Los atacantes explotan el protocolo RDP ActiveX de Windows 10 como un TrickBot Dropper

Los piratas informáticos están evolucionando con nuevas técnicas de ocultación. Un nuevo descubrimiento de los investigadores revela que la explotación del control ActiveX de Windows 10 para volcar el descargador de malware llamado Ostap. La campaña parecía enorme, ya que los investigadores han encontrado docenas de estos archivos hasta ahora. Aunque aún se desconocen los atacantes detrás de esta campaña, los trucos que están siguiendo para evadir la detección son considerables.

Phishing – Dumping – Ejecución

Los atacantes explotan el protocolo RDP ActiveX de Windows 10 como un TrickBot Dropper
Imagen a través de PixaBay

Una campaña de phishing es la principal fuente de cualquier ataque remoto. Aquí, también, los atacantes envían correos electrónicos de phishing a posibles víctimas con documentos de Word y piden que los abran, que contienen macros e imágenes maliciosas con contenido encriptado. Por lo general, los correos electrónicos se envían solicitando un pago faltante y solicitando la activación de macros (que están deshabilitadas de manera predeterminada) para ver las facturas en los documentos.

Una mirada profunda a Investigadores morfisecos reveló la imagen dentro del documento que contiene el control ActiveX, que se usa para dibujar capas en documentos de Word para hacerlo más interactivo. Pero aquí, el análisis más profundo reveló la MsRdpClient10NotSafeForScripting clase al control.

¡Tácticas para esconderse!

Los atacantes han utilizado durante mucho tiempo muchas técnicas para evitar la detección al marcar el software, pero aquí, el grupo usó el control ActiveX para volcar y ejecutar Ostap dentro del documento de Word, lo que también lo hace invisible cuando se ejecuta con el mismo color que el fondo del plan.

Además, no han completado el campo del servidor en la clase MsRdpClient10NotSafeForScripting, por lo que pueden usarlo para futuras exploraciones. Dentro de una macro, la función OnDisconnected se usa como un disparador y forma una puerta trasera para recibir un archivo .BAT.

Hablando sobre esta campaña, Michael Gorelik de Morphisec dijo: «OSTAP no se ejecutará a menos que el número de error coincida exactamente desconectarReasonDNSLookupFailed (260); el comando wscript OSTAP está concatenado con una combinación de caracteres que dependen del cálculo del número de error. «

A través de la: Computadora de biping