadores en su reporte informaron que los actores maliciosos detrás de Kraken, emplearon técnicas de evasión de detección y análisis, incluyendo la ofuscación de código, como la comprobación de entornos virtuales (sandbox) o de depuración.

El vector de ataque inicial es mediante un at aque Phishing, con un archivo adjunto .ZIP, el archivo .ZIP posee un nombre como “Compensation manual.doc”, el cual dice contener información relacionada a derechos de compensación para el empleado. En el momento que el documento es abierto, es disparado un macro que utiliza una versión personalizada del módulo CactusTorch VBA para realizar el ataque fileless. Por lo general CactusTorch VBA especifica el proceso objetivo a inyectar el payload dentro de la macro, pero los atacantes detrás de esta campaña modificaron la macro y especificaron el proceso objetivo dentro del payload en un .Net, siendo un DLL interno .Net llamado “Kraken.dll”.

Supuesto manual de compensación - Malwarebytes


Este DLL actúa como un cargador que inyecta un código shell (shellcode) incrustado dentro del ejecutable “WerFault.exe”. Según los expertos, el cargador tiene dos principales clases llamadas “Kraken” y “Loader”.

El último shellcode en la cadena de ataque está compuesto por un conjunto de instrucciones que realizan una petición HTTP hacia un dominio codificado para descargar un payload malicioso e inyectarlo en un proceso. Los investigadores intentaron analizar la URL codificada para poder atribuir esta reciente técnica a un actor malicioso en específico, pero era inaccesible. Aunque lograron encontrar algunos enlaces con APT32, un grupo de ciber-espionaje Vietnamita.



Indicadores de Compromiso (IoCs)

Documento señuelo:
31368f805417eb7c7c905d0ed729eb1bb0fea33f6e358f7a11988a0d2366e942

Archivo que contiene el documento señuelo:
d68f21564567926288b49812f1a89b8cd9ed0a3dbf9f670dbe65713d890ad1f4

Imagen plantilla del documento:
yourrighttocompensation[.]com/ping

URLs de descarga Archivo:
yourrighttocompensation[.]com/?rid=UNfxeHM
yourrighttocompensation[.]com/download/?key=15a50bfe99cfe29da475bac45fd16c50c60c85bff6b06e530cc91db5c710ac30&id=0
yourrighttocompensation[.]com/?rid=n6XThxD
yourrighttocompensation[.]com/?rid=AuCllLU

URL de descarga ultimo Payload:
asia-kotoba[.]net/favicon32[.]ico



Fuente:

COMENTARIOS

Nombre

Actualización,3,Actualizaciones,4,Adobe,2,Adware,3,AgentTesla,1,android,31,Antivirus,3,Apache,1,APP,1,Apple,16,Apps,13,APT,2,Arkavia Networks,15,asus,1,Ataques,7,Azure,2,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,6,BCE,1,Bluetooth,1,bootHole,1,Botnet,6,Botnet. Malware,1,Check Point,3,Chile,1,Chips,1,Chrome,3,Ciberataque,5,Cibercrimen,139,Cibercriminales,1,Ciberdelincuencia,13,ciberseguridad,150,Cisco,3,Citrix,5,Cloud,2,CMS,1,ComRAT,1,Comunicaciones,1,Consejos,2,CONVID,1,CookieThief,1,Coronavirus,1,COVID19,2,CPU,3,Criptomonedas,7,CSP,1,CTF,1,cyber day,2,Cyberwarfare,5,Dark Web,2,Data Breach,3,Data Leak,11,Database,2,Datos,2,DDoS,5,Debate,1,Deep Web,5,dlink,1,DNS,1,Domains,1,DoS,2,Ecommerce,3,elasticsearch,1,Email,3,Emotet,2,Empresas,114,enrutadores,1,Estadisticas,1,evento,1,Eventos,6,Evilnum,1,Exchange,3,exploit,8,Exploits,11,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,2,Fileless,1,Fintech,1,Firewall,1,Firmware,2,Flash,1,Framework,1,Freta,1,GARMIN,2,Glueball,1,Gmail,3,GoDaddy,1,google,34,GPS,2,GRUB2,1,Hacking,83,Hardware,7,Hosting,3,HTML5,1,HTTP,1,IBM,1,IGMP,1,Industria,10,Infostealer,2,Instagram,2,Intel,2,Internacional,40,Internet,34,Investigacion,9,IOC,2,ios,5,IoT,4,ipad,1,iphone,1,ISO,1,Joomla,1,LATAM,1,Latinoamerica,1,LG,1,Linux,9,LoLbins,1,LSASS,1,Macromedia,1,Malware,46,Malwares,32,Maze,2,Messenger,1,MFA,1,Microsoft,38,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,Nacional,10,NAS,2,Negocios,2,Netgear,1,Netwalker,1,Node.js,1,Openwrt,1,Oracle,2,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,17,Plugins,1,PoC,2,Protocolos,12,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,20,RAT,2,RCE,2,RDoS,1,RDP,3,Recomendaciones,17,Redes,30,redes sociales,12,Redhat,1,Remoto,1,REvil,1,Rookit,1,Rootkit,1,Routers,3,RRSS,2,Ryuk,1,Salt,1,Salud,2,SeguridadTI,3,Servicios,7,Smartphones,29,SMB,5,Sodinokibi,1,Software,23,SonicOS,1,Sonicwall,1,Sophos,1,Spambot,1,Spamhaus,1,Spyware,11,SQL,1,SSL,1,Teams,1,TeamViewer,1,Tplink,1,Trickbot,1,Trojan,2,Troyano,3,Update,6,updates,22,USB,1,Videoconferencia,1,VNC,1,VPN,4,Vulnerabilidad,37,Vulnerabilidades,76,Web,8,WER,1,WhatsApp,5,wifi,5,Windows,21,Wordpress,4,Xerox,1,XG,1,Yahoo,1,zeroday,3,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: Nueva técnica de ataque fileless abusa del servicio Windows Error Reporting (WER)
Nueva técnica de ataque fileless abusa del servicio Windows Error Reporting (WER)
https://1.bp.blogspot.com/-LWPg-L1bB5U/X381IHRkKpI/AAAAAAAACTo/HZVU_-1Ex_ELTL052jFffsc5gUMOClP6wCLcBGAsYHQ/w640-h320/Fileless%2BWindows%2BError%2BReporting.jpg
https://1.bp.blogspot.com/-LWPg-L1bB5U/X381IHRkKpI/AAAAAAAACTo/HZVU_-1Ex_ELTL052jFffsc5gUMOClP6wCLcBGAsYHQ/s72-w640-c-h320/Fileless%2BWindows%2BError%2BReporting.jpg
Arkavia Networks News
https://www.arkalabs.cl/2020/10/nueva-tecnica-de-ataque-fileless-abusa.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2020/10/nueva-tecnica-de-ataque-fileless-abusa.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy