AndroMut: Nuevo descargador para el RAT FlawedAmmyy dirigido por TA505
- Publicado: 07/07/2019
- Importancia: Baja
- Recursos afectados
AndroMut es un nuevo Malware Dropper (descargador de malware) escrito en lenguaje C++ el cual empezó a hacer su aparición en junio de 2019. Su nombre está compuesto de un malware de nombre Andrómeda “Andro” y “Mut” de basado en un mutex.
Este Malware resuelve con éxito la mayor cantidad de llamadas de la API (Application Programming Interface) de Windows en tiempo de ejecución a través de hash y usando dos formas de descifrar cadenas. En este caso, la cadena cifrada se decodifica en base64 y luego se descifra con AES-256 en modo ECB. Además, AndroMut utiliza diversas técnicas de análisis y persistencia para evadir la detección.
En el año transcurrido se observaron dos campañas de Malspam distribuyendo documentos adjuntos HTM o HTML. La primera campaña fue dirigida hacía Corea del sur y la segunda a entidades financieras en Singapur, EAU y EE. UU. Los archivos adjuntos HTM o HTML contenían enlaces a la descarga de un archivo de Office. Dependiendo del caso específico, el archivo de Word o Excel entregado utilizó macros para ejecutar un comando Msiexec que descargaría y ejecutaría el cargador FlawedAmmyy o AndroMut. En los casos que involucraron a AndroMut, e identifico la descarga de FlawedAmmyy.
- Etiquetas