WSHRAT: troyano de acceso remoto

Analizamos las principales características de WSHRAT, un troyano de acceso remoto (RAT) creado a partir del viejo malware Hworm que es utilizado activamente en campañas a nivel global.

Explicamos que es WSHRAT, como se propaga y cuáles son las principales características de este malware en actividad, según algunas muestras analizadas durante el segundo trimestre del 2021.

¿Qué es WSHRAT?

WSHRAT es un troyano de acceso remoto o RAT (por sus siglas en inglés).

Este tipo de código malicioso permite a los cibercriminales obtener acceso a la máquina de sus víctimas para realizar diversas actividades de espionaje y robar información personal, como credenciales almacenadas en navegadores o clientes de mensajería, por ejemplo, Outlook, así como descargar archivos adicionales, ejecutar comandos en la máquina, entre otras.

WSHRAT es una variante de Houdini Worm o H-Worm, un malware escrito en el lenguaje Visual Basic Script (VBS) que fue visto por primera vez en 2013 siendo comercializado en foros clandestinos.

Similitudes entre WSHRAT y H-Worm

Esta variante más reciente —fue detectada por primera vez en junio de 2019— puede estar escrita en el lenguaje VBS como también en JavaScript y hemos observado que cuenta con más comandos que su predecesor.

En la Imagen 1 podemos apreciar algunas similitudes a nivel código entre WSHRAT (izquierda) y H-Worm (derecha).

Imagen 1. Similitudes a nivel código entre WSHRAT(izquierda) vs H-Worm(derecha)

Aparte de estas similitudes, WSHRAT también es comercializado en foros clandestinos.

En junio de 2019 un actor de amenazas ofreció en foros la venta del builder de WSHRAT por una suscripción mensual de 50 dólares.

Esto demuestra que este tipo de “herramienta” puede ser utilizada por cualquier persona dispuesta a pagar y sin grandes conocimientos técnicos o sobre el funcionamiento de las soluciones antivirus, como puede ser el caso de los grupos APT.

Por último, WSHRAT hace uso de distintas técnicas de ofuscación o para ocultar el código dentro de distintos archivos ejecutables, ya sea para dificultar el análisis como para evitar ser detectado por soluciones antivirus.

Cómo se propaga WSHRAT

Esta amenaza suele propagarse mediante archivos adjuntos maliciosos en correos de phishing que buscan engañar a los usuarios para convencerlos de que descarguen y ejecuten el archivo.

Dado que este troyano se propaga a nivel mundial, incluidos los países de América Latina, hemos visto que el mensaje en el asunto de estos correos electrónicos suele variar.

A modo de ejemplo, algunos de los asuntos que hemos visto en español son:

  • Detalles De La Multa Electrónica
  • Comparendo-Electrónico
  • infracciones vencidas por pagar urgente
  • Notificación Del Comparendo
  • Aviso Importante De La Comisión De Transito Del Ecuador
Imagen 2. Ejemplo de un correo malicioso que distribuye WSHRAT

Por otro lado, WSHRAT puede propagarse automáticamente sobre dispositivos USB que estén conectados en la máquina víctima, aumentando así sus posibilidades de infectar otros equipos.

En el siguiente diagrama (Imagen 3) se puede observar un ejemplo de cómo puede ser el proceso de infección de WSHRAT partiendo desde un correo electrónico con un archivo adjunto malicioso.

Diagrama con el proceso de infección de WSHRAT.

Principales características de WSHRAT

Como se explica en la Imagen 3, este RAT es capaz de robar información personal de la máquina víctima y generar persistencia, además de otras cosas.

Para poder realizar esto cuenta con distintas características que mencionaremos a continuación:

  • Su payload puede estar desarrollado en el lenguaje Visual Basic o JavaScript
  • Puede obtener persistencia sobre la máquina víctima instalándose en las siguientes rutas:
    • C:\Users\%USERNAME%\AppData\Roaming
    • C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
  • También obtiene persistencia modificando alguna de las siguientes claves de registros de Windows:
    • HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
    • HKU[%USERNAME%]\Software\Microsoft\Windows\CurrentVersion\Run
  • Posee distintas variables globales que, dependiendo de su configuración, le permite realizar acciones como las siguientes:
    • Correr la amenaza con privilegios de administrador
    • Desactivar la funcionalidad antispyware del Windows defender
    • Modificar la funcionalidad de UAC de Windows
  • Posee distintos archivos embebidos en base64 que se utilizan para llevar a cabo distintas acciones maliciosas. Por ejemplo:
    • Obtener credenciales de distintos navegadores como Firefox o Google Chrome
    • Establecer un reverse proxy
    • Establecer una conexión RDP en la máquina víctima
    • Correr un keylogger en la máquina víctima
  • Cuenta con más de 30 comandos para realizar distintas acciones sobre la máquina víctima, aparte de las mencionadas anteriormente.

Para dimensionar el control que ofrece sobre la máquina víctima, estas son algunas de las acciones que permite ejecutar WSHRAT a partir de los comandos que recibe por parte de sus operadores:

  • Reiniciar o apagar la máquina víctima
  • Ejecutar comandos sobre la máquina víctima
  • Descargar y ejecutar archivos que pueden ser descargados desde un servidor controlado por el atacante o desde una dirección aparte
  • Obtener credenciales de distintos navegadores, como Mozilla Firefox, Google Chrome o Internet Explorer
  • Obtener credenciales de distintos clientes de mensajería como Outlook, Mozilla Thunderbird, entre otros
  • Enviar archivos hacia el servidor del atacante
  • Ejecutar un keylogger en la máquina víctima
  • Obtener los procesos que estén corriendo en la máquina víctima
  • Matar un proceso que este corriendo en la máquina víctima
  • Actualizar o desinstalar el malware
  • Ejecutar una sesión de RDP sobre la máquina víctima
  • Elevar privilegios del malware sobre la máquina víctima

Como se mencionó anteriormente, hemos observado que esta amenaza tiene características de gusano (worm), ya que puede propagarse de forma automática sobre dispositivos USB conectados a la máquina víctima mediante la creación de archivos de acceso directo.

Esto lo hace leyendo todos los archivos legítimos que estén en estos dispositivos y crea un acceso directo para cada uno de ellos, donde se ejecuta el archivo original más el malware que se encuentra en el dispositivo.

Imagen 4. Ejemplo de un acceso directo malicioso creado por el malware.
Imagen 5. Lógica utilizada por WSHRAT para crear accesos directos maliciosos

A continuación, agregamos algunos de los hashes analizados:

  • 5119c2253019970abd914b0c571f793f1a9466bd (payload)
  • 1704cf928d3f421cc1b2b654e95696ed4d127ffd (correo electrónico)

Consejos para estar protegido de este tipo de amenazas

Dado que esta amenaza se propaga principalmente a través de correos electrónicos, compartimos algunas recomendaciones para evitar ser una víctima:

  • Al revisar un correo entrante prestar atención a:
    • La dirección de donde proviene.
    • El nombre de la persona que nos lo envía.
    • Revisar el contenido de este, por ejemplo, faltas de ortografía.
  • No abrir ningún correo si hay motivos para dudar, ya sea del contenido o de la persona que lo envió.
  • No descargar archivos adjuntos de correos si se duda de su recepción o de cualquier otra cosa.
  • Revisar las extensiones de los archivos, por ejemplo, si el nombre de un archivo termina con “.pdf.exe”, la última extensión es la que determina el tipo de archivo, en este caso seria “.exe”; es decir, un ejecutable.
  • Si un correo incluye un enlace que nos lleva a una página que nos pide nuestras credenciales para acceder, no ingresarlas. En su lugar, recomendamos abrir la página oficial desde otra ventana o pestaña del navegador y acceder al sitio desde ahí.
  • Ser prudentes al descargar y extraer archivos comprimidos .zip, .rar, etc., más allá de que la fuente que envía el correo sea legitima.
  • Tener los equipos y aplicaciones con las últimas actualizaciones instaladas.
  • Mantener actualizada la solución de seguridad instalada en el dispositivo.

Por otro lado, como esta amenaza también se propaga por dispositivos extraíbles, enumeramos también distintas recomendaciones para este caso:

  • Prestar atención a posibles cambios en los archivos.
  • Prestar atención si tenemos dos archivos con el mismo nombre, pero sus iconos tienen alguna mínima diferencia.
  • Si se duda de alguno de los archivos en estos dispositivos, analizarlos con una solución antivirus y no ejecutarlos directamente.

Técnicas de MITTRE ATT&CK

A continuación, mencionamos las técnicas de MITTRE ATT&CK presentes en esta amenaza.

Nota: Esta tabla se creó utilizando la versión 9 del Framework MITTRE ATT&CK

TácticaTécnica (ID)Nombre
Initial AccessT1091Replication Through Removable Media
T1566.001Phishing: Spearphishing Attachment
ExecutionT1059.001Command and Scripting Interpreter: PowerShell
T1059.005Command and Scripting Interpreter: Visual Basic
T1059.007Command & Scripting Interpreter: JavaScript
JScript
T1204.002UserExecution Malicious File
Defense EvasionT1027Obfuscated Files or Information
T1055Process Injection
T1112Modify Registry
T1548.002Abuse Elevation Control Mechanism: Bypass User Account Control
T1564.001Hide Artifacts: Hidden Files and Directories
DiscoveryT1057Process Discovery
T1082System Information Discovery
T1518.001Software Discovery: Security Software Discovery
CollectionT1056Input Capture
ExfiltrationT1041Exfiltration Over C2 Channel

We Live Security by ESET

Fernando Tavella
error: