Recentment el grup d'investigadors d'AhnLab Security Intelligence Center (ASEC) han descobert una nova campanya de codi maliciós (WikiLoader) que afecta el popular editor de text Notepad++. Els atacants es van esforçar per disfressar el fitxer amb la càrrega maliciosa, de manera que s'assemblés a un de propi del paquet d'instal·lació de l'aplicació.
La tècnica utilitzada és la ja coneguda “segrest de DLL o DLL hijacking ” i concretament afecta el complement predeterminat “mimeTools.dll” (s'utilitza per realitzar codificació a Base64 i altres tasques). Aquest mòdul es carrega automàticament quan s'inicia el programa, per la qual cosa, els atacants van aprofitar aquest fet per modificar-lo i que activés el codi maliciós (malware).
Flux de l'atac
Primerament, els atacants van afegir al paquet d'instal·lació un codi shell maliciós disfressat com a certificat inofensiu, “Certificate.pem”. Aquests van modificar una de les funcions de mimeTools.dll anomenada “DllEntryPoint.dll”, permetent així carregar el fitxer disfressat, desxifrar-lo i executar-lo. A la imatge següent es pot veure la comparació d'arxius entre els paquets d'instal·lació oficials i maliciosos:
El codi shell maliciós modifica el fitxer “BingMaps.dll”, més concretament el codi de la funció “GetBingMapsFactory()” és sobrescrit per aquest. En aquest punt es crea un flux d'execució que permet a l'atacant injectar un fil d'execució a l'aplicació explorer.exe, això garanteix la persistència de l'atac i fa que sigui més difícil de detectar.
El codi maliciós en executar-se es connecta a un Command and Control (C2) on envia dades recopilades de la màquina (Nom de la màquina, nom d'usuari, si l'usuari és membre del grup d'administradors, idioma i hora del sistema). Després de connectar-vos al C2 (es fa passar per una pàgina d'inici de sessió de Wordpress), es fa una descàrrega d'un payload que és buit.
Conclusió
El grup d‟atacants tenen l‟objectiu d‟establir un punt d‟accés a la màquina víctima, i ho fan aprofitant-se d‟una eina tan utilitzada pels usuaris com Notepad++. WikiLoader planteja un risc important de privadesa, ja que recopila informació sobre el sistema infectat i des de Zerolynx recomanem seguir unes pautes que mantinguin els vostres sistemes fora de perill:
• Descarregar les aplicacions sempre des de fonts oficials i fiables.
• Actualitzar regularment les aplicacions i sistemes amb la darrera versió que continguin pegats.
*Totes les fotos estan obtingudes de la pàgina oficial d'ASEC, accedeix al següent enllaç si vols saber més profundament sobre aquesta vulnerabilitat.
Javier Muñoz , Analista de Ciberseguretat a Zerolynx .
