Los piratas informáticos utilizan documentos de Microsoft Excel para llevar a cabo el ataque de malware CHAINSHOT

Icono de tiempo de lectura 3 minuto. leer

Icono de calendario Publicado el 10 de septiembre de 2018

Publicado en 10 de septiembre de 2018

Los lectores ayudan a respaldar a MSpoweruser. Es posible que obtengamos una comisión si compra a través de nuestros enlaces.

Recientemente se utilizó un nuevo malware llamado CHAINSHOT para atacar la vulnerabilidad de día cero de Adobe Flash (CVE-2018-5002). El malware se transfirió usando un archivo de Microsoft Excel que contenía un pequeño objeto Shockwave Flash ActiveX y la propiedad llamada "Película" que contenía una URL para descargar la aplicación flash.

Los investigadores han podido descifrar la clave RSA de 512 bits y descifrar la carga útil. Además, los investigadores descubrieron que la aplicación Flash era un descargador ofuscado que crea un par de claves RSA aleatorias de 512 bits en la memoria del proceso. Luego, la clave privada permanece en la memoria y la clave pública se envía al servidor del atacante para cifrar la clave AES (utilizada para cifrar la carga útil). Más tarde, la carga útil cifrada se envió al descargador y la clave privada existente para descifrar la clave AES de 128 bits y la carga útil.

—–COMENZAR CLAVE PRIVADA DE RSA—–
MIIBOgIBAAJAffMF1bzGWeVJfkgr0LUHxEgI3u6FJfJLJxLcSin1xE4eCMiJpkUh
u8ZxNs7RGs5VubwsHHyWYwqlFYlrL3NB/QIDAQABAkBog3SxE1AJItIkn2D0dHR4
dUofLBCDF5czWlxAkqcleG6im1BptrNWdJyC5102H/bMA9rhgQEDHx42hfyQiyTh
AiEA+mWGmrUOSLL3TXGrPCJcrTsR3m5XHzPrh9vPinSNpPUCIQCAxI/z9Jf10ufN
PLE2JeDnGRULDPn9oCAqwsU0DWxD6QIhAPdiyRseWI9w6a5E6IXP+TpZSu00nLTC
Sih+/kxvnOXlAiBZMc7VGVQ5f0H5tFS8QTisW39sDC0ONeCSPiADkliwIQIhAMDu
3Dkj2yt7zz04/H7KUV9WH+rdrhUmoGhA5UL2PzfP
—–FIN CLAVE PRIVADA RSA—–

Los investigadores de la Unidad 42 de Palo Alto Networks fueron los que descifraron el cifrado y compartieron sus hallazgos y cómo lo descifraron.

Mientras que la clave privada permanece solo en la memoria, el módulo n de las claves públicas se envía al servidor del atacante. En el lado del servidor, el módulo se utiliza junto con el exponente codificado de forma rígida e 0x10001 para cifrar la clave AES de 128 bits que se utilizó anteriormente para cifrar el exploit y la carga útil del código shell.

– Redes Palo Alto

Una vez que los investigadores descifraron la clave AES de 128 bits, también pudieron descifrar la carga útil. Según los investigadores, una vez que la carga útil obtiene los permisos RWE, la ejecución pasa a la carga útil del shellcode, que luego carga una DLL integrada denominada internamente FirstStageDropper.dll.

Una vez que el exploit obtiene con éxito los permisos RWE, la ejecución pasa a la carga útil del código de shell. El shellcode carga una DLL incrustada internamente llamada FirstStageDropper.dll, que llamamos CHAINSHOT, en la memoria y la ejecuta llamando a su función de exportación "__xjwz97". La DLL contiene dos recursos, la primera es una DLL x64 denominada internamente SecondStageDropper.dll y la segunda es un shellcode en modo kernel x64.

- Redes de Palo Alto

Los investigadores también compartieron los Indicadores de Compromiso. Puedes echar un vistazo a ambos a continuación.

Indicadores de compromiso

Descargador de Adobe Flash

189f707cecff924bc2324e91653d68829ea55069bc4590f497e3a34fa15e155c

Explotación de Adobe Flash (CVE-2018-5002)

3e8cc2b30ece9adc96b0a9f626aefa4a88017b2f6b916146a3bbd0f99ce1e497

Fuente: Palo Alto Networks; Vía: piratas informáticos GB, Bleeping Computer

Más sobre los temas: Adobe Flash Player, microsoft, Microsoft Excel, vulnerabilidad de día cero