Duela gutxi, AhnLab Security Intelligence Center (ASEC) ikertzaile taldeak Notepad++ testu editore ezagunari eragiten dion malware kanpaina berri bat aurkitu du (WikiLoader). Erasotzaileek ahalegina egin zuten fitxategia karga gaiztoarekin mozorrotzeko, aplikazioaren instalazio paketearen itxura izan zedin.
Erabilitako teknika "DLL bahiketa " ezaguna da eta "mimeTools.dll" plugin lehenetsiari eragiten dio bereziki (Base64 kodeketa eta beste zeregin batzuk egiteko erabiltzen da). Modulu hau automatikoki kargatzen da programa abiaraztean, beraz, erasotzaileek hori aprobetxatu zuten hura aldatzeko eta malwarea aktibatzeko.
Eraso-fluxua
Lehenik eta behin, erasotzaileek kalterik gabeko ziurtagiri gisa mozorrotutako shell-kode gaiztoa gehitu zuten, "Certificate.pem", instalazio paketeari. Hauek "DllEntryPoint.dll" izeneko mimeTools.dll-en funtzioetako bat aldatu zuten, horrela mozorrotutako fitxategia kargatu, deszifratu eta exekutatu ahal izateko. Hurrengo irudian instalazio-pakete ofizialen eta maltzurren arteko fitxategien konparazioa ikus dezakezu:
Shellcode gaiztoak "BingMaps.dll" fitxategia aldatzen du, zehazkiago "GetBingMapsFactory()" funtzioaren kodea gainidazten du. Une honetan exekuzio-fluxu bat sortzen da, erasotzaileak exekuzio-haria txertatzeko aukera ematen diona “explorer.exe” aplikazioan, honek erasoaren iraupena bermatzen du eta detektatzeko zailagoa da.
Malwarea exekutatzen denean, Komando eta Kontrol batera konektatzen da (C2) eta bertan makinatik jasotako datuak bidaltzen ditu (Makinaren izena, erabiltzailearen izena, erabiltzailea administratzaileen taldeko kidea bada, hizkuntza eta sistemaren ordua). C2-ra konektatu ondoren (Wordpress-en saio-hasiera orri gisa planteatzen da), karga bat deskargatzen da eta hutsik geratzen da.
Ondorioa
Erasotzaileen taldeak biktimaren makinan sarbide-puntu bat ezartzea du helburu, eta horretarako erabiltzaileek oso erabilia duten tresna bat aprobetxatuz egiten dute, hala nola Notepad++. WikiLoader-ek pribatutasun-arrisku handia dakar, kutsatutako sistemari buruzko informazioa biltzen baitu eta Zerolynx-en jarraibide batzuk jarraitzea gomendatzen dugu zure sistemak seguru mantentzeko:
• Deskargatu beti aplikazioak iturri ofizial eta fidagarrietatik.
• Eguneratu aldizka aplikazioak eta sistemak adabakiak dituen azken bertsioarekin.
*Argazki guztiak ASECen webgune ofizialetik lortzen dira, sartu hurrengo esteka ahultasun honi buruz gehiago jakin nahi baduzu.
Javier Muñoz , Zerolynxeko zibersegurtasun analista .
