Hackers aprovechan Interfaz de Administración de Windows (WMIC) para distribuir Malware



El equipo de seguridad de Symantec, descubrió un malware que utiliza las herramientas legítimas de Windows para distribuir malware. La herramienta que utilizan es WMIC la cual sirve para poder ejecutar operaciones de Windows Management Interface tanto en equipos locales como remotos.

Los atacantes distribuyen un archivo de "Acceso Directo"(.ink) mediante una url o adjunto de correo electrónico, en el cual están embebidos comandos WMIC que al ejecutarlo, inicia un proceso de descarga de un archivo malicioso desde el servidor del atacante.

El archivo que se descarga desde el servidor remoto es un  XSL (Extensible Stylesheet Language) el cual posee un Javascript que ejecuta otro archivo legítimo (mshta.exe) el cual es usado para ejecutar Microsoft HTML Application Host. Los investigadores indicaron que el JavaScript contiene cerca de 52 listas de dominios y utilizan un puerto random entre el 25010 y el 25090 para descargar un archivo HTA.




Entonces el archivo HTA ejecutará un archivo DLL hwasrhela64196155383.dll con RegSvr32.exe, que es un ejecutable directo y carga DDL adicional, la exportación final es BTMEMO utilizada para descifrar y cargar los archivos DLL.

Finalizando el proceso el malware es capaz de:


  • Robar credenciales de corre
  • Robar credenciales almacenadas en el navegador
  • Network phishing
  • Navegador de Archivs
  • Minador
  • BackDoor
  • Keylogger
Fuente: gbhackers.com