Ένας προηγουμένως άγνωστος φορτωτής κακόβουλου λογισμικού με το όνομα SVCReady έχει ανακαλυφθεί σε επιθέσεις ηλεκτρονικού ψαρέματος, ο οποίος χαρακτηρίζει έναν ασυνήθιστο τρόπο φόρτωσης του κακόβουλου λογισμικού από έγγραφα του Word σε μηχανήματα που έχουν παραβιαστεί.

Πιο συγκεκριμένα, χρησιμοποιεί κώδικα μακροεντολής VBA για την εκτέλεση του shellcode που είναι αποθηκευμένος στις ιδιότητες ενός εγγράφου που φτάνει στον στόχο ως συνημμένο email.

Σύμφωνα με μια νέα αναφορά της HP, το κακόβουλο λογισμικό βρίσκεται υπό ανάπτυξη από τον Απρίλιο του 2022, με τους προγραμματιστές να κυκλοφορούν αρκετές ενημερώσεις τον Μάιο του 2022. Αυτό δείχνει ότι αυτή τη στιγμή βρίσκεται υπό έντονη ανάπτυξη, πιθανότατα ακόμη σε πρώιμο στάδιο.

Το SVCReady ξεκινά με ένα email

Η αλυσίδα μόλυνσης ξεκινά με ένα ηλεκτρονικό μήνυμα ηλεκτρονικού ψαρέματος που φέρει ένα κακόβουλο συνημμένο .doc.

Ωστόσο, σε αντίθεση με την τυπική πρακτική της χρήσης του PowerShell ή του MSHTA μέσω κακόβουλων μακροεντολών για τη λήψη ωφέλιμων φορτίων από απομακρυσμένες τοποθεσίες, αυτή η καμπάνια χρησιμοποιεί VBA για την εκτέλεση κρυφού κώδικα κελύφους στις ιδιότητες του αρχείου.

Όπως φαίνεται παρακάτω, αυτός ο κώδικας φλοιού αποθηκεύεται στις ιδιότητες του εγγράφου του Word, το οποίο εξάγεται και εκτελείται από τις μακροεντολές.

Ο Shellcode είναι κρυμμένος στις ιδιότητες του εγγράφου (HP)

Διαχωρίζοντας τις μακροεντολές από τον κακόβουλο κώδικα φλοιού, οι φορείς απειλών προσπαθούν να παρακάμψουν το λογισμικό ασφαλείας που μπορεί κανονικά να το ανιχνεύσει.

“Στη συνέχεια, ο κώδικας φλοιού, ο οποίος βρίσκεται στις ιδιότητες του εγγράφου, φορτώνεται σε μια μεταβλητή. Φορτώνεται διαφορετικός κώδικας φλοιού ανάλογα με το εάν η αρχιτεκτονική του συστήματος είναι 32 bit ή 64 bit”, εξηγεί η αναφορά της HP.

Ο κατάλληλος κώδικας φλοιού φορτώνεται στη μνήμη, από όπου θα χρησιμοποιήσει τη συνάρτηση API των Windows “Virtual Protect” για να αποκτήσει εκτελέσιμα δικαιώματα πρόσβασης.

Στη συνέχεια, το SetTimer API μεταβιβάζει τη διεύθυνση του shellcode και τον εκτελεί. Αυτή η ενέργεια έχει ως αποτέλεσμα ένα DLL (ωφέλιμο φορτίο κακόβουλου λογισμικού) να πέσει στον κατάλογο %TEMP%.

Ένα αντίγραφο του “rundll32.exe”, ενός νόμιμου δυαδικού αρχείου των Windows, τοποθετείται επίσης στον ίδιο κατάλογο με διαφορετικό όνομα και τελικά γίνεται κατάχρηση για την εκτέλεση του SVCReady.