Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
04/09/2018
WMIC - El nuevo método para descargar software malicioso o 'malware'
Symantec ha identificado la utilización de herramientas legítimas de Microsoft como nueva técnica para distribuir malware.
Los atacantes utilizan un fichero de Acceso Directo con extensión ".lnk", normalmente distribuido a través de una URL o como adjunto de un correo electrónico. Dentro de este se encuentra un comando WMIC, que realiza la conexión con un servidor remoto y descarga el fichero malicioso con extensión XSL. Este a su vez, contiene código Javascript que es ejecutado utilizando mshta.exe, otra herramienta legítima de Miscrosoft. El malware conecta con otro servidor haciendo uso de una lista de 52 dominios, que se encuentra en el mismo código Javascript, y una función que genera un número aleatorio de puerto dentro del rango 25010-25099. En este punto se descarga un fichero HTA que sigue el mismo proceso que el Javascript mencionado anteriormente, descargando ficheros maliciosos.
Una vez que el proceso se ha completado, el malware tiene capacidad de robar cuentas de correo, credenciales almacenadas en los navegadores web, keylogger, lanzar ataques de phishing para su propagación, buscar ficheros específicos en el equipo infectado, minar criptomonedas y establecer puertas traseras.
Els atacants utilitzen un fitxer d'accés directe amb extensió ".lnk", normalment distribuït a través d'una URL o com a adjunt d'un correu electrònic. Dins d'aquest es troba una ordre del tipus WMIC, que realitza la connexió amb un servidor remot i descarrega el fitxer maliciós amb extensió XSL. Aquest, al seu torn, conté codi Javascript que és executat utilitzant mshta.exe, una altra eina legítima de Microsoft. El programari maliciós connecta amb un altre servidor fent ús d'una llista de 52 dominis, que es troba en el mateix codi Javascript, i una funció que genera un número aleatori de port dins del rang 25010-25099. En aquest punt es descarrega un fitxer HTA que segueix el mateix procés que el Javascript esmentat anteriorment, i descarrega fitxers maliciosos.
Una vegada que el procés s'ha completat, el programari maliciós té capacitat de robar comptes de correu, credencials emmagatzemades en els navegadors web, keylogger, llançar atacs de phishing per a la seua propagació, buscar fitxers específics en l'equip infectat, minar criptomonedes i establir portes posteriors.