Alertas de seguridad

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

AndroMut: Nuevo descargador para el RAT FlawedAmmyy dirigido por TA505

  • Publicado: 07/07/2019
  • Importancia: Baja
Recursos afectados

AndroMut es un nuevo Malware Dropper (descargador de malware) escrito en lenguaje C++ el cual empezó a hacer su aparición en junio de 2019. Su nombre está compuesto de un malware de nombre Andrómeda “Andro” y “Mut” de basado en un mutex. 

Este Malware resuelve con éxito la mayor cantidad de llamadas de la API (Application Programming Interface) de Windows en tiempo de ejecución a través de hash y usando dos formas de descifrar cadenas. En este caso, la cadena cifrada se decodifica en base64 y luego se descifra con AES-256 en modo ECB. Además, AndroMut utiliza diversas técnicas de análisis y persistencia para evadir la detección.

En el año transcurrido se observaron dos campañas de Malspam distribuyendo documentos adjuntos HTM o HTML. La primera campaña fue dirigida hacía Corea del sur y la segunda a entidades financieras en Singapur, EAU y EE. UU.  Los archivos adjuntos HTM o HTML contenían enlaces a la descarga de un archivo de Office. Dependiendo del caso específico, el archivo de Word o Excel entregado utilizó macros para ejecutar un comando Msiexec que descargaría y ejecutaría el cargador FlawedAmmyy o AndroMut. En los casos que involucraron a AndroMut, e identifico la descarga de FlawedAmmyy.

image.png

Etiquetas