WSHRAT: un troyano de acceso remoto que puede realizar múltiples operaciones en una computadora infectada.

Analizamos las principales características de WSHRAT, un troyano de acceso remoto (RAT) creado por el antiguo malware Hworm, que se utiliza activamente en campañas globales.

A partir de algunos ejemplos analizados en el segundo trimestre de 2021, hemos explicado qué es WSHRAT, cómo se propaga y cuáles son las principales características del malware en su funcionamiento.

¿Qué es WSHRAT?

WSHRAT es un troyano de acceso remoto o RAT (abreviatura). Este tipo de código malicioso permite a los ciberdelincuentes acceder a la computadora de la víctima para diversas actividades de espionaje y robar información personal, como las credenciales almacenadas en el navegador o el cliente de mensajería (como Outlook), descargar otros archivos y ejecutar comandos. Esperar.

WSHRAT es una variante de Houdini Worm o H-Worm, un malware escrito en Visual Basic Script (VBS) que apareció por primera vez en foros clandestinos en 2013.

Similitudes entre WSHRAT y H-Worm

Esta nueva variante, que se descubrió por primera vez en junio de 2019, se puede escribir en VBS y JavaScript, y hemos descubierto que tiene más comandos que su predecesor. En la Figura 1 vemos algunas similitudes entre WSHRAT (izquierda) y H-Worm (derecha) a nivel de código.

Figura 1. Similitudes a nivel de código entre WSHRAT (izquierda) y H-Worm (derecha)

Aparte de estas similitudes, WSHRAT también se vende en foros clandestinos. En junio de 2019, un atacante ofreció en un foro vender un constructor de WSHRAT por 50 dólares al mes. Esto muestra que este tipo de “herramienta” puede ser utilizada por cualquier persona que esté dispuesta a pagar pero que no tenga mucho conocimiento técnico o comprensión de cómo funcionan las soluciones antivirus, como el grupo APT.

Finalmente, WSHRAT utiliza varias técnicas de ofuscación u oculta el código en varios archivos ejecutables para evitar el análisis o la detección por parte de las soluciones antivirus.

Cómo se distribuye WSHRAT

Esta amenaza generalmente se propaga a través de archivos adjuntos maliciosos en correos electrónicos de phishing y está diseñada para engañar a los usuarios para que descarguen y ejecuten archivos.

A medida que el troyano se propaga por todo el mundo, incluidos los países de América Latina, notamos que los mensajes difieren en la línea de asunto de estos correos electrónicos. Por ejemplo algunos de los problemas que vemos en español:

  • Detalles del billete electrónico
  • Electrónica de comparación
  • Violación de la morosidad en caso de pago urgente
  • Notificación de lanzamiento
  • Aviso importante de la Comisión de Tránsito del Ecuador

Figura 2. Ejemplo de correos electrónicos maliciosos distribuidos por WSHRAT.

Por otro lado, WSHRAT puede propagarse automáticamente a dispositivos USB conectados a la computadora de la víctima, aumentando la posibilidad de infectar otras computadoras.

En la siguiente imagen (Figura 3) puede ver un ejemplo del proceso de infección WSHRAT, comenzando con un correo electrónico con un archivo adjunto malicioso.

Figura 3. Representación esquemática de una infección por WSHRAT.

Características principales de WSHRAT

Como se muestra en la Figura 3, la RAT puede, entre otras cosas, robar información personal de la computadora de la víctima e inducir la persistencia. Para ello cuenta con diferentes propiedades, que mencionaremos a continuación:

  • Su carga útil se puede desarrollar utilizando Visual Basic o JavaScript.
  • Puede obtener persistencia en la computadora de la víctima configurando la siguiente ruta:
    • C: Users % USERNAME% AppData Roaming
    • C: Usuarios % NOMBRE DE USUARIO% AppData Roaming Microsoft Windows Menú Inicio Programas Inicio
  • También puede lograr la persistencia cambiando cualquiera de las siguientes claves de registro de Windows:
    • HKLM SOFTWARE WOW6432Node Microsoft Windows CurrentVersion Run
    • Universidad de Hong Kong[%USERNAME%] Software Microsoft Windows Versión actual Ejecutar
  • Tiene diferentes variables globales, dependiendo de la configuración, permite las siguientes operaciones:
    • Ejecute amenazas como administrador
    • Desactive la protección contra software espía de Windows Defender.
    • Cambiar la función de UAC de Windows
  • Incorpora varios archivos en base64 para realizar diversas operaciones maliciosas. Por ejemplo:
    • Recupera credenciales de diferentes navegadores como Firefox o Google Chrome.
    • Configurar un proxy inverso
    • Establecer una conexión RDP en la computadora de la víctima
    • Ejecute un keylogger en la computadora de la víctima
  • Además de lo anterior, tiene 30 comandos que pueden realizar diversas operaciones en la computadora víctima.

Para personalizar el control que le da a la computadora víctima, las siguientes operaciones, que WSHRAT permite en los comandos de su operador, son las siguientes:

  • Reinicie o apague la computadora de la víctima
  • Ejecute comandos en la computadora de la víctima
  • Descargar y ejecutar archivos que se pueden descargar desde un servidor o una ubicación separada controlada por un atacante.
  • Recupere las credenciales de varios navegadores como Mozilla Firefox, Google Chrome o Internet Explorer.
  • Recupere las credenciales de varios clientes de mensajería como Outlook, Mozilla Thunderbird, etc.
  • Enviar archivo al intruso del servidor
  • Ejecute un keylogger en la computadora de la víctima
  • Inicie el proceso en la computadora de la víctima
  • Finalizar el proceso que se está ejecutando en la computadora de la víctima.
  • Actualizar o eliminar malware
  • Inicie una sesión de RDP en la computadora de la víctima
  • Elevar los permisos de malware en la computadora de la víctima

Como se mencionó anteriormente, descubrimos que esta amenaza tiene las características de un gusano en el sentido de que puede propagarse automáticamente al dispositivo USB conectado a la computadora de la víctima creando un archivo de acceso directo. Para ello, lee todos los archivos legítimos de estos dispositivos y crea un acceso directo para cada archivo que ejecuta los archivos originales y el malware que se encuentra en el dispositivo.

Figura 4. Ejemplos de etiquetas maliciosas generadas por malware.

Figura 5. Lógica utilizada por WSHRAT para crear enlaces maliciosos

Luego agregamos algunos valores hash analizados:

  • 5119c2253019970abd914b0c571f793f1a9466bd (Carga útil)
  • 1704cf928d3f421cc1b2b654e95696ed4d127ffd (Correo electrónico)

Consejos para evitar este tipo de amenazas

Dado que esta amenaza se propaga principalmente a través del correo electrónico, aquí hay algunos consejos para evitar ser víctima:

  • Al examinar la carta recibida, tenga en cuenta:
    • La dirección de donde vino.
    • El nombre de la persona que nos lo envió.
    • Por ejemplo, revise este contenido para ver si hay errores ortográficos.
  • Si tiene dudas justificadas sobre el contenido o el remitente, no abra las cartas.
  • Si tiene dudas sobre si recibirá este o cualquier otro contenido, no descargue ningún archivo adjunto de correo electrónico.
  • Verifique la extensión del archivo, por ejemplo, si el nombre del archivo termina en “.pdf.exe”, la última extensión determina el tipo de archivo, en este caso es “.exe”, es decir, el archivo ejecutable. Expediente.
  • Si el correo electrónico contiene un enlace que nos llevará a una página que nos pide que proporcionemos información de inicio de sesión, no la ingrese. En su lugar, recomendamos abrir la página oficial desde otra ventana o pestaña del navegador y luego navegar al sitio web desde allí.
  • Tenga cuidado al descargar y extraer archivos comprimidos como .zip, .rar, etc., independientemente de si la fuente del correo electrónico es legítima o no.
  • Instale dispositivos y aplicaciones con las últimas actualizaciones.
  • Actualice las soluciones de seguridad instaladas en el dispositivo.

Por otro lado, dado que esta amenaza también se propaga a través de medios extraíbles, también hemos enumerado varias sugerencias para esta situación:

  • Tenga en cuenta los posibles cambios en los archivos.
  • Tenga en cuenta: si tenemos dos archivos con el mismo nombre pero sus iconos son ligeramente diferentes.
  • Si hay archivos en estos dispositivos, escanéelos con una solución antivirus y no los ejecute directamente.

Tecnología MITTER ATT & CK

A continuación, vamos a mencionar las tecnologías MITTER ATT y CK que están presentes en esta amenaza.

Nota: Esta tabla fue creada con la versión 9 de la plataforma MITTER ATT & CK.

táctica Tecnología (ID) Apellido
Primera visita T1091 Copiar a través de medios extraíbles
T1566.001 Phishing: accesorios de spear phishing
darse cuenta T1059.001 Intérprete de comandos y scripts: PowerShell
T1059.005 Intérprete de comandos y guiones: Visual Basic
T1059.007 Intérprete de comandos y scripts: JavaScript / JScript
T1204.002 UserExecution: archivo malicioso
Evasión defensiva T1027 Documentos o información incomprensible
T1055 Implementación de procesos
T1112 Modificar el registro
T1548.002 Uso excesivo del control de altura: omitir el control de cuentas de usuario
T1564.001 Artefactos ocultos: archivos y directorios ocultos
descubrir T1057 Detección de procesos
T1082 Reconocer la información del sistema
T1518.001 Detección de software: detección de software de seguridad
recoger T1056 Captura de entrada
una fuga T1041 Penetración por el canal C2

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!