Recientemente, investigadores de Check Point han detectado malware para Windows que utiliza el coronavirus (COVID-19) para infectar a sus víctimas. Esta campaña de malware ha sido bautizada como ‘Vicious Panda’, y tiene como principal objetivo el sector público de Mongolia.
La investigación de la campaña ha sacado a la luz ataques previos realizados por el mismo grupo que llevado a cabo la campaña “Vicious Panda”. Dichos ataques se realizaron en el año 2016 con objetivos de diferentes sectores en diferentes países, como Ucrania, Rusia y Bielorrusia.
La campaña “Vicious Panda” hace uso de falsos documentos RTF sobre el coronavirus que, al ser abiertos en Microsoft Word explotan las vulnerabilidades del editor de ecuaciones y ejecutan el payload inicial del malware.
El objetivo final es infectar el sistema con un troyano de acceso remoto (RAT; Remote Access Trojan). Este troyano, una vez instalado en el ordenador de la víctima, dará acceso total al atacante de forma remota, pudiendo éste acceder a ficheros, contraseñas, etc, que existan en el sistema afectado.
El proceso de infección del ordenador se realiza gracias a las vulnerabilidades (CVE-2017-11882, CVE-2018-0798) existentes en el editor de ecuaciones de Microsoft Word. Para ello, se envía a las víctimas del sector público de Mongolia, un fichero RTF que presuntamente contiene información sobre un tema de interés. En esta campaña, el tema de interés elegido ha sido el COVID-19, popularmente conocido como Coronavirus.
Este fichero está especialmente diseñado por los atacantes para explotar las vulnerabilidades anteriormente mencionadas, de forma que, tras la explotación de las mismas se ejecuta el ‘payload’ inicial del malware. Este ‘payload’ se encarga de crear un fichero llamado ‘intel.wll’ en el directorio %APPDATA%\Microsoft\Word\STARTUP.
Añadir un fichero malicioso al directorio de inicio de Word es una técnica de persistencia, que permite al malware ejecutarse cada vez que se abre un documento de Microsoft Word. La extensión ‘.wll’ indica que este fichero se trata de una DLL que debe ejecutarse al abrir un documento.
El principal objetivo de ‘intel.wll’ es descargar del servidor de control una nueva DLL maliciosa que se encuentra cifrada. Esta DLL se encarga de cargar la carga maliciosa real desarrollada por los atacantes. Su nombre es ‘minisdllpub.dll’ y es ejecutada haciendo uso del binario Rundll32.
La DLL descargada, ‘minisdllpub.dll’, actúa como ‘loader’, que inicialmente descarga el módulo malicioso final del RAT y lo posteriormente lo ejecuta. Al módulo final del RAT se le da el nombre ‘mdll.dll’.
El funcionamiento de la DLL que hace de ‘loader’, permite que la funcionalidad del malware sea actualizada por los atacantes, o incluso que se puedan descargar nuevas DLLs que expandan la funcionalidad inicial, haciendo que este troyano pueda funcionar con una estructura basada en ‘plugins’, donde cada plugin es una DLL que puede implementar diferente funcionalidad.
El módulo de control remoto del sistema permite a los atacantes:
- Tomar capturas de pantalla
- Obtener un listado de los ficheros y directorios
- Crear y eliminar directorios
- Mover y eliminar ficheros
- Descargar ficheros
- Ejecutar nuevos procesos
- Obtener una lista de los servicios configurados
En primer lugar, ‘minisdllpub.dll’ crea un mutex con el nombre ‘Afx:DV3ControlHost’, lo que le permite detectar si éste módulo se encuentra ya en ejecución, evitando así que se ejecuten multiples instancias del malware. Esta cadena utilizada como nombre del mutex, es interesante para la detección de nuevas muestras.Vicious Panda
