Investigadores ded seguridad informaron que una nueva variante del downloader Hancitor ha cambiado de táctica y ha adoptado nuevas estrategias de tipo dropper y técnicas de ofuscación en los equipos infectados.

Los investigadores de Palo Alto Networks están actualmente rastreando a la familia de malware Hancitor desde junio, ya que se ha alejado del descargador H1N1 y ahora distribuye los ejecutables Pony y Vawtrak.

La variante utiliza llamadas a la API nativa en código de Visual Basic para construir y descifrar el malware embebido en documentos de Word maliciosos.

"Se esperaba encontrar señuelos, hasta que empezamos a excavar en los propios documentos adjuntos y vimos un método interesante dentro de las macros de Visual Basic en los documentos adjuntos utilizados para dejar caer el malware", escribió Jeff White, investigador de amenazas Senior en Palo Alto Networks, en un informe.

White dijo que no hay nada extraordinario sobre el documento de Word OLE2 MS Office que utiliza una táctica estándar orillando a los destinatarios a "habilitar el contenido" y ejecutar la macro maliciosa. Lo que realmente intereso a los investigadores --fue la técnica utilizada para colocar el malware, junto con la relación que se descubrió entre las macros de VB de Hancitor y el shellcode embebido.

"Esta fue la primera vez que hemos visto (esta técnica de dropper) que se utiliza de esta manera," dijo White.

Ryan Olson, investigador de Palo Alto Networks de la Unidad 42, explica que los droppers suelen utilizar documentos de Office que descargan un archivo ejecutable o tienen un ejecutable dentro de ellos. En este caso Hancitor incrusta el ejecutable dentro del código VBA y decodifica y ejecuta la función por sí solo.

"Cuando incrustas código dentro de un documento de Office se incrementa el riesgo de ser detectado por un programa antivirus," dijo Olson en una entrevista con Threatpost. "Con Hancitor el código está incrustado en el código VB que cifra de una manera que el antivirus no lo encontrará. En este caso se está utilizando CallWindowProcA en lugar de ShellExecute o CreateProcess el cual un programa antivirus es probable que detecte".

"Es de destacar el hecho de que la macro contiene la lógica que puede determinar la arquitectura del sistema host y si el sistema operativo es de 32 bits o 64 bits. "Lo que es realmente interesante es que los autores se tomaron la molestia de escribir su propio decodificador base64 puramente en VB," dijo White.

Una compleja cadena de eventos se centra alrededor de llamadas ligadas a la API, VirtualAlloc, RtlMoveMemory, y CallWindowProcA, la macro de VB se ejecuta a través de varias etapas.

"La macro base64  decodifica la carga útil en un arreglo de bytes local y luego llegamos a nuestra primera llamada a la API, VirtualAlloc... Después, la macro de VB continua con la siguiente llamada a RtlMoveMemory y luego lo llama con la ubicación de memoria de la llamada anterior y nuestro arreglo de bytes decodificados en base64, "dijo White.

Después de que el código ha sido copiado en la memoria del proceso ejecutable WINWORD.EXE, la macro realiza la última llamada a la API para CallWindowProcA. Estas acciones redirigen la ejecución de código al shellcode, dijo White.

A partir de aquí, el shellcode se dirige a cargar los valores shellcode y buscar los binarios del malware. El binario es cifrado y solo se descifra después de que se ejecutan una serie de subrutinas. A continuación, se coloca el binario en el directorio temporal, que a su vez termina escribiéndose a sí mismo en '% SYSTEMROOT%/system32/WinHost.exe'. En este punto, el downloader malicioso Hancitor ha sido completamente cargado en la máquina de la víctima, según White.

"Codificar el shellcode dentro de la macro, y hacer uso de llamadas a la API nativa dentro del código de VB para pasar la ejecución de la creación y descifrado del código malicioso incrustado en el documento de Word, se trata de un nuevo uso de Hancitor que estaremos siguiendo de cerca," dijo White.