Integrando troyanos de puerta trasera, scripts de minería y virus ransomware, este archivo comprimido ZIP es increíble

Recientemente, el hacker de sombrero blanco Marco Ramilli capturó un correo electrónico malicioso "extraño" que contenía un enlace que, una vez hecho clic, causaba la descarga de un archivo comprimido llamado "pik.zip". La razón por la que es extraño es que el archivo de script JavaScript contenido en este archivo ZIP tiene el nombre en letras cirílicas: "Группа Компаний ПИК подробности заказа", que se traduce como "Detalles del pedido de la empresa del grupo PIK".

Cabe señalar que los textos que actualmente utilizan alfabeto cirílico incluyen ruso, ucraniano, luxenio, bielorruso, búlgaro, serbio y macedonio, etc., y resulta que PIK es ruso. Una empresa inmobiliaria con más de 14.000 empleados. . En otras palabras, los atacantes claramente intentaban disfrazar los correos electrónicos como provenientes de PIK, aprovechando así la reputación de la empresa.

Marco Ramilli dijo que el atacante utilizó una variedad de técnicas de ofuscación para ofuscar el script JavaScript. Entre ellos, hay dos flujos principales de ofuscación en la primera etapa de la infección:

El script finalmente liberará y ejecutará un archivo de imagen falso "msg.jpg", que en realidad es un archivo de imagen cifrado con UPX. Los archivos de Windows PE desgranados se utilizan en la segunda etapa de la infección.

Durante la segunda etapa de la infección, se eliminan y ejecutan tres módulos adicionales: un troyano de puerta trasera, un script de minería y Troldesh, un virus ransomware del que ya se ha informado ampliamente.

El análisis muestra que el primer módulo lanzado (327B0EF4.exe) es muy similar a Troldesh. El ransomware cambia el nombre del archivo de destino después de cifrarlo y agrega una extensión ".crypted00000". Por ejemplo, cuando se cifra un archivo llamado "1.jp", su nombre de archivo cambiará a "hmv8IGQE5oYCLEd2IS3wZQ==.135DB21A6CE65DAEFE26.crypted000007". Al mismo tiempo, Troldesh también alterará el fondo de pantalla del escritorio de la computadora para mostrar el mensaje de rescate:

Se confirmó que el segundo módulo lanzado (37ED0C97.exe) es un script de minería llamado "nheqminer". que se utilizó para extraer Zcash, una criptomoneda.

Se confirmó que el tercer módulo instalado y lanzado (B56CE7B7.exe) es el troyano Heur. La función principal de este troyano es crackear por fuerza bruta el sitio web de WordPress y se informó ampliamente en 2017.

Según Marco Ramilli, el comportamiento típico de este troyano es muy similar al HEUR.Trojan.Win32.Generic, incluyendo:

Una vez que el troyano se haya instalado correctamente, utilizará tecnología bruta force to crack Busca credenciales de contraseña débiles y, una vez encontradas, copia pik.zip en estos sitios de WordPress.

Marco Ramilli cree que los atacantes detrás de este ataque obviamente están tratando de obtener ganancias a través de múltiples canales: virus ransomware y scripts de minería de criptomonedas. Además, los atacantes intentaron utilizar la fuerza bruta y tomar el control de sitios aleatorios de WordPress a través de computadoras infectadas. Obviamente, un ataque de este tipo requeriría mucha mano de obra y sería fácilmente detectable. Por lo tanto, es poco probable que el atacante sea un grupo de hackers de un estado-nación, sino simplemente un grupo de ciberdelincuentes que quieren obtener ganancias de múltiples maneras al mismo tiempo.