Una nueva técnica, denominada Kraken, de ataque sin archivos que abusa del servicio de informes de errores de Microsoft Windows (WER). Este es el trabajo de un grupo de hacking que aún no se ha identificado.
Según malwarebytes investigadores de seguridad Hossein Jazi y Jéréme Segura, el vector de ataque se basa en el malware enterrarse en ejecutables basados en WER para evitar despertar sospechas.
En una entrada de blog el martes, el dúo dijo que el nuevo ataque «Kraken». Aunque no es una técnica completamente novedosa en sí misma. Este fue detectado el 17 de septiembre.
Kraken, el nuevo ataque sin archivos que aprovecha el envío de errores de Windows
Un documento de phishing de señuelo encontrado por el equipo fue empaquetado en un archivo . ZIP. Titulado, «Compensation manual.doc». El archivo afirma contener información relacionada con los derechos de compensación del trabajador, pero cuando se abre, es capaz de desencadenar una macro maliciosa.
La macro utiliza una versión personalizada del módulo VBA CactusTorch para lanzar un ataque sin archivos, hecho posible a través de shellcode.
CactusTorch es capaz de cargar un binario compilado .Net llamado «Kraken.dll» en la memoria y ejecutarlo a través de VBScript. Esta carga carga inserta un código de shell incrustado en WerFault.exe, un proceso conectado al servicio WER y utilizado por Microsoft para realizar un seguimiento y solucionar errores del sistema operativo.
«Ese servicio de informes, WerFault.exe, normalmente se invoca cuando se produce un error relacionado con el sistema operativo, las características de Windows o las aplicaciones», dice Malwarebytes. «Cuando las víctimas ven WerFault.exe que se ejecuta en su máquina, probablemente asumen que algún error ocurrió, mientras que en este caso realmente han sido blanco de un ataque.»
El shellcode también se ordena para hacer una solicitud HTTP a un dominio codificado de forma rígida, probablemente para descargar malware adicional.
El nuevo malware es difícil de atribuir
Los operadores de Kraken realizan un seguimiento de varios métodos antianálisis. Como la ofuscación de código, la obligación de que el archivo DLL funcione en varios subprocesos, la comprobación de entornos sandbox También utilizan depuradores y el análisis del registro. Para ver si se están ejecutando las máquinas virtuales de VMWare o VirtualBox de Oracle. Los desarrolladores han programado el código malicioso para determinar si se encuentran actividades de análisis.
El ataque Kraken ha demostrado ser difícil de atribuir, en la actualidad. La URL de destino codificada de forma rígida del malware fue derribada en el momento del análisis, y sin esto, marcadores claros que indican un APT u otro no son posibles.
