Los piratas informáticos explotan una herramienta legítima de Windows para realizar ataques sin archivos

Investigadores en Malwarebytes descubrió una campaña de piratas informáticos desconocidos, que están activamente explorar el servicio Informe de errores de Windows para inyectar archivos maliciosos. Explotan esta herramienta legítima de Windows para permanecer sigilosos y también para ejecutar malware en la memoria del sistema, sin dejar ningún rastro de ataque.

Los piratas informáticos explotan la herramienta de Windows en ataques sin archivos

Investigadores Jérôme Segura y Hossein Jazi Surgió Malwarebytes una nueva campaña de piratería, donde los perpetradores están explorando una herramienta legítima de Windows llamada Informe de errores de Windows (WER) servicio. Más que informar al usuario sobre un error, Microsoft lo utiliza para realizar un seguimiento de los problemas del usuario en Windows.

El grupo de piratas informáticos rastreados por los investigadores, que aún no han sido identificados, está activo desde el 17 de septiembre, donde se registró el primer ataque. Dicen que la forma de llegar al objetivo es a través del spear-phishing, en el que se ha incorporado un documento malicioso al correo electrónico, publicitando como Documento de compensación al trabajador como cebo para ser abierto.

Ejemplo de correo electrónico de suplantación de identidad de Malwarebytes
Ejemplo de correo electrónico de suplantación de identidad de Malwarebytes

Al abrir, pedirá a los usuarios que habiliten macros y editen el contenido, que en segundo plano comienza a ejecutar el código de shell a través de un Módulo CactusTorch VBA. Eso va «cargar una carga útil .NET directamente en la memoria del dispositivo Windows ahora infectado» dice BleepingComputadora.

Luego, se ejecutará en la memoria del sistema, lo que no deja rastro en el disco duro. Además, inyecta un «shellcode incrustado en WerFault.exe, el proceso de Windows del servicio WER. ”El subproceso de servicio de informes de errores de Windows recién creado que está infectado con el código malicioso comprobará la seguridad de paso.

Comprueba la depuración o los signos de ejecución en una caja de arena o en máquinas virtuales y, si se considera seguro, pasará al siguiente paso de cargar el shellcode final «en un hilo WER recién creado, que se ejecutará en un hilo nuevo.“Resultó que la carga útil final se estaba importando en forma de un favicon falso.

Los investigadores no pudieron finalmente estudiarlo, ya que la carga útil final, cargada desde una ubicación llamada «asia-kotoba[.]Internet”Cayó mientras analizaba el ataque. Aún así, basándose en algunas pistas recopiladas en el proceso, vincularon a los perpetradores con un grupo de piratas informáticos apoyados por el estado vietnamita.

Seguimiento como APT32, el grupo de hackers también se llama SeaLotus u OceanLotus. Usando el módulo CactusTorch VBA para volcar cargas útiles y el dominio que están usando (tu derecho compensatorio[.]con) para estos ataques se registró en la ciudad de Ho Chi Minh, Vietnam, lo que sugiere que fueron piratas informáticos vietnamitas.