Investigadores de UNIT42 descubrieron una nueva de campaña de malware llamada “Dudell” del grupo de ciberespionaje denominado Rancor.

El grupo Rancor está activo desde 2017, y hasta enero de 2019 su modo de operar estuvo dirigido a organizaciones gubernamentales. Pero los investigadores han descubierto que en esta nueva campaña, conforman una familia de malware que suponen es exclusiva de un pequeño subconjunto de grupos chinos de ciberespionaje.

Asimismo, se sabe que este grupo utiliza otra familia de malware llamada “Derusbi” para ejecutar una carga secundaria: una vez que se tiene comprometido el dispositivo objetivo, el malware se instala en la máquina de la víctima realizando dos rondas de ataque.

En un inicio, se detectó el malware “Dudell” en un archivo de Microsoft Excel adjunto a un correo electrónico, que hacía alusión a la compra de equipos de cómputo.

El modo de operar es el siguiente, en el momento que las víctimas abren el archivo adjunto y hacen clic en “Habilitar contenido”, se activa una Macro maliciosa que se ejecuta en las máquinas de las víctimas.

Se identificó que el malware exporta la función llamada DllInstall, observada en esta campaña y que es la responsable del comportamiento central del malware.

Una vez que se ejecuta esta función DllINstall, busca una ventana oculta que el malware creó previamente. Esta ventana tiene la función de indicar si el objetivo está infectado y además verifica que no se encuentre en ambientes de análisis sandbox. El malware envía información de la víctima como: nombre de host, dirección IP, paquete de idioma junto con otra información del sistema operativo.

Los investigadores observaron un script VB llamado Chrome.vbs asociado al grupo Rancor. Este VBScript está ofuscado y contiene datos empaquetados que se utilizan para infectar un objetivo con múltiples artefactos maliciosos.

Referencias:
https://www.redeszone.net/noticias/seguridad/dudell-campana-malware-excel/
https://unit42.paloaltonetworks.com/rancor-cyber-espionage-group-uses-new-custom-malware-to-attack-southeast-asia/
https://www.bleepingcomputer.com/news/security/chinese-rancor-apt-refreshes-malware-kit-for-espionage-attacks/