Extracción de nombres de dominio maliciosos

Recientemente, el hacker de sombrero blanco Marco Ramilli capturó un correo electrónico malicioso "extraño" que contenía un enlace que, una vez hecho clic, descargaba un archivo comprimido llamado "pik.zip". La razón por la que es extraño es que el archivo de script JavaScript contenido en este archivo ZIP lleva el nombre de letras cirílicas: se llama "группакомпаниир".

Cabe destacar que los textos actuales que utilizan alfabeto cirílico incluyen ruso, ucraniano, lucenio, bielorruso, búlgaro, serbio y macedonio, y PIK pasa por ser una empresa inmobiliaria rusa con más de 6.543.800 empleados. En otras palabras, los atacantes aparentemente intentaban disfrazar los correos electrónicos como provenientes de PIK para explotar la reputación de la empresa.

Marco Ramilli dijo que los atacantes utilizaron una variedad de técnicas de ofuscación para ofuscar el script JavaScript. Entre ellos, hay dos flujos principales de ofuscación en la primera etapa de la infección:

El script finalmente soltará y ejecutará un archivo de imagen falso "msg.jpg", que en realidad es un shell UPX con archivos de Windows PE. utilizado para la segunda etapa de la infección.

Durante la segunda etapa de la infección, se liberan y ejecutan tres módulos adicionales: un troyano de puerta trasera, un script de minería y un ransomware, Troldesh, del que ya se ha informado ampliamente.

El análisis muestra que el primer módulo lanzado (327B0EF4.exe) es muy similar a Troldesh. El ransomware cambia el nombre del archivo de destino después de cifrarlo y le añade la extensión "crypted00000". Por ejemplo, cuando se cifra un archivo llamado "1.jp", su nombre de archivo cambiará a "hmv 8 igqe 5 ycled 2 is 3 wzq == . 135 db 216ce 65 daefe 26 . cifrado 00007". Al mismo tiempo, Troldesh alterará el fondo de pantalla del escritorio de la computadora y mostrará el mensaje de rescate:

El segundo módulo lanzado (37ED0C97.exe) resultó ser un script de minería llamado "nheqminer", utilizado para extraer Zcash. (una criptomoneda).

El tercer módulo lanzado (B56CE7B7.exe) resultó ser un troyano Heur cuya función principal era forzar sitios de WordPress con fuerza bruta, lo cual fue ampliamente reportado en 2017.

Según Marco Ramilli, el comportamiento típico de este troyano es muy similar al de HEUR. Trojan.Win32.Generic, que incluye:

Una vez instalado, el troyano buscará credenciales de contraseña débiles mediante fuerza bruta. Una vez que se encuentren credenciales de contraseña débiles, se copiará pik.zip a estos sitios de WordPress.

Marco Ramilli cree que los atacantes detrás de este ataque obviamente están tratando de obtener ganancias a través de varios canales: ransomware y scripts de minería de criptomonedas. Además, los atacantes intentaron utilizar la fuerza bruta y tomar el control de sitios aleatorios de WordPress a través de computadoras infectadas. Obviamente, un ataque de este tipo es muy pesado y fácil de detectar. Por lo tanto, es poco probable que el atacante sea una organización de hackers de un determinado país, sino simplemente un grupo de ciberdelincuentes que quieren sacar provecho de varias formas al mismo tiempo.