O ataque começa com um email que contém anexos em XLS e conteúdos em língua Coreana.

Caso o ataque seja levado a cabo com sucesso, executa uma backdoor no computador da vítima que permite a um atacante controlar a máquina remotamente, gerir os ficheiros e fazer capturas de ecrã.

Como funciona o ataque?

A partir do ficheiro em XLS, aquando da execução do mesmo, é corrida uma função macro que depois inicia o instalador de Windows msiexec.exe para fazer download e instalação de pacotes MSI e MSP.

O arquivo MSI contém um executável com assinatura digital que é extraído e executado e que irá desencriptar e correr outro executável wsus.exe em memória, que por sua vez irá desencriptar e correr o payload final em memória.

Esse payload final é o FlawedAmmyy, que usa um certificado digital obtido da Thawte à empresa Dream Body Limited.

Funções do FlawedAmmyy RAT:

- Controlo remoto do ambiente de trabalho

- Gestor do sistema de ficheiros

- Suporte de proxy

- Chat de áudio

Fonte: https://www.securityweek.com/new-attack-delivers-flawedammyy-rat-directly-memory