Spammers contrabandean LokiBot a través de la táctica de ofuscación de URL

La táctica fue descubierta en correos electrónicos recientes de spear-phishing con archivos adjuntos de PowerPoint, que contienen una macro maliciosa. Cuando se abre el archivo de PowerPoint, el documento intenta acceder a una URL a través de un binario de Windows (mshta.exe), y esto lleva a que se instalen varios programas maliciosos en el sistema. […]

La táctica fue descubierta en correos electrónicos recientes de spear-phishing con archivos adjuntos de PowerPoint, que contienen una macro maliciosa.

Cuando se abre el archivo de PowerPoint, el documento intenta acceder a una URL a través de un binario de Windows (mshta.exe), y esto lleva a que se instalen varios programas maliciosos en el sistema.

Este proceso no es inusual para los descargadores de macros. Sin embargo, debido a que ya se sabe que los dominios asociados con la campaña albergan archivos y datos maliciosos, los atacantes utilizaron un ataque semántico único en las URL de la campaña para engañar al destinatario del correo electrónico y evitar ser marcado por correo electrónico y escáneres AV. Un ataque de URL semántica es cuando un cliente ajusta manualmente los parámetros de su solicitud manteniendo la sintaxis de la URL, pero alterando su significado semántico.

Táctica de ofuscación

Es importante distinguir entre una URL y una URI. Un URI es un identificador de un recurso específico, como una página, un libro o un documento. Mientras tanto, una URL es el tipo más común de URI que también les dice a los usuarios cómo acceder a ella (como HTTP o FTP).

Un URI se compone de un esquema, un host y una ruta. El esquema identifica el protocolo que se utilizará para acceder al recurso en Internet, mientras que el host identifica el host que contiene el recurso y la ruta identifica el recurso específico en el host al que el cliente web desea acceder.

El señuelo del correo electrónico de spear phishing

Los spammers detrás de este ataque se han concentrado en un componente del esquema de URI llamado componente de autoridad, que contiene una parte opcional de información del usuario. Si el subcomponente “userinfo” está presente, está precedido por dos barras y seguido de un carácter “@”. Un ejemplo de esta estructura de autoridad es el siguiente: autoridad = [userinfo @] host [: puerto].

Debido a que la “información de usuario” no se usa comúnmente, los servidores a veces la ignoran, dijeron los investigadores. En esta campaña específica, los atacantes se aprovecharon de este hecho, utilizando lo que los investigadores llamaron información de usuario “ficticia” para ocultar su verdadera intención.

El resultado final es que, a simple vista, los usuarios finales que hacen clic en el enlace pueden creer que se les dirige a un dominio, pero la URL es en realidad para otro.

En esta campaña específica, la URL utilizada (j [.] Mp / kassaasdskdd) en realidad utiliza un servicio de acortamiento de URL ofrecido por Bit.ly y conduce a Pastebin, que es un sitio web que permite a los usuarios compartir texto sin formato a través de publicaciones públicas llamadas “pastas . 

Debido a que no se requiere información de usuario para obtener acceso a ningún recurso, los datos de información de usuario se ignorarán cuando se acceda a la URL, lo que significa que, a primera vista, no está claro que la URL se acorte y redirigirá a los usuarios a Pastebin a pesar de las puertas de seguridad.

El archivo adjunto de PowerPoint y su código de macro donde se formula la URL maliciosa inicial.