Nuevo SVCReady difundido a través de la campaña Malspam

Los expertos en seguridad de la rama de investigación de amenazas de HP publicaron sus hallazgos sobre una nueva variedad de malware, denominada SVCReady. El malware se propaga mediante campañas maliciosas de correo electrónico no deseado.

El primer avistamiento de SVCReady en la naturaleza tuvo lugar a fines de abril de 2022. El malware se propagó a través de archivos de documentos maliciosos de MS Word cargados con macros que se ejecutan al abrirse. Sin embargo, a diferencia de la mayoría de los programas maliciosos que utilizan macros, SVCReady no utiliza los comandos MSHTA o PowerShell para obtener su carga útil de Internet. En cambio, el nuevo malware utiliza otro truco inteligente: ejecutar el código shell que se encuentra en los campos de propiedad del archivo.

SVCReady coloca un archivo DLL en la carpeta temporal. Después de eso, el malware copia el archivo rundll32 legítimo del sistema en el mismo directorio y le cambia el nombre. Luego, la copia renombrada de rundll32 se usa para ejecutar el archivo DLL malicioso.

El malware parece estar en desarrollo activo, ya que se actualizó varias veces desde finales de abril y parece tener las características de un mecanismo de persistencia, pero es defectuoso y en realidad no logra la persistencia en el estado actual.

SVCReady se ha utilizado como una carga útil inicial para entregar malware adicional en los sistemas infectados, incluido el malware de robo de información RedLine.