Hackers lançando malware FlawedAmmyy por meio de macros do MS Excel não detectáveis

Agentes de ameaça do TA505 estão espalhando um poderoso RAT FlawedAmmyy via documentos MS Excel weaponized com malicioso do Excel 4.0 macro que é difícil de detectar por controles de segurança padrão.

A amostra observada do FlawedAmmyy é altamente sofisticada e pode controlar as vítimas infectadas remotamente e escapar facilmente de softwares de segurança.

O grupo TA505 é um grupo de cibercriminosos bem conhecido que já infectaram milhões de vítimas usando várias operações maliciosas, incluindo uma grande escala do Dridex, Locky, campanhas GlobeImposter entre outros.

Com base nos recursos do malware, ele será detectado somente quando passar do primeiro nível de execução pelo arquivo MSI (instalador do Windows).

O FlawedAmmyy RAT pode realizar várias operações, incluindo Remote Desktop Control, Gerenciador de arquivos, suporte a proxy e bate-papo de áudio.

Além dessas infecções, o malware também pode fornecer acesso completo das máquinas das vítimas aos invasores e roubar arquivos, credenciais, coletar capturas de tela e acessar a câmera e o microfone.

De acordo com o pesquisador de segurança Pedro Tavares em um e-mail enviado ao portal GbHackers. “Durante minha pesquisa, eu detectei uma onda recente distribuindo o RAT FlawedAmmyy via macros XLM que complicam sua detecção através de endpoints de segurança como AVs. Eu enviei a amostra para o VirusTotal e nenhuma atividade suspeita foi detectada. O Thread Actor 505 (TA505) está agora espalhando essa ameaça para infectar os dispositivos do usuário. ”

Processo de Infecção FlawedAmmyy

Agentes de ameaça do TA505 que inicialmente alavancaram uma campanha de malspam via e-mail para espalhar o FlawedAmmyy RAT, estão usando táticas antigas para o malware.

O e-mail contém documentos Excel anexados e o conteúdo do corpo do e-mail engana os usuários para abrir o arquivo que carrega e executa o código de macro malicioso do Excel 4.0.

“O código de macro mal-intencionado da XLM está localizado em um formato oculto para evitar a atenção das vítimas. O nome da forma oculta é escrito em russo: Макрос1  – traduzido Macro 1. ”

Após a execução bem sucedida do macro, o dropper MSI estará pronto para o primeiro estágio do processo msiexec.exe, que é outro downloader do RAR FlawedAmmyy original (wsus.exe).

Mais tarde, estabelece a comunicação do servidor C2, onde receberá o comando do atacante, mas o servidor C2 usado pelo invasor agora está offline com base na instrução do pesquisador. Se quiser ver detalhes completos da análise técnica clique aqui.

“Os usuários que recebem e-mails com arquivos xls anexados devem estar cientes, pois os arquivos podem ser um veículo não detectado espalhando qualquer tipo de malware e a Infecção depende da vítima, permitindo que a macro seja executada. Os usuários devem garantir que as macros estejam desabilitadas em seus aplicativos do Microsoft Office. Disse o pesquisador.

Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.