Vicious Panda: la campaña de malware que se aprovecha del coronavirus


Recientemente, investigadores de Check Point han detectado malware para Windows que utiliza el coronavirus (COVID-19) para infectar a sus víctimas. Esta campaña de malware ha sido bautizada como ‘Vicious Panda’, y tiene como principal objetivo el sector público de Mongolia.

La investigación de la campaña ha sacado a la luz ataques previos realizados por el mismo grupo que llevado a cabo la campaña “Vicious Panda”. Dichos ataques se realizaron en el año 2016 con objetivos de diferentes sectores en diferentes países, como Ucrania, Rusia y Bielorrusia.

La campaña “Vicious Panda” hace uso de falsos documentos RTF sobre el coronavirus que, al ser abiertos en Microsoft Word explotan las vulnerabilidades del editor de ecuaciones y ejecutan el payload inicial del malware.

vicious-panda-RAT-01 

El objetivo final es infectar el sistema con un troyano de acceso remoto (RAT; Remote Access Trojan). Este troyano, una vez instalado en el ordenador de la víctima, dará acceso total al atacante de forma remota, pudiendo éste acceder a ficheros, contraseñas, etc, que existan en el sistema afectado.

 

Infección

El proceso de infección del ordenador se realiza gracias a las vulnerabilidades (CVE-2017-11882, CVE-2018-0798) existentes en el editor de ecuaciones de Microsoft Word. Para ello, se envía a las víctimas del sector público de Mongolia, un fichero RTF que presuntamente contiene información sobre un tema de interés. En esta campaña, el tema de interés elegido ha sido el COVID-19, popularmente conocido como Coronavirus.

Este fichero está especialmente diseñado por los atacantes para explotar las vulnerabilidades anteriormente mencionadas, de forma que, tras la explotación de las mismas se ejecuta el ‘payload’ inicial del malware. Este ‘payload’ se encarga de crear un fichero llamado ‘intel.wll’ en el directorio %APPDATA%\Microsoft\Word\STARTUP.

Añadir un fichero malicioso al directorio de inicio de Word es una técnica de persistencia, que permite al malware ejecutarse cada vez que se abre un documento de Microsoft Word. La extensión ‘.wll’ indica que este fichero se trata de una DLL que debe ejecutarse al abrir un documento.

El principal objetivo de ‘intel.wll’ es descargar del servidor de control una nueva DLL maliciosa que se encuentra cifrada. Esta DLL se encarga de cargar la carga maliciosa real desarrollada por los atacantes. Su nombre es ‘minisdllpub.dll’ y es ejecutada haciendo uso del binario Rundll32.

 

Funcionamiento

La DLL descargada, ‘minisdllpub.dll’, actúa como ‘loader’, que inicialmente descarga el módulo malicioso final del RAT y lo posteriormente lo ejecuta. Al módulo final del RAT se le da el nombre ‘mdll.dll’.

El funcionamiento de la DLL que hace de ‘loader’, permite que la funcionalidad del malware sea actualizada por los atacantes, o incluso que se puedan descargar nuevas DLLs que expandan la funcionalidad inicial, haciendo que este troyano pueda funcionar con una estructura basada en ‘plugins’, donde cada plugin es una DLL que puede implementar diferente funcionalidad.

El módulo de control remoto del sistema permite a los atacantes:

  • Tomar capturas de pantalla
  • Obtener un listado de los ficheros y directorios
  • Crear y eliminar directorios
  • Mover y eliminar ficheros
  • Descargar ficheros
  • Ejecutar nuevos procesos
  • Obtener una lista de los servicios configurados

En primer lugar, ‘minisdllpub.dll’ crea un mutex con el nombre ‘Afx:DV3ControlHost’, lo que le permite detectar si éste módulo se encuentra ya en ejecución, evitando así que se ejecuten multiples instancias del malware. Esta cadena utilizada como nombre del mutex, es interesante para la detección de nuevas muestras.

vicious-panda-RAT-02
Cadenas utilizadas para resolver funciones de las APIs de Windows

Además, la librería que hace de ‘loader’, carga dinámicamente las librerías que necesita y almacena en una estructura propia los punteros a las funciones de la API de Windows que necesita. Esto dificulta el análisis, pues no dispondremos de referencias directas a las APIs de Windows que utiliza, y tampoco podremos conocerlas hasta que ejecutemos la muestra.

A continuación, se conecta al servidor de control y descarga la DLL que implementa el RAT. Esta DLL se encuentra cifrada, por lo que la descifra tras su descarga utilizando la operación XOR y la clave presente entre las cadenas de texto.

vicious-panda-RAT-03
Clave de descifrado XOR

La DLL maliciosa descargada y cifrada, y su versión descifrada, se almacenan en ‘%APPDATA\Microsoft\’, en diferentes ficheros con extensión ‘.tmp’, tal y como puede apreciarse en la siguiente imagen.

vicious-panda-RAT-04

Código que prepara las rutas en las que se descarga y descifre la DLL maliciosa

Tras la carga de la DLL maliciosa, el malware continúa se ejecución a la espera de órdenes proporcionadas por el servidor de control que permitan a los atacantes robar información interesante del sistema infectado.

 

Conclusiones

Como vemos, el uso de temas de actualidad suele utilizarse por parte de los atacantes para lograr que las víctimas abran y ejecuten los ficheros de sus campañas de spam. En este caso, los delincuentes han utilizado el tema del momento, la pandemia del coronavirus, que a día de hoy es un tema de interés en todo el mundo.

Estamos ante un troyano de tipo RAT, que proporciona acceso remoto a los atacantes, pudiendo tomar capturas de pantalla, acceder a los ficheros almacenados en el sistema y descargar ficheros, lo que da control prácticamente total al sistema infectado.

Aunque en este caso no se incluyen funcionalidades que roben credenciales bancarias u otro tipo de credenciales, este tipo de funcionalidad puede añadirse en cualquier momento. Como hemos visto, este malware funciona haciendo uso de DLLs, por lo que solamente es necesario añadir una nueva DLL que implemente funcionalidades de ‘banker’, o incluso se podrían añadir en la DLL que implementa las funcionalidades RAT.

Pero no solamente este malware concreto puede evolucionar a ‘banker’, sino que otros troyanos que si son troyanos bancarios, podrían utilizar la estrategia de este RAT para infectar a sus víctimas. De hecho, una parte importante del malware bancario se distribuye a través de campañas de correos SPAM, y habitualmente utilizan temas de interés y populares para aumentar sus probabilidades de éxito.

Debemos estar muy alerta de los correos electrónicos que recibimos y evitar la apertura de ficheros adjuntos, y más en estos momentos, en los que realizamos nuestro trabajo desde casa y recibimos una cantidad importante de emails.

 

IoCs

Servidores de control:

  • 95.179.242[.]6
  • 95.179.242[.]27
  • 199.247.25[.]102
  • 95.179.210[.]61
  • 95.179.156[.]97
  • dw.adyboh[.]com
  • wy.adyboh[.]com
  • feb.kkooppt[.]com
  • compdate.my03[.]com
  • jocoly.esvnpe[.]com
  • bmy.hqoohoa[.]com
  • bur.vueleslie[.]com
  • wind.windmilldrops[.]com

 

Ficheros RTF:

  • 234a10e432e0939820b2f40bf612eda9229db720
  • 751155c42e01837f0b17e3b8615be2a9189c997a
  • ae042ec91ac661fdc0230bdddaafdc386fb442a3
  • d7f69f7bd7fc96d842fcac054e8768fd1ecaa88a
  • dba2fa756263549948fac6935911c3e0d4d1fa1f

 

DLLs:

  • 0e0b006e85e905555c90dfc0c00b306bca062e7b
  • dde7dd81eb9527b7ef99ebeefa821b11581b98e0
  • fc9c38718e4d2c75a8ba894352fa2b3c9348c3d7
  • 601a08e77ccb83ffcd4a3914286bb00e9b192cd6
  • 27a029c864bb39910304d7ff2ca1396f22aa32a2
  • 8b121bc5bd9382dfdf1431987a5131576321aefb
  • bf9ef96b9dc8bdbc6996491d8167a8e1e63283fe
  • fcf75e7cad45099bf977fe719a8a5fc245bd66b8
  • 0bedd80bf62417760d25ce87dea0ce9a084c163c
  • 5eee7a65ae5b5171bf29c329683aacc7eb99ee0c
  • 3900054580bd4155b4b72ccf7144c6188987cd31
  • e7826f5d9a9b08e758224ef34e2212d7a8f1b728
  • a93ae61ce57db88be52593fc3f1565a442c34679
  • 5ff9ecc1184c9952a16b9941b311d1a038fcab56
  • 36e302e6751cc1a141d3a243ca19ec74bec9226a
  • 080baf77c96ee71131b8ce4b057c126686c0c696
  • c945c9f4a56fd1057cac66fbc8b3e021974b1ec6
  • 5560644578a6bcf1ba79f380ca8bdb2f9a4b40b7
  • 207477076d069999533e0150be06a20ba74d5378
  • b942e1d1a0b5f0e66da3aa9bbd0fb46b8e16d71d
  • 9ef97f90dcdfe123ccb7d9b45e6fa9eceb2446f0
  • cf5fb4017483cdf1d5eb659ebc9cd7d19588d935
  • 92de0a807cfb1a332aa0d886a6981e7dee16d621
  • cde40c325fcf179242831a145fd918ca7288d9dc
  • 2426f9db2d962a444391aa3ddf75882faad0b67c
  • 9eda00aae384b2f9509fa48945ae820903912a90
  • 2e50c075343ab20228a8c0c094722bbff71c4a2a
  • 2f80f51188dc9aea697868864d88925d64c26abc

 

RAT

  • 238a1d2be44b684f5fe848081ba4c3e6ff821917

¿Te ha gustado? Comparte en tus comunidades sociales.

¿Qué piensas sobre este tema?

Deja tus comentarios

 

¿Necesitas reducir el fraude online de tu banco?

Descubre nuestra visión holística aplicada a la detección del fraude online

Solicita una demo