Un nuevo tipo de malware fue detectado por los “Cyble Research and Intelligence Labs (CRIL)”. La nueva variedad de malware denominada DuckLogs permite realizar múltiples actividades maliciosas en sistemas Windows como son: robo de información sensible (Stealer), captura del teclado de la víctima (Keylogger), robo de información a través de cambios en el portapapeles (Clipper) y Acceso remoto por parte del atacante.

El archivo principal por el que se esparce este malware es BkfFB.exe el cual decodifica y ejecuta la dll codificada en base64 Bunifu.UI.dll. Este modulo es un archivo .NET ofuscado el cual ejecuta la función Bunifu_TextBox() para recuperar la imagen de mapa de bits "Gmtpo" presente en el archivo principal BkfFB.exe ya que este malware utiliza una técnica de esteganográfica para ocultarse. De esta imagen se extrae y ejecuta el archivo MajorRevision.exe.

El archivo MajorRevision.exe recupera el archivo DuckLogs.exe a travez de la conversión de otra matriz de bytes. El archivo DuckLogs.exe es también un archivo .NET de 32 bytes protegido u ofuscado por Ofuscator (1.0).

Primeramente, el archivo DuckLogs.exe ejecuta mediante powershell el siguiente comando con el fin de desinstalar el windows defender para no ser detectado:

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe” Uninstall-WindowsFeature -Name Windows-Defender

El Stealer busca información sensible como correos, cookies, historial de navegación, descargas y contraseñas. De igual manera intenta detectar si se tiene alguna crypto wallet instalada para robar la dirección.

En caso de tener alguna crypto wallet instalada, el Clippper remplazara las direcciones de esta con la dirección del atacante, de forma que los depósitos o las criptomonedas minadas se envíen directamente a la wallet del atacante.

El Keylogger se mantiene a la escucha todo el tiempo con el fin de obtener información sensible.

Se detectaron los siguientes servidores C&C:

• hxxps[:]//lovableduck[.]ru
• hxxp[:]//amolospatos[.]ru
• hxxp[:]//cuackquack[.]ru
• hxxps[:]//patopequeño[.]ru

El malware posee una interfaz gráfica a traves de la cual puede detectar la la cantidad de victimas infectadas.

Y de igual forma se cuenta con un panel en el que se puede configurar o de cierta forma personalizar el malware para realizar diversas acciones de manera remota

Entre las acciones que pueden ejecutarse de manera remota se encuentran:

• Transferir o ejecutar archivos en la máquina de la victima
• Abrir una URL en el navegador
• Apagar, reiniciar o bloquear la máquina
• Desinstalar el malware de la maquina
• Enviar mensaje
• Realizar un ataque de negación de servicio (DoS)
• Mostrar la "pantalla azul de la muerte"
• Deshabilitar mouse y teclado del usuario

Solución

• Mantener dentro de los equipos programas de antivirus actualizados para que sean capaces de detectar nuevas familias de malware, en este caso los DuckLogs.
• Mantenerse pendientes de que el contenido copiado y pegado sea idéntico en especial al copiar información bancaria o ‘wallets’ de criptomonedas.
• Educarse y educar a los empleados con el fin de evitar caer en phishing o spamming.
• Bloquear URLs que puedan propagar malware.  

Referencias

https://www.bleepingcomputer.com/news/security/new-ducklogs-malware-service-claims-having-thousands-of-customers-/