Investigadores de seguridad han
descubierto dos nuevas campañas de malware, una de las cuales distribuye el
troyano Ursnif, mientras que la otra además de propagar el mismo malware,
infecta al objetivo con el ransomware GandCrab.
Aunque ambas campañas parecen ser
trabajo de grupos de ciberdelincuentes separados, hay muchas similitudes en su
‘modus operandi‘.
Similitudes
del ataque:
Ambos ataques comienzan con correos
eletrónicos en la que suplantan la identidad de un conocido para adjuntar un
documento de Microsoft Word. Este documento contiene macros de VBS maliciosas
que hacen uso de Powershell para ejecutar su carga útil e infectar al objetivo.
Infección
de Ursnif & GandCrab:
Como hemos explicado, el documento de
MS Word contiene una macro maliciosa en VBS. Si esta se ejecuta con éxito, hace
uso de Powershell para descargar y ejecutar tanto Ursnif como GandCrab en los
sistemas infectados. En la siguiente imagen se puede ver de manera más clara:
La primera carga útil es una línea de
Powershell codeada en base64 la cual evalúa la arquitectura del sistema
objetivo y, dependiendo de la misma, descarga una carga adicional de Pastebin.
Esta se ejecuta en memoria para hacer bypass de los antivirus comunes.
Finalmente, la carga útil instala una
variante del ransomware GandCrab en el sistema de la víctima, bloqueándolo
hasta que pague el rescate pertinente.
Infección
de Ursnif:
Al igual que el anterior malware
comentado, hace uso de macros VBS sobre un documento Word malicioso para
iniciar la infección.
En este caso, una vez que se ha
ejecutado, el malware recopilar información del sistema, la coloca en un
archivo con formato CAB y la envía a su C&C a través de una conexión HTTPS.
Los investigadores de la compañía
Talos han publicado una lista de indicadores de compromiso, junto con los
nombres de los nombres de archivo de carga que utilizan sobre las máquinas
comprometidas.
Más
información:
Publicación de Carbon Black sobre
GandCrab:
Publicación de Talos sobre Ursnif:
Fuente: Hispasec