Nueva técnica mantiene el antivirus silencioso.


En una nueva campaña de malware, los ciberdelincuentes modificaron una cadena de explotación conocida para impulsar al ladrón de información de Agent Tesla sin desencadenar la detección de productos antivirus comunes.

Los delincuentes cibernéticos configuran una infraestructura para entregar múltiples familias de malware a través de dos explotaciones públicas para las vulnerabilidades de Microsoft Word CVE-2017-0199 y CVE-2017-11882.Construido para soltar una gran cantidad de malware


Según los analistas de Cisco Talos, la campaña pretendía reducir al menos tres cargas útiles: el agente Tesla, Loki y Gamarue. Todos ellos son capaces de robar información y de los tres, solo Loki carece de funciones de acceso remoto.


El ataque comienza con un correo electrónico que contiene un documento de Word (DOCX) que incluye rutinas para descargar y abrir un archivo RTF, que entrega la carga útil final. Es este RTF que pasa desapercibido.


"Solo dos de los 58 programas antivirus encontraron algo sospechoso. Los programas que marcaron esta muestra solo advirtieron sobre un archivo RTF con formato incorrecto. AhnLab-V3 lo marcó como 'RTF / Malform-A.Gen', mientras que Zoner dijo que era probable "RTFBadVersion", "escriben los investigadores en un informe de hoy.Cambios para evasión de antivirus.


Los investigadores dicen que las modificaciones realizadas en la cadena de explotación permitieron que los documentos que contienen las rutinas para descargar el malware no se detecten con las soluciones antivirus habituales.


El sigilo del ejercicio de caída de carga útil se basa en las particularidades del formato de archivo RTF, que admite la incrustación de objetos a través de OLE (Object Linking and Embedding) y utiliza una gran cantidad de palabras de control para definir el contenido que contiene.


A esto se añade el hecho de que los analizadores RTF comunes generalmente ignoran lo que no saben y el resultado es la combinación perfecta para ocultar el código de explotación. Bajo este escenario, los usuarios no tienen que cambiar la configuración de Microsoft Word o hacer clic en cualquier cosa para activar el exploit.

RTF con palabra de control para objetos OLE

La ofuscación dentro de la estructura del archivo RTF no es lo único que ayudó a que el documento no se detectara. Un análisis más profundo reveló que el atacante cambió los valores del encabezado del objeto OLE.

Luego del encabezado, agregaron datos sobre lo que parecía una etiqueta de fuente, pero resultó ser una vulnerabilidad para la vulnerabilidad de corrupción de memoria CVE-2017-11882 en Microsoft Office.

Los investigadores dicen que la técnica es peligrosa, independientemente de si las modificaciones se realizaron manualmente o usando una herramienta. Los cambios se encuentran en un nivel inferior y hacen que todo se vea diferente, sin embargo, utiliza el código de explotación que se ha visto en otras campañas. 
                                  Información de cabecera modificada

Capacidades de malware

Talos etiqueta al Agente Tesla como un "troyano sofisticado de robo de información", comercializado como una utilidad legal de registro de pulsaciones. Sin embargo, los investigadores cuestionan las características legítimas de la herramienta y afirman que tiene funciones de robo de contraseñas para 25 aplicaciones comunes, como navegadores web populares, correo electrónico y clientes FTP.


El malware Loki cae estrictamente en la categoría de robo de información, buscando agarrar contraseñas. Se anuncia regularmente como tal y su descripción agrega que también puede apuntar a las billeteras de criptomonedas.


En cuanto a la familia de amenazas de Gamarue, tiene un historial en el suministro de nuevos bots a los pastores de botnet. Es un gusano, por lo que se propaga rápidamente a los sistemas vulnerables y le da acceso a su operador. Aunque no es su especialidad, Gamarue se puede usar para robar información confidencial.