Los investigadores de seguridad han descubierto dos campañas de malware separadas, una de las cuales distribuye el troyano de robo de datos Ursnif y el ransomware GandCrab en la naturaleza, mientras que la segunda solo infecta a las víctimas con malware Ursnif.
Aunque ambas campañas de malware parecen ser un trabajo de dos grupos ciberdelincuentes separados, encontramos muchas similitudes en ellos. Ambos ataques comienzan con correos electrónicos de suplantación de identidad (phishing) que contienen un documento adjunto de Microsoft Word incrustado con macros maliciosas y luego usan Powershell para entregar malware sin archivos.
Ursnif es un malware de robo de datos que generalmente roba información confidencial de computadoras comprometidas con la capacidad de recopilar credenciales bancarias, actividades de navegación, recopilación de pulsaciones de teclas, información de sistemas y procesos, e implementación de puertas traseras adicionales. Descubierto a principios del año pasado, GandCrab es una amenaza generalizada de ransomware que, como cualquier otro ransomware en el mercado, cifra los archivos en un sistema infectado e insiste a las víctimas a pagar un rescate en moneda digital para desbloquearlos. Sus desarrolladores solicitan pagos principalmente en DASH, que es más complejo de rastrear.
MS Docs + macros VBS = Infección Ursnif y GandCrab
La primera campaña de malware que distribuye dos amenazas de malware fue descubierta por investigadores de seguridad en Carbon Black que localizaron aproximadamente 180 variantes de documentos de MS Word en la naturaleza que se dirigen a usuarios con macros VBS maliciosos.
Si se ejecuta con éxito, la macro VBS maliciosa ejecuta un script de PowerShell, que luego utiliza una serie de técnicas para descargar y ejecutar tanto Ursnif como GandCrab en los sistemas seleccionados.
El script de PowerShell está codificado en base64 que ejecuta la siguiente etapa de la infección, que es responsable de descargar las principales cargas de malware para comprometer el sistema.
La primera carga útil es una línea de PowerShell que evalúa la arquitectura del sistema objetivo y, en consecuencia, descarga una carga adicional desde el sitio web de Pastebin, que se ejecuta en la memoria, lo que dificulta que las técnicas antivirus tradicionales detecten sus actividades.
«Este script de PowerShell es una versión del módulo Empire Invoke-PSInject, con muy pocas modificaciones», dijeron los investigadores de Carbon Black. «El script tomará un archivo PE [ejecutable portátil] incrustado que ha sido codificado en base64 y lo inyectará en el proceso actual de PowerShell».
La carga útil final luego instala una variante del ransomware GandCrab en el sistema de la víctima, bloqueándolos fuera de su sistema hasta que paguen un rescate en moneda de dígitos.
Mientras tanto, el malware también descarga un ejecutable de Ursnif desde un servidor remoto y, una vez ejecutado, tomará las huellas dactilares del sistema, supervisará el tráfico del navegador web para recopilar datos y luego los enviará al servidor de comando y control (C&C) de los atacantes.
«Sin embargo, numerosas variantes de Ursnif se alojaron en el sitio de bevendbrec [.] Com durante esta campaña. Carbon Black pudo descubrir aproximadamente 120 variantes diferentes de Ursnif que se alojaban desde los dominios iscondisth [.] Com y bevendbrec [.] Com, «dijeron los investigadores.
MS Docs + macros VBS = Malware
Ursnif de robo de datos
Del mismo modo, la segunda campaña de malware detectada por los investigadores de seguridad de Cisco Talos aprovecha un documento de Microsoft Word que contiene una macro VBA maliciosa para ofrecer otra variante del mismo malware Ursnif.
Este ataque de malware también compromete los sistemas específicos en múltiples etapas, desde correos electrónicos de suplantación de identidad hasta ejecutar comandos maliciosos de PowerShell para obtener una persistencia sin archivos y luego descargar e instalar el virus de computadora Ursnif con robo de datos.
«El comando [PowerShell] tiene tres partes. La primera parte crea una función que luego se usa para decodificar PowerShell codificada en base64. La segunda parte crea una matriz de bytes que contiene una DLL maliciosa», explicaron los investigadores de Talos.»La tercera parte ejecuta la función de decodificación base64 creada en la primera parte, con una cadena codificada en base64 como el parámetro de la función. El PowerShell descodificado devuelto se ejecuta posteriormente mediante la función abreviada Invoke-Expression (iex)».
Una vez ejecutado en la computadora víctima, el malware recopila información del sistema, la coloca en un formato de archivo CAB y luego la envía a su servidor de comando y control a través de una conexión segura HTTPS.
Los investigadores de Talos han publicado una lista de indicadores de compromiso (IOC, por sus siglas en inglés), junto con los nombres de los nombres de archivos de carga en las máquinas comprometidas, en su publicación de blog que puede ayudarlo a detectar y detener el malware Ursnif antes de que infecte su red.
_____________________________________________________________
Tomado de: thehackernews.com
Se Respetan Derechos de Autor.
_________________________________________________________
También Le Puede Interesar:
NUESTRAS APLICACIONES ANDROID (PLAY STORE) DISPONIBLES PARA TU SMARPHONE O TABLET.
° Seguridad Informatica Actual. La Aplicación Android de Nuestro Sitio WEB!
