Los ataques que involucran malware por lo general están relacionados con un archivo malicioso que se aprovecha de las fallas, modifica archivos o instalá otros, con la finalidad de realizar operaciones en el dispositivo afectado sin el consentimiento del usuario. Pero, también existen ataques que logran dicha finalidad sin necesidad de inyectar carga útil maliciosa (payload), estos son conocidos como ataques sin archivos (fileless), los cuales son difíciles de detectar, debido a que utilizan los mismos archivos, herramientas o procesos del sistema para realizar actividades maliciosas.
Un grupo de investigadores ha detectado una nueva técnica de ataque fileless, que abusa del servicio de Microsoft Windows Error Reporting (WER - servicio utilizado para reportar errores) y bautizaron como “Kraken”. Según los expertos el servicio de reporte “WerFault.exe”, es usualmente invocado cuando ocurre un error relacionado con el sistema operativo, funciones de Windows, o aplicaciones.
Los investigadores en su reporte informaron que los actores maliciosos detrás de Kraken, emplearon técnicas de evasión de detección y análisis, incluyendo la ofuscación de código, como la comprobación de entornos virtuales (sandbox) o de depuración.
El vector de ataque inicial es mediante un at aque Phishing, con un archivo adjunto .ZIP, el archivo .ZIP posee un nombre como “Compensation manual.doc”, el cual dice contener información relacionada a derechos de compensación para el empleado. En el momento que el documento es abierto, es disparado un macro que utiliza una versión personalizada del módulo CactusTorch VBA para realizar el ataque fileless. Por lo general CactusTorch VBA especifica el proceso objetivo a inyectar el payload dentro de la macro, pero los atacantes detrás de esta campaña modificaron la macro y especificaron el proceso objetivo dentro del payload en un .Net, siendo un DLL interno .Net llamado “Kraken.dll”.
Supuesto manual de compensación - Malwarebytes
Este DLL actúa como un cargador que inyecta un código shell (shellcode) incrustado dentro del ejecutable “WerFault.exe”. Según los expertos, el cargador tiene dos principales clases llamadas “Kraken” y “Loader”.
El último shellcode en la cadena de ataque está compuesto por un conjunto de instrucciones que realizan una petición HTTP hacia un dominio codificado para descargar un payload malicioso e inyectarlo en un proceso. Los investigadores intentaron analizar la URL codificada para poder atribuir esta reciente técnica a un actor malicioso en específico, pero era inaccesible. Aunque lograron encontrar algunos enlaces con APT32, un grupo de ciber-espionaje Vietnamita.
Indicadores de Compromiso (IoCs)
Documento señuelo:
31368f805417eb7c7c905d0ed729eb1bb0fea33f6e358f7a11988a0d2366e942
Archivo que contiene el documento señuelo:
d68f21564567926288b49812f1a89b8cd9ed0a3dbf9f670dbe65713d890ad1f4
Imagen plantilla del documento:
yourrighttocompensation[.]com/ping
URLs de descarga Archivo:
yourrighttocompensation[.]com/?rid=UNfxeHM
yourrighttocompensation[.]com/download/?key=15a50bfe99cfe29da475bac45fd16c50c60c85bff6b06e530cc91db5c710ac30&id=0
yourrighttocompensation[.]com/?rid=n6XThxD
yourrighttocompensation[.]com/?rid=AuCllLU
URL de descarga ultimo Payload:
asia-kotoba[.]net/favicon32[.]ico
Fuente:
COMENTARIOS