Reading Time: 2 minutes
Microsoft emite comunicado sobre nova campanha envolvendo o RAT FlawedAmmyy via documentos MS Excel.

A Microsoft descobriu uma nova campanha com uma sofisticada cadeia de infeção, apresentando o notório FlawedAmmyy RAT como carga final. O ataque começa com um email que contém anexos .XLS e o conteúdo do email é apresentado no idioma coreano.

Campanhas anteriores que envolvem o FlawedAmmyy RAT são realizadas por agentes de ameaças TA505, após a execução bem-sucedida da backdoor, o invasor pode controlar a máquina remotamente, aceder aos ficheiros da máquina infetada e capturar screenshots remotos.

[SI-LAB] FlawedAmmyy Leveraging Undetected XLM Macros as an Infection Vehicle

 

 

Neste caso em concreto, o ficheiro maliciosos XLS é entregue por mail e quando executado ele automaticamente lança uma função macro que executa o Windows Installer msiexe.exe usado para descarregar pacotes MSI e MSP.

 

O ficheiro MSI contém um executável assinado digitalmente que é extraído e executado, decfira e executa outro ficheiro executável wsus.exe na memória, que, por sua vez, decifra e executa o último stage na memória.

O último stage que é entregue diretamente na memória é o FlawedAmmyy, de acordo com o Microsoft Security Intelligence. O FlawedAmmyy assinado digitalmente usando um certificado de assinatura de código emitido pelo Thawte para a empresa Dream Body Limited. Parece que o RAT foi assinado e carimbado em 19 de junho e as amostras detetadas em 22 de junho.

 

As principais funções do FlawedAmmyy são:

  • Remote Desktop control
  • File system manager
  • Proxy support
  • Audio Chat

 

No início deste ano, o APT TA505 distribuiu o FlawedAmmyy RAT por meio de documentos MS Excel com macro do Excel 4.0 que são dificeis de ser detectadas por controlos padrão de segurança.