Grinju Downloader

El Grinju Downloader, como su nombre indica, es un tipo de malware de descarga. Esto significa que su función en la cadena de ataque es actuar como un cuentagotas de primera etapa responsable de entregar la carga útil real después de que la computadora objetivo ya se haya visto comprometida. Este gotero en particular muestra algunas características únicas cuando se trata de medidas anti-análisis y anti-detección.

En esencia, Grinju Downloader es un malware basado en macros que se distribuye a través de archivos de Excel envenenados. Sin embargo, a diferencia de otras amenazas similares, no existe un código VBA que se pueda analizar, ya que todo el código está contenido en la propia hoja de cálculo distribuida en miles de filas y numerosas celdas. Para que este método funcione, los piratas informáticos explotaron una antigua funcionalidad de Excel: la creación de una hoja de 'macro' donde las funciones de macro podrían agregarse directamente a las celdas. De hecho, cuando el usuario abre ese archivo dañado, habrá dos hojas presentes en él. El primero, que se presenta al usuario, se llama ' Hoja1 ' y contiene varios datos que serán utilizados por las funciones macro para realizar la agenda amenazante de la amenaza. La segunda hoja es la de 'macro' y contiene todas las funciones de macro que deben ejecutarse en orden. Se llama 'ij3Lv'.

Las técnicas exclusivas de sigilo y antianálisis están presentes en Grinju Downloader

Al abrir la segunda hoja, inicialmente presentará una pantalla de celda en blanco, incluso si se aleja por completo. Para encontrar dónde comienzan las funciones, los usuarios tendrán que desplazarse hacia abajo hasta R3887C240 - fila 3887, columna 40. Entre las diversas funciones, una cantidad considerable se dedica a obstaculizar los intentos de análisis de los investigadores de seguridad de la información. El Grinju Downloader es capaz de verificar si hay un mouse, determinar si el ancho y alto de la ventana de trabajo exceden tamaños específicos, si el sistema es capaz de reproducir sonidos y verificar si la macro se ejecuta en un modo de un solo paso. Todos estos indicadores podrían ser signos potenciales de que Grinju se está ejecutando en un entorno de caja de arena.

En un punto específico durante su operación, Grinju entra en un ciclo que se basa en una declaración 'Si'. Durante cada ciclo, los valores se incrementan en uno, y si la condición regresa como 'Verdadero', Grinju procede a formar el siguiente grupo de instrucciones.

Una técnica particularmente siniestra realizada por Grinju Downloader es la amenaza que desactiva la advertencia 'Habilitar contenido'. La primera etapa para lograr esto son las creaciones de un archivo de texto con un solo carácter, '1', que se coloca en la carpeta Temp. El significado de este valor se hace evidente al observar la siguiente función. Abre el Registro, navega hasta el subárbol de Advertencias de seguridad de Excel y escribe en ellos el valor que se tomó del archivo de texto. Esto significa que todas las macros a partir de ahora se ejecutarán automáticamente, sin que se muestren señales de advertencia al usuario.

Grinju Downloader realiza una verificación del entorno en el que se está ejecutando, y si detecta algo que no sea Windows, simplemente finaliza su ejecución. También determina si el sistema Windows tiene una arquitectura de 32 bits o de 64 bits, lo que da como resultado que se obtengan diferentes códigos de la hoja de Excel de macros. El último paso en la programación del malware es colocar un script en la ruta ' Local \ Temp \ Nvf.vbs ' responsable de la descarga y ejecución de la carga útil del malware de segunda etapa, que se entrega como un archivo llamado ' ZsQrgSU.html . '

Los piratas informáticos detrás del Grinju Downloader demuestran que incluso técnicas algo antiguas podrían producir resultados sorprendentemente eficientes.