El analista de malware Vitali Kremez,
del equipo de @MalwareHunterTeam ha publicado sus hallazgos sobre una nueva
familia de troyano que utiliza peticiones DNS para ocultar las comunicaciones
con el servidor de control y comando.
La vía de propagación utilizada es
mediante correos de «spear-phishing» en los que se adjunta un PDF malicioso que
descarga y ejecuta el payload (https://masikini[.]com/CarlitoRegular%5B.%5Dzip).
El zip contiene un fichero JScript que
es ejecutado utilizando el componente ActiveXObject WScript.Shell de la API de
Windows.
Una vez ejecutado, el malware
comprueba la existencia del archivo «mozart.txt» y si no existe lo crea con el
contenido ‘1 2 3 4 5’. A continuación, se comunicará con el servidor de control
utilizando peticiones DNS a un servidor configurado en el código de la muestra
analizada: 93[.]188[.]155[.]2.
Estas consultas se realizan utilizando
la función InetPtonW de la API de Windows. Se han obtenido hasta siete comandos
diferentes que la máquina infectada utilizaba para comunicarse con el C&C y
obtener nuevas órdenes o actualizaciones:
·
.getid
·
.gettasks
·
.gettasksize
·
.gettask
·
.reporttask
·
.reportupdates
·
.getupdates
Las respuestas se obtienen codificadas
en Base64 y son interpretadas por el malware utilizando un componente
específico encargado de descifrar la información.
Para protegerse ante esta amenaza es
posible bloquear las peticiones DNS al servidor 93[.]188[.]155[.]2, sin embargo
pueden aparecer nuevas variantes que utilicen otros servidores, por lo que es
importante tener una solución de seguridad que permita monitorizar el tráfico
DNS en sus sistemas.
Más información:
Let’s Learn: Diving Deeper into
«Mozart» TLD Loader & DNS TLD Commandshttps://www.vkremez.com/2020/02/lets-learn-diving-deeper-into-mozart.html
Fuente:Hispasec
