VMware Tools es un componente instalado en máquinas virtuales basadas en VMware para comunicarse con el sistema host y habilitar operaciones de archivos y portapapeles, así como carpetas y controladores compartidos. «Aunque se desconoce el origen del código malicioso en vmtoolsd.exe en este incidente, se han documentado infecciones en las que se explotaron vulnerabilidades en aplicaciones legítimas a través de servidores externos vulnerables», dijeron los investigadores de Trend Micro.
Una de las tareas programadas creadas ejecuta un programa por lotes llamado cc.bat que contiene una serie de comandos para recopilar información sobre el sistema, incluido su nombre, dirección IP local, procesos en ejecución, cuentas disponibles, incluidos administradores, el dominio del que forma parte y mucho más. La información se recopila a través de las utilidades de línea de comandos de Windows y el resultado se guarda en un archivo de texto.
Luego, el programa ejecuta una segunda tarea programada que inicia otro programa por lotes de archivos llamado cc.bat eso es diferente al primero. Este segundo programa copia un archivo previamente eliminado llamado hdr.bin a %System%\TSMSISrv.DLL y luego reinicia el EnvSesión Servicio de Windows.
Cómo UNAPIMON utiliza el secuestro de DLL
Esta técnica se conoce como secuestro de DLL porque el servicio SessionEnv busca automáticamente la biblioteca llamada TSMSISrv.DLL para cargarla cuando se inicia. Los atacantes se aprovechan de esto colocando su propio archivo DLL malicioso con ese nombre, la ventaja es que su código malicioso ahora se carga en la memoria mediante un proceso y servicio legítimo, evadiendo potencialmente algunas detecciones de comportamiento por parte de los productos de seguridad.
El código malicioso de TSMSISrv.DLL suelta otro archivo DLL con nombre aleatorio y lo inyecta en una nueva instancia de cmd.exe, el shell de línea de comandos de Windows. esta nueva cmd.exe Luego, el proceso escucha los comandos recibidos desde una máquina remota y los ejecuta, actuando esencialmente como una puerta trasera.
Sin embargo, el archivo DLL inyectado en él es el que destaca porque está destinado a ocultar el comportamiento de los procesos secundarios mediante el uso de una técnica inusual que los investigadores de Trend Micro describen como desenganche de la interfaz de programación de aplicaciones (API).