Exaramel

La herramienta de piratería Exaramel es una amenaza, que se detectó recientemente en una de las campañas del grupo de piratería TeleBots. Al estudiar la amenaza, los investigadores de malware notaron que el malware Exaramel es bastante similar a otra herramienta de piratería en el arsenal del grupo TeleBots llamado Industroyer. El grupo de pirateo de TeleBots ha estado muy activo en los últimos años y ha aparecido en muchos titulares con sus campañas amenazantes. Su operación más famosa tuvo lugar en 2015 y los involucró, causando un apagón, que nunca antes se había logrado con malware. El grupo TeleBots también es el que está detrás del infame Petya Ransomware , que afectó a la Web por un tiempo. La amenaza bloquearía el MBR (Master Boot Record) del disco duro en el sistema de destino.

Entregado como carga secundaria

El malware Exaramel es un troyano de puerta trasera, y se implementa como un malware de segunda etapa. Otra de las herramientas de piratería del grupo TeleBots ayuda a que la amenaza Exaramel sea entregada al host al pasar las medidas de seguridad en la computadora. La carga útil de la primera etapa, que ayuda al malware Exaramel a comprometer el sistema, también se asegura de detectar cualquier software o herramienta que pueda estar relacionado con la depuración de malware. Si los resultados de la prueba son positivos, el ataque se detendrá. Esto hará que sea menos probable que los investigadores de malware tengan en sus manos la puerta trasera Exaramel y la diseccionen. Sin embargo, si el ataque continúa, los archivos de la puerta trasera Exaramel se inyectarán en la carpeta de Windows. Luego, la amenaza se asegurará de que se inicie un nuevo servicio llamado 'wsmprovav' al iniciar el sistema. Este servicio se describe como 'Windows Checked AV', que pretende hacer que parezca un servicio legítimo y no parte de una operación maliciosa.

Capacidades

La clave de registro de Windows almacena todas las configuraciones del malware Exaramel, que no es una técnica muy común. El troyano de puerta trasera recibe información sobre la ruta de almacenamiento de los archivos cargados, los detalles del proxy, los datos relacionados con el servidor C&C (Comando y Control), y permite que la amenaza realice una comprobación web básica. El troyano de puerta trasera Exaramel es capaz de:

• Ejecutando scripts de VBS.
• Escribir archivos en el sistema local.
• Ejecución de software.
• Subir archivos a la ruta de almacenamiento mencionada anteriormente.
• Ejecutando comandos de shell.

El grupo de pirateo TeleBots a menudo usaba el troyano de puerta trasera Exaramel al unísono con las herramientas de pirateo CredRaptor y Mimikatz . Los autores del malware Exaramel también han desarrollado una versión de la amenaza escrita en el lenguaje de programación Go, que permite que la herramienta de hackeo apunte a servidores y sistemas Linux.