Hackers lança malware FlawedAmmyy RAT por meio de macros do MS Excel não detectadas e possuíam um poderoso backdoor
A amostra Observada do FlawedAmmyy RAT é altamente sofisticada e pode controlar as vítimas infectadas remotamente e escapar do software de segurança.
Atores ameaça TA505 são um grupo cibercrime bem conhecido que já foi infectado milhões de vítimas usando várias operações maliciosas, incluindo grande escala Dridex , Locky e campanhas GlobeImposter, entre outros.
Com base nos recursos de malware, ele será detectado somente quando passar do primeiro nível de execução pelo arquivo MSI (instalador do Windows).
Pesquisador era aprofundar a análise fonte vazou que os relatórios, FlawedAmmyy RAT pode realizar várias operações, incluindo o controle remoto desktop, gerente de sistema de arquivos, suporte a proxy e bate-papo de áudio.
Além dessas infecções, também pode fornecer acesso completo das máquinas vítimas aos invasores e roubar arquivos, credenciais, coletar capturas de tela e acessar a câmera e o microfone.
Segundo o pesquisador, Pedro Tavares deseguranca -informática disse ao “ GBHackers On Security” via E-mail “Durante minha pesquisa, eu detectei uma onda recente distribuindo o RAT FlawedAmmyy via macros XLM que complicam sua detecção através de endpoints de segurança como AVs. Eu enviei a amostra para o VirusTotal e nenhuma atividade suspeita foi detectada. O Thread Actor 505 (TA505) está agora espalhando essa ameaça para infectar os dispositivos do usuário. ”
Processo de Infecção FlawedAmmyy
TA505 Agentes de ameaças que inicialmente alavancam malspam E-mail campanha para espalhar o FlawedAmmyy RAT para as vítimas-alvo usando táticas antigas desde que o malware não é um novo.
O e-mail contém documentos Excel anexados e o conteúdo do corpo do e-mail engana os usuários para abrir o arquivo que carregava e executava o código de macro malicioso do Excel 4.0.
“O código de macro mal-intencionado da XLM está localizado em um formato oculto para evitar a atenção das vítimas. O nome da forma oculta é escrito em russo: Макрос1 - Macro 1, em inglês. ”
Após a execução bem-sucedida da Macro, o dropper MSI estará pronto para o primeiro estágio do processo msiexec.exe de malware , que é outro downloader do RAT FlawedAmmyy original ( wsus.exe ).
Mais tarde, estabelece a comunicação do servidor C2, onde receber O comando do atacante, mas o servidor C2 usado pelo invasor agora está offline com base na instrução do pesquisador. Você também pode ler os detalhes completos da análise técnica aqui .
“Os usuários que recebem e-mails com arquivos xls anexados devem estar cientes, pois os arquivos podem ser um veículo não detectado espalhando qualquer tipo de malware e a Infecção depende da vítima, permitindo que a macro seja executada. Os usuários devem garantir que as macros estejam desabilitadas em seus aplicativos do Microsoft Office. Pesquisador disse.
Indicadores de Compromisso
Hashd490573977cc6b42ba0b4325df953a7f (Xls)
4cc5de3d2bddd7c89311fccf3d1b51d9 (doc)
c4463d6ae741d4fb789bd0895fafebee (instalador msi / conta-gotas)
2944eca03bc13b0edf064a619ec41459 (primeira fase malwares)
4C4F2BBE3F49B17B04440C60F31293CB1431A867 (wsus.exe)
9B54BBB0730FD50789E13F1968043074EF30836C (wsus.exe)
4cc5de3d2bddd7c89311fccf3d1b51d9 (doc)
c4463d6ae741d4fb789bd0895fafebee (instalador msi / conta-gotas)
2944eca03bc13b0edf064a619ec41459 (primeira fase malwares)
4C4F2BBE3F49B17B04440C60F31293CB1431A867 (wsus.exe)
9B54BBB0730FD50789E13F1968043074EF30836C (wsus.exe)
