SLOTHFULMEDIA
SlothfulMedia es un lanzador de malware que fue objeto de un informe emitido por el Departamento de Seguridad Nacional (DHS) mediante la combinación de hallazgos de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Fuerza de Misión Nacional Cibernética (CNMF). La amenaza de malware está diseñada para colocar dos archivos adicionales en el sistema comprometido: un troyano de acceso remoto (RAT), mientras que el otro archivo es responsable de eliminar el RAT una vez que se logra la persistencia.
El archivo del cuentagotas principal tiene la tarea de descargar la carga útil RAT como un archivo llamado 'mediaplayer.exe' y colocarlo en la carpeta ' % AppData% \ Media \ '. Un archivo 'media.lnk' también se coloca en la misma ruta. Luego procede a descargar un archivo en la carpeta ' % TEMP% ', darle un nombre aleatorio de cinco caracteres y agregarlo con la extensión .'exe '. Para asegurarse de que al usuario le resulte más difícil darse cuenta de este archivo, se crea con un atributo 'oculto'. El archivo dropper también es responsable de crear el mecanismo de persistencia para la RAT. Lo logra creando un proceso de 'TaskFrame' que ejecutará la RAT en cada inicio del sistema. La comunicación con la infraestructura de Comando y Control (C2, C&C) se logra a través de solicitudes HTTP y HTTPS al dominio 'www [.] Sdvro.net'.
La carga útil RAT en sí misma es capaz de tomar el control completo sobre la computadora comprometida. Comienza su actividad de recopilación de datos tomando una captura de pantalla del escritorio, nombrándola 'Filter3.jpg' y colocándola dentro del directorio local. A continuación, recopila varios datos del sistema, como el nombre de la computadora y el usuario, la versión del sistema operativo, el uso de la memoria y las unidades lógicas conectadas. La información se transforma en una cadena, luego se procesa y se envía como parte de la comunicación inicial con el servidor C2. Si todo funciona sin problemas, la RAT esperará a que se ejecute un comando específico en la máquina infectada. Puede manipular archivos, ejecutar y detener procesos, enumerar puertos abiertos, unidades, archivos, directorios y servicios, tomar capturas de pantalla; modificar el Registro, entre otras actividades amenazantes.
El archivo con el nombre aleatorio entregado por el cuentagotas es responsable de eliminar algunos de los signos reveladores de la actividad de la RAT. Modifica el Registro para garantizar que el ejecutable principal del malware se elimine en el próximo reinicio del sistema. La clave de registro que utiliza es:
'HKLM \ System \ CurrentControlSet \ Control \ SessionManager \ PendingFileRenameOperations
Datos: \ ?? \ C: \ Users \ \ AppData \ Local \ Temp \ wHPEO.exe. '
El historial de Internet del usuario también se borrará eliminando el archivo 'index.dat'.
