Hancitor

¿Qué es?

Hancitor, también conocido como Chanitor y Tordal, es un malware de tipo troyano downloader que se enfoca en infectar dispositivos Windows para descargar otros programas maliciosos. Además, puede proporcionar una puerta trasera a los atacantes que permite incluir los dispositivos como parte de una botnet para realizar otras actividades maliciosas de manera distribuida.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones en los dispositivos infectados:

• Usa señuelos de fax, facturas y documentos de DocuSign con adjuntos y enlaces a otros documentos con macros maliciosas para distribuirse.
• Se ejecuta vía macros que depositan librerías DLL en los sistemas para lanzarlas y cargarlas posteriormente.
• Usa PowerShell y herramientas propias de los sistemas operativos para la ejecución de tareas y de payloads.
• Utiliza ofuscación de código y técnicas fileless, como hollowing e inyección en memoria, para evitar ser descubierto.
• Crea claves Run en el Registro de los sistemas para autoiniciarse y crear persistencia.
• Enumera las redes y el directorio de los sistemas, realiza barridos ICMP muy ruidosos y ejecuta comandos integrados para mapear controladores de dominio, administradores y equipos.
• Copia y ejecuta las librerías DLL de Cobalt Strike mediante servicios remotos para mejorar sus capacidades.
• Obtiene acceso de administrador del dominio a través de la explotación de la vulnerabilidad Zerologon (CVE-2020-1472).
• Actía como baliza con servidores de mando y control (C2) a través de HTTP y del envío de metadatos (equipo/usuario/dominio) para recibir tareas a ejecutar (descargar/inyectar otros programas maliciosos).
• Descarga y ejecuta payloads desde sus servidores de mando y control (C2).

Sistemas afectados

Los principales dispositivos afectados son:

• Dispositivos con sistemas Microsoft Windows.

¿Cómo me infecta?

Este malware infecta a los dispositivos a través de campañas de malspam y phishing por correo electrónico con archivos adjuntos y/o enlaces a documentos con macros VBA maliciosas.

Cómo desinfectar mi equipo

Las principales firmas de antivirus contienen reglas para detectar y eliminar este malware: accede a los cleaners.

Más información

• Hancitor Makes First Appearance in Top Five ‘Most Wanted’ Malware in Check Point’s February Global Threat Impact Index (Check Point)
• Hancitor (Official Site of The State of New Jersey)
• Trojan.VBS.HANCITOR.A (Trend Micro)
• Contenido de Detección: Troyano Hancitor (SOC Prime)
• Hancitor (Mitre ATT&CK)
• Hancitor (Malpedia)