Listo para SVC

Los ciberdelincuentes están utilizando un cargador de malware previamente desconocido entregado a través de ataques de phishing. Los detalles sobre la amenaza y sus campañas de ataque asociadas se revelaron al público en un informe de HP. Según los hallazgos de los investigadores, la amenaza rastreada como SCVReady usa una técnica inusual cuando se carga en el dispositivo de la víctima. Cabe señalar que, aunque la amenaza no se puede atribuir de manera concluyente a un grupo APT específico, existen ciertos vínculos entre la campaña de ataque y las operaciones de amenaza anteriores realizadas por el grupo TA551 (Shatack).

SVCReady se distribuye dentro de archivos de Word envenenados adjuntos a correos electrónicos atractivos. Los archivos corruptos todavía usan macros de VBA para ejecutar shellcode, que a su vez entrega la carga útil desde una ubicación remota. Sin embargo, en el caso de SVCReady, las macros de VBA y el código de shell se separan, y los atacantes ocultan el código de shell comprometido dentro de las propiedades del archivo. Una vez que la amenaza se haya implementado en el sistema, primero realizará la recopilación de información inicial a través de consultas del Registro y llamadas a la API de Windows. Los datos adquiridos luego se transmitirán a un servidor de comando y control (C2, C&C). La comunicación entre las versiones posteriores de la amenaza y su servidor C2 está cifrada con RC4.

El cargador también intentará determinar si se está ejecutando dentro de un entorno virtualizado realizando dos consultas WMI. Dependiendo de los resultados, SVCReady podría entrar en un estado de suspensión de 30 minutos. En cuanto a su mecanismo de persistencia, la amenaza creará una tarea programada y una nueva clave de registro en el sistema violado. Sin embargo, la implementación de esta función actualmente es defectuosa y genera errores que impiden que el malware se inicie después de reiniciar. Esta funcionalidad podría corregirse en una de las próximas versiones, ya que los investigadores de HP señalan que SVCReady aún se encuentra en desarrollo activo. Los actores de amenazas pueden indicar al malware que tome capturas de pantalla arbitrarias, ejecute comandos de shell, ejecute un archivo elegido o obtenga cargas útiles de amenazas adicionales.