Existen muchas variedades de malware y también formas de distribución. Ningún sistema ni plataforma están exentos de poder sufrir algún tipo de ataque. Es por ello que tomar ciertas precauciones es muy importante para preservar el buen funcionamiento de nuestros equipos. Hoy nos hacemos eco de un nuevo malware que se distribuye a través de archivos de Microsoft Excel. Lo han denominado CHAINSHOT y se utiliza para explotar la vulnerabilidad de día cero de Adobe Flash, conocida como CVE-2018-5002.

Malware que se distribuye a través de un archivo Excel

Este malware se distribuye a través de documentos Excel. Este archivo contiene un pequeño objeto en Flash ActiveX y lo denominan Movie (película). Dentro hay una URL para instalar la aplicación Flash.

Los investigadores han podido descifrar la clave RSA de 512 bits y descifraron así la carga útil. Además, los también encontraron que la aplicación Flash era un descargador que crea un par de claves RSA de 512 bits al azar en la memoria del proceso. La clave privada permanece en la memoria y la clave pública se envía al servidor atacante para cifrar la clave AES (utilizada para cifrar la carga útil). Una vez ocurre esto, envían la carga cifrada al descargador y la clave privada existente para descifrar la clave y la carga AES de 128 bits.

Han sido los investigadores de seguridad de Palo Alto Networks los que descifraron esta amenaza y compartieron sus hallazgos.

Indicaron que mientras la clave privada permanece solo en la memoria, el módulo n de las claves públicas se envía al servidor del atacante. En el lado del servidor, el módulo se usa junto con el exponente codificado e 0x10001 para cifrar así la clave AES de 128 bits que se utilizó previamente para cifrar el exploit y la carga útil del shellcode.

Cuando este grupo de investigadores logró descifrar la clave AES de 128 bits, también pudieron descifrar la carga útil. Explicaron que una vez que la carga útil gana permisos RWE, la ejecución se pasa a la carga útil del shellcode que luego carga una DLL integrada internamente llamada FirstStageDropper.dll.

De ser exitoso este exploit, cargaría una carga útil del shellcode y un archivo DLL interno denominado FirstStageDropper.dll. A este archivo lo denominan CHAINSHOT y lo cargan en la memoria y lo ejecutan llamando a la función de exportación __xjwz97. La DLL contiene dos recursos. El primero de ellos es DLL x64 internamente denominado SecondStageDropper.dll y el segundo es un shellcode x64 kernelmode.

Cómo evitar ser víctima de esta amenaza

Ahora bien, ¿cómo podemos evitar ser víctimas de ello? Lo más importante es tener cuidado con posibles archivos que podamos recibir por e-mail o descargar de páginas web. Como hemos visto, en esta ocasión se trata de un archivo Excel que viene configurado de manera maliciosa.

Por tanto siempre hay que prestar atención a cualquier archivo sospechoso que se nos presente. Además también es importante contar con programas y herramientas de seguridad. De esta manera podremos hacer frente a diferentes variedades de malware que puedan comprometer nuestros equipos.

Muy importante también es actualizar siempre el dispositivo y las diferentes aplicaciones desde páginas oficiales. Por ejemplo, hay que evitar descargar Adobe Flash de cualquier sitio que encontremos, mucho menos de un archivo que hemos recibido. Es importante siempre hacerlo de páginas oficiales y que inspiren confianza.

Para ver más información sobre este informe que ha presentado el grupo de investigación de Palo Alto Network, podemos consultar su página web.