Publicado un informe de código dañino sobre Powload Downloader

  • El documento está disponible en la parte privada del portal del CCN-CERT.
  • El informe ‘CCN-CERT ID-01/20’ recoge el análisis de la familia de Downloaders identificada como Powload, el cual se encuentra escrito en lenguaje VBA, incrustado dentro de documentos ofimáticos.
  • El procedimiento de infección, características técnicas, ofuscación, persistencia, detección, desinfección e información del atacante son los principales apartados del documento. Asimismo, se incluyen las reglas Snort, YARA e indicadores de compromiso (IoC).

El CERT del Centro Criptológico Nacional (CCN-CERT) ha publicado un nuevo documento en la parte privada de su portal. Se trata del Informe Código Dañino CCN-CERT ID-01/20 “Powload Downloader”, el cual recoge el análisis de la familia de Downloaders identificada como Powload, escrito en lenguaje VBA e incrustado dentro de documentos ofimáticos.

Este código dañino se encuentra muy activo desde el inicio de 2019 y se ha visto involucrado en la propagación de otras familias como Emotet, FormBook y Ursnif. En otras campañas se le han atribuido métodos de ofuscación basados en técnicas de esteganografía. El código dañino se encuentra inicialmente incrustado en el interior de un documento RTF (Rich Text Format) que, tras su ejecución, dos macros intentan la descarga de binarios mediante comandos de PowerShell.

A pesar de utilizar técnicas actualmente muy conocidas para la infección, la combinación de sus múltiples métodos de ofuscación y de sus automatismos lo convierte en una amenaza potencial para dar entrada a diversas familias de troyanos. Sus principales características son:

  • Es distribuido mediante un correo electrónico con tres documentos adjuntos infectados.
  • Tras abrir uno de los documentos se inicia la ejecución de sus macros, si están habilitadas.
  • La macro está embebida dentro de una hoja Excel.
  • Se identifica el nombre de las macros utilizadas.
  • Se encuentran funcionalidades para la ofuscación del código VBA.
  • Se identifica la inclusión de código basura.
  • Realiza iteraciones en diversas funciones para dormir su ejecución.
  • Genera una ejecución de PowerShell que descarga un archivo.
  • Se ejecuta el archivo descargado.

En este informe se incluye información de interés acerca de este Downloader, como el procedimiento de infección, persistencia en el sistema, conexiones de red, cómo detectar si un equipo se encuentra o ha estado infectado y, de ser así, cómo proceder para su desinfección. Además, se incluyen las reglas Snort, YARA e indicadores de compromiso (IoC).

CCN-CERT (05/02/2020)

Informe Código Dañino CCN-CERT ID-01/20 “Powload Downloader”

 

Miembros de

CERT
FIRST
TF-CSIRT
EGC Group
UE
Red Nacional de SOC
Foro Nacional de Ciberseguridad
CSIRT.es
Ministerio de Defensa
CNI
CCN
CCN-CERT