Los investigadores del grupo Talos de Cisco publicaron una investigación sobre un ataque dirigido por un documento malicioso de Microsoft Word que oculta sus operaciones. Escrito completamente en Windows PowerShell, la herramienta de acceso remoto se comunica con el atacante a través de un servicio que casi nunca está bloqueado: el servicio de nombres de dominio.

El malware fue descubierto por un investigador de seguridad (@simpo13) que alertó a Talos debido a una peculiar característica del código que descubrió: nombró a los dispositivos de seguridad SourceFire de Cisco con el texto codificado, "SourceFireSux".

Enviado como un archivo adjunto de correo electrónico, el documento malicioso de Word fue diseñado "para aparentar estar asociado con un servicio de correo electrónico seguro garantizado por McAfee", escribieron los investigadores de Talos Edmund Brumaghin y Colin Grady en un blog.

Una vez abierto, el documento inicia una macro para Aplicaciones de Visual Basic (que previamente fue vista y colocada en PasteBin aparentemente por John Lambert, el Administrador General del Threat Intelligence Center de Microsoft) que ejecuta comandos de PowerShell e instala una puerta trasera en el sistema. "El hash enumerado en el Pastebin nos llevó a un documento malicioso de Word que también había sido cargado en una sandbox pública", escribieron los investigadores de Talos. "El documento de Word inició el mismo proceso de infección en múltiples etapas que el archivo del informe del Análisis Híbrido, el cual descubrimos anteriormente, y nos permitió reconstruir un proceso de infección más completo".

La secuencia de comandos de VBA descomprime una segunda etapa comprimida y ofuscada de PowerShell, que determina si el usuario que deja pasar el malware tiene acceso administrativo y qué versión de PowerShell está instalada en el sistema. A continuación, realiza cambios en el Registro de Windows e instala una tercera etapa, una secuencia de comandos de PowerShell que actúa como una puerta trasera discreta y sencilla. Si el usuario tiene acceso administrativo, el instalador PowerShell añade la puerta trasera a la base de datos de Windows Management Instrumentation (WMI), lo que le permite permanecer persistente en el sistema después de reiniciar.

La puerta trasera realiza periódicamente solicitudes de DNS a una de una serie de dominios ofuscados dentro del código. Como parte de esas solicitudes, recupera registros TXT del dominio, que contienen otros comandos de PowerShell: comandos que se ejecutan, pero nunca se escriben en el sistema local. Este script de "cuarta etapa" es la herramienta de control remoto utilizada por el atacante. "La etapa 4 es responsable de consultar a servidores C2 a través de consultas DNS de registros TXT para preguntar qué comandos ejecutar", mencionó Edmund Brumaghin a Ars a través de correo electrónico. "Si se recibe un comando, se ejecuta y la salida o resultados del comando se comunican al servidor C2, lo que básicamente le da al atacante la capacidad de ejecutar cualquier comando de Windows o de aplicación disponible en el host infectado".

El tipo de comandos maliciosos que el atacante estaba utilizando en este backdoor de DNS aún no se conocen. "No pudimos obtener la infraestructura C2 para emitir comandos durante nuestras pruebas", dijo Brumaghin. "Dada la naturaleza específica de este ataque, es probable que los atacantes sólo emitan comandos C2 activos a su destino".