Windows Finger es aprovechado para descargar malware

Según un informe, los actores de malware están utilizando el comando Windows Finger para descargar e instalar un programa malicioso de puerta trasera en las computadoras específicas.

Hablando del comando Finger, es una utilidad que se origina en el sistema operativo Linux que permite al usuario recuperar una lista de usuarios en una computadora remota o obtener información sobre un usuario remoto específico. Al igual que Linux, Windows también incluye el comando finger.exe que ofrece a los usuarios lograr las mismas funciones.

Para ejecutar el comando Finger en Windows, un usuario debe ingresar finger [user] @ [remote_host].

En septiembre, se informó que los investigadores habían encontrado una forma de usar el dedo como LoLBin para descargar malware desde una computadora remota o exfiltrar los datos requeridos. Técnicamente, los LoLBins son aplicaciones legítimas que pueden permitir a los piratas informáticos eludir los controles de seguridad para descargar malware sin generar ninguna alerta en la pantalla.

Uso del comando Finger en una campaña de malware activa

Recientemente, un investigador de seguridad llamado Kirk Sayre encontró una campaña de phishing con el uso del comando Finger para descargar malware de puerta trasera MineBridge.

Esto fue informado por primera vez por FireEye después de que descubrió una serie de campañas de phishing que están destinadas a organizaciones surcoreanas. Los correos electrónicos recibidos en el marco de estas campañas incluían documentos de Word maliciosos disfrazados de currículums de solicitudes de empleo que, si se descargaban e instalaban, ejecutaban el malware ManBridge.

La campaña de phishing descubierta por Sayre también pretende ser el currículum de un solicitante de empleo como las campañas de ManBridge descubiertas por FireEye.

En tales casos, si las víctimas terminan haciendo clic en los botones “Habilitar edición” o “Habilitar contenido”, se ejecutará una macro protegida con contraseña, que descarga más el malware MineBridge y lo ejecuta.

El comando deofuscated ejecutado por la macro usa el comando finger para descargar un certificado codificado en Base64 desde un servidor remoto y lo guarda como% AppData% \ vUCooUr. El código se puede ver en la imagen a continuación.

El código recupera técnicamente un certificado a través del comando finger y es un descargador de malware codificado en base64. Además, el certificado se decodifica mediante el comando certutil.exe, que se guarda como% AppData% \ vUCooUr.exe y luego se ejecuta.

Entonces, una vez que se ejecuta el comando, el descargador descarga un ejecutable de TeamViewer y usa el secuestro de DLL para descargar un archivo DLL malicioso, que se denomina malware MineBridge.

Una vez que se carga el malware, los piratas informáticos remotos logran obtener acceso completo a la computadora y les permiten escuchar a través del micrófono del dispositivo infectado y realizar otras acciones maliciosas.

Dado que el comando Finger rara vez se usa en estos días, se sugiere a los administradores que bloqueen este comando en su red, ya sea mediante el uso de AppLocker o mediante otros métodos posibles.