Recentemente, foi observado que o Morphisec Labs testemunhou uma nova onda de infecções por JSSLoader este ano. A atividade do JSSLoader tem sido rastreada pelo Morphisec Labs desde dezembro de 2020, e um relatório abrangente foi lançado sobre o carregador JSS usado pelo grupo de hackers russo FIN7 (também conhecido como Carbanak).
Além de exfiltrar dados, estabelecer persistência, buscar e carregar cargas adicionais e atualizar automaticamente, o JSSLoader também é capaz de estabelecer persistência para cargas externas.
Resumindo, o JSSLoader RAT (trojan de acesso remoto) é um RAT extremamente capaz, mas pequeno. E a nova versão do JSSLoader é entregue por invasores por meio de arquivos.XLL.
Cadeia de infecção e suplementos XLL Excel
Analistas de ameaças do Morphisec Labs observado a nova campanha que envolve uma versão mais furtiva do JSSLoader. Essa cadeia de infecção também funciona de forma semelhante a outras infecções XLL, onde a vítima recebe um e-mail com um anexo malicioso, seja um arquivo XLM ou XLL anexado a ele.
Ao baixar e executar o anexo, o Microsoft Excel executa o código malicioso contido no arquivo “.xll” e, em seguida, de um servidor remoto baixa a carga útil.
Os suplementos XLL do Excel são comumente usados indevidamente para importar dados para uma planilha ou estender a funcionalidade do Excel, embora sejam comumente usados para fins legítimos.
Nos estágios iniciais da infecção por malware, um suplemento do Excel com extensão XLL é usado para baixar o JSSLoader para um computador infectado. Quando o usuário executa o arquivo, um pop-up aparece, pois o arquivo não está assinado.
O Excel chama a função xlAutoOpen sempre que um arquivo XLL é ativado, portanto, todo XLL deve implementar e exportar esta função. O malware executa a função mw_download_and_execute enquanto carrega a si mesmo, o arquivo “.XLL”, na memória.
Ofuscação sofisticada
Para evitar EDRs que consolidam informações de detecção de toda a rede, o agente da ameaça atualiza regularmente o User-Agent nos arquivos XLL.
Com o novo JSSLoader, o fluxo de execução é o mesmo, mas foi aprimorado com ofuscação de string, que inclui todas as variáveis e funções de renomeação.
Aqui, os RATs dividiram as strings em substrings, após o que as concatenaram em tempo de execução para evitar a detecção das regras YARA baseadas em strings usadas pelos defensores.
Para evitar os scanners de ameaças estáticos, os agentes da ameaça deixam uma pegada mínima e reduzem as chances de serem detectados pelo mecanismo de decodificação de strings.
No entanto, como resultado desta nova adição e do uso da entrega de arquivos XLL, a detecção será mais complexa e difícil para as soluções antivírus de próxima geração (NGAV) e de detecção e resposta de endpoint (EDR).
Resumindo, a maioria das soluções NGAV e EDR não detecta o dia zero. Os arquivos XLL que ocultam os JSSLoaders tornam-se quase impossíveis.
Você pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de notícias sobre segurança cibernética e hackers.
