Un nuevo informe del Grupo Talos de Cisco sugiere que el hackeo de CCleaner era más sofisticado de lo que inicialmente se pensaba. Los investigadores encontraron evidencia de una segunda carga útil durante su análisis del malware que se dirigía a grupos muy específicos basados en dominios.

El 18 de septiembre de 2017 Piriform informó que la infraestructura de la empresa distribuyó una versión maliciosa del software de limpieza de archivos CCleaner durante aproximadamente un mes.

La infraestructura de la empresa se vio comprometida, y los usuarios que descargaron la versión 5.33.6162 de CCleaner del sitio web o utilizaron actualizaciones automáticas para instalarla, obtuvieron la versión infectada en su sistema.

Hablamos de métodos para identificar si una versión infectada está instalada en el sistema. Probablemente el mejor indicador, aparte de comprobar la versión de CCleaner, es comprobar la existencia de claves de Registro siguiente:

HKLM\SOFTWARE\Piriform\Agomo

Piriform declaró rápidamente que los usuarios podían resolver el problema actualizando a la nueva versión libre de malware de CCleaner.

Un nuevo informe sugiere que esto puede no ser suficiente.

El Grupo Talos encontró pruebas de que el ataque era más sofisticado, ya que se dirigía a una lista específica de dominios con una segunda carga útil. La lista de dominios es la siguiente:

  • singtel.corp.root
  • htcgroup.corp
  • samsung-breda
  • samsung
  • samsung.sepm
  • samsung.sk
  • jp.sony.com
  • am.sony.com
  • gg.gauselmann.com
  • vmware.com
  • ger.corp.intel.com
  • amr.corp.intel.com
  • ntdev.corp.microsoft.com
  • cisco.com
  • uk.pri.o2.com
  • vf-es.internal.vodafone.com
  • linksys
  • apo.epson.net
  • msi.com.tw
  • infoview2u.dvrdns.org
  • dfw01.corp.akamai.com
  • hq.gmail.com
  • dlink.com
  • test.com

Los investigadores sugieren que el atacante perseguía la propiedad intelectual basándose en la lista de dominios que pertenecen a empresas tecnológicas de alto perfil.

Curiosamente, la matriz especificada contiene el dominio de Cisco (cisco. com) junto con otras compañías de tecnología de alto perfil. Esto sugeriría un actor muy centrado después en una valiosa propiedad intelectual.

El Grupo Talos sugirió restaurar el sistema informático utilizando una copia de seguridad creada antes de la infección. La nueva evidencia refuerza esto, y los investigadores sugieren fuertemente que puede que no sea suficiente con actualizar CCleaner para deshacerse del malware.

Estos hallazgos también respaldan y refuerzan nuestra recomendación anterior de que los afectados por este ataque a la cadena de suministro no deberían simplemente eliminar la versión afectada de CCleaner o actualizarla a la última versión, sino que deberían restaurar desde las copias de seguridad o imagen de sistema para asegurarse de que eliminan completamente no sólo la versión con malware de CCleaner, sino también cualquier otro malware que pueda residir en el sistema.

El instalador de la etapa 2 es GeeSetup_x86.dll. Comprueba la versión del sistema operativo, e instala en el sistema basado en la comprobación una versión de 32 o 64 bits del troyano.

El troyano de 32 bits es TSMSISrv.dll, el troyano de 64 bits es EFACli64.dll.

Identificación de las cargas útiles de la etapa 2

Claves de registro:

  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\001
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\002
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\003
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\004
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\HBP

Archivos:

  • GeeSetup_x86.dll (Hash: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83)
  • EFACli64.dll (Hash: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f )
  • TSMSISrv.dll (Hash: 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902 )
  • DLL in Registry: f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a
  • Stage 2 Payload: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83

Fuente: ghacks

Anuncios