ZxxZ Trojan

El troyano ZxxZ es una amenaza de malware previamente desconocida, que se implementa como parte de las operaciones dañinas atribuidas al grupo Bitter ATP (Advanced Persistent Threat). Los detalles sobre la amenaza en sí, así como la campaña de ataque, se revelaron al público en un informe de los investigadores de Cisco Talos. El objetivo principal del troyano ZxxZ es el gobierno de Bangladesh y el objetivo probable es el ciberespionaje y el robo de datos.

La amenaza se entrega como un archivo ejecutable de Windows de 32 bits en los dispositivos violados. Es capaz de obtener y luego ejecutar módulos corruptos adicionales. Estos componentes se colocan en las máquinas infectadas como archivos con nombres genéricos similares a 'ntfsc.exe', 'Update.exe', etc. Los módulos se almacenan en la carpeta de datos de la aplicación local y se ejecutan como una actualización de seguridad de Windows.

El troyano ZxxZ está equipado con varias características anti-detección, incluidas cadenas ofuscadas, la capacidad de buscar y eliminar los procesos de Windows Defender y otras soluciones antimalware. Posteriormente, la amenaza activará una función de recopilación de información. Los datos adquiridos se almacenarán en un búfer de memoria, antes de ser exfiltrados a los servidores de Comando y Control (C2) de la operación. La respuesta del servidor C2 será un ejecutable portátil colocado en la ubicación '%LOCALAPPDATA%\Debug\'. En caso de error durante la entrega de este ejecutable, ZxxZ volverá a intentar el proceso exactamente 225 veces antes de detenerse y salir.

Cabe señalar que los investigadores encontró dos cadenas de infección, ambas versiones comienzan con un correo electrónico de spear-phishing. Estos mensajes señuelos se esconden detrás de direcciones de correo electrónico falsificadas para pasar como correspondencia legítima proveniente de organizaciones gubernamentales paquistaníes. Sin embargo, los archivos adjuntos armados pueden ser diferentes. En un caso, los correos electrónicos de señuelo incluían un archivo .RTF que explota la vulnerabilidad CVE-2017-11882 para comprometer máquinas con versiones vulnerables de Microsoft Office. La otra variación de la cadena de ataque utiliza un documento .XLSX en su lugar. Esta vez, los atacantes aprovechan las vulnerabilidades CVE-2018-0798 y CVE-2018-0802 para activar la ejecución remota de código en instancias obsoletas de Microsoft Office.