Vicious Panda: campaña de malware que utiliza el Coronavirus como vector de infección

Como cada vez que existe una noticia de interés mundial, esta es usada por los ciberdelincuentes como cebo para inducir a sus víctimas a hacer clic en los enlaces que sirven como vectores de infección del malware. En este caso, como ya podéis deducir, el cebo ha sido Coronavirus.

El equipo de investigación de Check Point hizo público el hallazgo y lo ha bautizado como "Vicious Panda" y está especialmente dirigido al sector público Mongol. El grupo al que se le ha vinculado el ataque, según indicaciones de Check Point parece tratarse de un grupo chino relacionado con ataques a países como Ucrania, Rusia y Bielorrusia desde 2016.

La investigación comenzó con el análisis de dos ficheros RTF (Rich Text Format), un formato de archivo de texto utilizado por productos de Microsoft. Una vez la víctima abre el documento de texto se ejecuta un troyano de acceso remoto (RAT) personalizado y no visto antes que hace capturas de pantalla del dispositivo, accede al árbol de directorios y permite la descarga de ficheros, entre otros.

Los ficheros RTF fueron creados con la herramienta RoyalRoad, vinculado su uso a grupos chinos, que está diseñada para incluir los payloads que causan la infección dentro de ficheros RTF. Las vulnerabilidades que se nutren de este fallo no son conocidas y están relacionadas con el editor de ecuaciones del software Microsoft Word.

Una vez se abre el fichero RTF y la vulnerabilidad es explotada con éxito, se introduce el fichero ‘intel.wll’ en la carpeta de inicio de Microsoft Word "% APPDATA%\Microsoft\Word\STARTUP", permitiendo no solo la persistencia del malware sino también el reintento del proceso completo de infección en caso de que se cortase.

El archivo, "intel.wll", descarga un archivo DLL, que actúa como descargador del malware, y que también se comunica con el servidor de comando y control (C&C) de los atacantes.

Como ocurre con otros malware el servidor C&C no responde 24×7 sino que tiene una ventana de tiempo en la que acepta peticiones. Este tipo de medidas son introducidas por los atacantes para dificultar el análisis.

Por último, y después de recibir la orden correcta el servidor de control, descarga el malware y descifra el módulo RAT que es cargado en memoria, tratándose también en este caso de una DLL.

Más información en https://research.checkpoint.com/2020/vicious-panda-the-covid-campaign

Fuente: Hispasec