Nuevo Phishing apunta a clientes de bancos chilenos - Análisis de Malware

Generalmente los links en los correos de phishing abren un sitio malicioso idéntico al de la institución que se va a suplantar, sin embargo, hace algunos meses ha estado muy activa la propagación de phishing con link para descargar un zip con el malware directamente en el equipo del usuario.

Quienes trabajamos en ciber seguridad recordamos a los usuarios y clientes una y otra vez que no se deben abrir correos de desconocidos, con links o adjuntos, pero aún con todo este esfuerzo muchas personas caen en la trampa.

¿Por qué caen?, primero, porque los criminales utilizan muy bien la ingeniería social, redactando correos que llaman la atención del usuario (con excepciones, hay algunos bien feos, con faltas de ortografía y errores de programación que los hacen poco creíbles).

Algunos ejemplos de la última campaña:

PDI:



Whatsapp:


Las fotos de María:


También hay de ChileExpress indicando que tienes un envío, otro del Ministerio de Transporte indicando que tienes una multa, y varios mas de bancos chilenos, como ven, se trata de abarcar varios temas que apuntan a la curiosidad del usuario, por lo tanto aumentan las probabilidades del atacante de conseguir víctimas.

En segundo lugar, muchos usuarios caen en estas trampas debido a su bajo conocimiento informático, poca o nula educación en computación y seguridad informática.


Análisis de Malware - Manos a la obra


Con tanto correo dando vueltas quise aventurarme en analizar y poder determinar qué hace en realidad este archivo en los computadores infectados. ¿Por qué es importante el análisis de malware? Porque conociendo su funcionamiento podremos trabajar en el bloqueo de sus actividades, en mitigar esta y futuras campañas de similares características.

Al hacer clic en los links, se descarga un archivo ZIP que en su interior contiene un archivo VBS (Visual Basic Script). Los archivos son de nombre: DOC 17.07.2018P.zip o FotosMaria0001-Mayo2018.zip

El objetivo del archivo VBS es descargar el verdadero malware desde algún sitio controlado por el atacante, que varían en cada campaña.

Al revisarlo, vemos lo siguiente:



Código ofuscado, para evitar la detección de antivirus y retrasar el análisis de los investigadores. Para poder hacerlo mas legible, existe un sitio que se encarga de desofuscarlo

https://master.ayra.ch/vbs/vbs.aspx

Al cargar la muestra en el sitio, el código queda mucho mas legible, con el nombre de sus variables aún ofuscadas, pero se puede analizar el comportamiento:



Lo que hace este VBScript, es verificar que exista un archivo con nombre nlIACerDCMIB62MF105KCNMaHACJaa4I2CAH6a.txt en la carpeta pública de c:\Users o c:\Usuarios

Si existe, termina la ejecución. De lo contrario, lo crea con el mismo nombre. Luego crea una carpeta con nombre aleatorio en la misma carpeta pública de c:\Users, por ejemplo: C:\Users\Public\eidXw5BzZsdR5Q6, en la misma rutina, almacena una variable con un nombre aleatorio de archivo ZIP, ejemplo C:\Users\Public\eidXw5BzZsdR5Q682jshgse.zip

Terminado estos pasos descarga otro archivo ZIP de un dominio controlado por el atacante.

Al revisar el nuevo ZIP, este contiene en su interior dos archivos: "caracas.exe" y "yen.dll". Los nombre varían en cada campaña, en la última muestra que obtuve del 21 de agosto de 2018, los nombres eran "caracas.exe" y "src.dll". El ZIP descargado lo copia a la variable guardada anteriormente (C:\Users\Public\eidXw5BzZsdR5Q682jshgse.zip), luego descomprime el ZIP en la carpeta con nombre aleatorio y elimina el ZIP, cambia el nombre del EXE por uno aleatorio con la misma extensión y la DLL la renombra a shfolder.dll, para finalmente ejecutar el EXE vía "%comspec% /c start ARCHIVO" (inicio de servicio).

Esta pieza de malware es llamada dropper o script downloader. Se encarga sólo de instalar el malware.

Ahora se debe analizar qué es lo que hace el archivo EXE y DLL.

Al analizar el archivo EXE en VirusTotal se observa que no es malicioso (aún) y que para las distintas muestras el hash es el mismo. Buscando en Internet más información encontré que el equipo de EleventPaths ya había realizado un estudio de este malware:

https://blog.elevenpaths.com/2018/05/nuevo-informe-sofisticado-troyano.html

El archivo EXE no es detectado como amenaza porque en realidad es un servicio que forma parte de VMWare, llamado VMNAT, el cuál incluye los certificados de confianza. Los atacantes copiaron el archivo EXE de VMWare y lo distribuyeron como parte de su malware, la pregunta es cómo opera entonces?

Como explica el equipo de ElevenPaths, aprovecharon una vulnerabilidad de tipo DLL Hijacking, esto quiere decir, que al ejecutar el archivo EXE (de VMWare) este automáticamente, debido a su arquitectura, cargará algunas librerías DLL, entre ellas, "shfolder.dll", el mismo nombre de la DLL que el atacante a copiado. De esa forma, puede pasar desapercibido a muchos sistemas antivirus.

Existe un proyecto para buscar ejecutables que realizan cargas de DLL sin verificar:

https://github.com/MojtabaTajik/Robber

Entonces, el foco está en la DLL.

Al realizar el análisis estático, se observa que fue compilado el mismo día 21-08-2018, en Delphi y con un código muy ofuscado:


Sólo exporta dos funciones, SHGetFolderPathW y otra con nombre aleatorio, por lo que se asume que la ejecución inicia en la rutina SHGetFolderPathW

Dentro de sus recursos, existen varios formularios que el malware sobrepondrá en los sitios de bancos, tiene la capacidad de detectar el dominio introducido en el navegador y a partir de ello levantar el formulario que corresponda:




Al realizar esta maniobra justo cuando el usuario navega en el sitio real del banco lo hace muy creíble y por la misma razón el malware sigue repartiéndose hasta el día de hoy. Seguramente está siendo muy rentable para los criminales.





IOCs

01f88b16b8e81ff5ed9e84422df5265a843aa771  x28.zip

b3e3015ce3f29505217a631995622e24b4bee8cc  hutmaldizion.zip

d3c920c5797df61af9fd99b44ee6cc19ad455c0c  yen.dll

c522073993e6aaf4ab4f9815f614e3b78864b14d  src.dll


Saludos







Comentarios

Publicar un comentario

Entradas populares de este blog

Desempaquetando Themida 2 (unpacking windows binary) - Análisis de Malware

Imagen
Comparto el mecanismo que me ha funcionado para desempacar los binarios protegidos con Themida 2. Para quienes no conocen Themida, se trata de un software comercial, cuyo objetivo es proteger los binarios de la ingeniería inversa, pensando en proteger a los fabricantes de software de la copia de sus códigos, impedir la generación de cracks o keygens para sus licencias, entre otros. Pero obviamente, esto también es aprovechado por los atacantes que escriben malware, ya que este mecanismo hace mucho más difícil el análisis de los investigadores. En el ejemplo que explico ahora, revisaré un troyano que comparto acá: https://github.com/inc0d3/malware/blob/master/windows/Trusteer.zip Para el análisis recomiendo usar Windows 7 32 bits con las herramientas de Flare: https://www.fireeye.com/blog/threat-research/2017/07/flare-vm-the-windows-malware.html Ejecuté el malware e inmediatamente surgió este error: Es porque tenía corriendo las utilidades Process Monitor y Proce
Leer más

Ocultando la web shell como una imagen (Apache + PHP)

Imagen
Iniciamos marzo con una técnica muy utilizada, se trata de ocultar una shell que hemos subido a nuestro servidor objetivo, ocultarla 100% no será posible, pero si pasará desapercibida para muchos administradores y webmasters. La técnica consiste en que nuestro script (PHP en este caso) se oculte bajo una supuesta imagen. Primero, se asume que detectamos una vulnerabilidad que nos permita crear un archivo en el servidor, luego explotamos la vulnerabilidad y subimos nuestra shell, supongamos un plugin de Wordpress que hace upload de imagenes sin validar. Podríamos ver un directorio similar a este: Lo que vemos, es claramente un script PHP, debe mantener esa extensión para que el servidor lo interprete, lo ejecute y podamos hacer uso de este. El problema es que es demasiado evidente que se ha vulnerado la aplicación, entonces se hace necesario ocultar o camuflar esta intrusión de alguna forma. Apache permite sobre escribir algunas configuraciones a través de un archivo qu
Leer más

Evasión de antivirus modernos usando Process Injection - MITRE T1055

Imagen
  En octubre de este año revisé algunas técnicas comunes de inyección de shellcode en otros procesos, también conocido como Process Injection y puse a prueba algunos antivirus, me hubiese gustado probar más, pero por tiempo no pude. Me sorprendió que siendo técnicas conocidas y sin ofuscación alguna lograra evadir varios antivirus.  Si bien esto lo hago con el propósito de aprender y poner a prueba algunas marcas (a todas les reporté esto), deja en evidencia lo que siempre decimos, que no debemos descansar en "cajas" ni en productos de seguridad si no que deben ser parte de una cadena de mecanismos de protección (protección por capas, partiendo por la capa 8). Incluye el código fuente por si quieres poner a prueba tu antivirus.
Leer más