TLP: Amber
NIVEL DE RIESGO – [Alto]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Correo electrónico.
Impacto: Ejecución de código.

Descripción

De acuerdo con las investigaciones realizadas por una firma de seguridad, desde el pasado 17 de septiembre se ha detectado una nueva campaña relacionado con el programa malicioso conocido como “Kraken”, el cual tiene la capacidad de agregar código en el servicio de informe de errores de Windows (WER) para evitar ser detectado por los sistemas de seguridad instalados en el equipo. Anteriormente, Kraken se ha relacionado con ataques de ransomware, cifrando la información de sus victimas y pidiendo un rescate por los mismos.

Este programa evita que el usuario sea capaz de percatarse de la infección, ya que este invoca al programa genuino del sistema “WerFault.exe”, el cual es ejecutado por Windows cuando ocurre un error, por lo que cuando el usuario observa que este proceso se ejecuta en su equipo piensa que se trata de un error, cuando en realidad son víctimas de Kraken.

Los investigadores analizaron una muestra que corresponde a un archivo .ZIP que contiene un documento malicioso con el nombre de “Compensation manual[.]doc”, este archivo invita al usuario a ingresar a una URL para recibir supuesta información sobre los derechos de compensación de los trabajadores.

La liga descarga un documento que contiene macros maliciosas y utilizan el programa malintencionado “CactusTorch” para ejecutar código y con ello usar una técnica conocida como “DotNetToJscript” para cargar un archivo binario .NET compilado en la memoria y después ejecutarlo desde “vbscript”, un lenguaje interpretado por Windows Script Host.

Posteriormente comienza a agregar procesos creando hilos para comprobar que no se esté ejecutando en un entorno de análisis o en un depurador, ya realizada la comprobación procede a crear un hilo nuevo y crear un shellcode. El shellcode contiene un conjunto de instrucciones, entre ellas realiza una solicitud HTTP a un dominio codificado para descargar una pieza maliciosa, y agregarla en un proceso que le ayudará a evadir los sistemas de seguridad del equipo. Hasta el momento, los investigadores no han logrado obtener esta pieza maliciosa para un análisis más detallado debido a que se encontraba inactiva al momento de la investigación, sin embargo, afirmaron que se le dará seguimiento.

Cabe mencionar que no se tiene conocimiento exacto del vector de ataque utilizado, aunque hay una gran probabilidad que sea mediante ataques de “spear phishing” con el archivo malicioso adjunto. De acuerdo con las herramientas usadas, se sospecha que se trata del grupo “APT32” pero esto no es posible confirmarlo ya que no se cuenta con la carga útil final.

Nivel de riesgo

  • [Alto]

Sistemas/tecnologías afectadas

  • Sistemas Operativos Microsoft Windows.

Indicadores de compromiso (IoCs)

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:

  • SHA-256:
    • 31368f805417eb7c7c905d0ed729eb1bb0fea33f6e358f7a11988a0d2366e942
    • d68f21564567926288b49812f1a89b8cd9ed0a3dbf9f670dbe65713d890ad1f4
  • URL
    • yourrighttocompensation[.]Com/?Rid=UNfxeHM
    • yourrighttocompensation[.]Com/download/?Key=15a50bfe99cfe29da475bac45fd16c50c60c85bff6b06e530cc
    • yourrighttocompensation [.] com /? rid = AuCllLU
    • asia-kotoba [.] net/favicon32.ico
    • yourrighttocompensation [.] Com / ping

Medidas de contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desde los equipos de su infraestructura (IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, por mencionar algunos).
  • Evitar abrir enlaces o archivos de correos electrónicos provenientes de remitentes desconocidos o sospechosos.
  • Mantener actualizadas las herramientas de antimalware.
  • Concientizar a usuarios finales respecto a este tipo de campañas.

Referencias