Nuevo Phishing apunta a clientes de bancos chilenos - Análisis de Malware

Generalmente los links en los correos de phishing abren un sitio malicioso idéntico al de la institución que se va a suplantar, sin embargo, hace algunos meses ha estado muy activa la propagación de phishing con link para descargar un zip con el malware directamente en el equipo del usuario.

Quienes trabajamos en ciber seguridad recordamos a los usuarios y clientes una y otra vez que no se deben abrir correos de desconocidos, con links o adjuntos, pero aún con todo este esfuerzo muchas personas caen en la trampa.

¿Por qué caen?, primero, porque los criminales utilizan muy bien la ingeniería social, redactando correos que llaman la atención del usuario (con excepciones, hay algunos bien feos, con faltas de ortografía y errores de programación que los hacen poco creíbles).

Algunos ejemplos de la última campaña:

PDI:



Whatsapp:


Las fotos de María:


También hay de ChileExpress indicando que tienes un envío, otro del Ministerio de Transporte indicando que tienes una multa, y varios mas de bancos chilenos, como ven, se trata de abarcar varios temas que apuntan a la curiosidad del usuario, por lo tanto aumentan las probabilidades del atacante de conseguir víctimas.

En segundo lugar, muchos usuarios caen en estas trampas debido a su bajo conocimiento informático, poca o nula educación en computación y seguridad informática.


Análisis de Malware - Manos a la obra


Con tanto correo dando vueltas quise aventurarme en analizar y poder determinar qué hace en realidad este archivo en los computadores infectados. ¿Por qué es importante el análisis de malware? Porque conociendo su funcionamiento podremos trabajar en el bloqueo de sus actividades, en mitigar esta y futuras campañas de similares características.

Al hacer clic en los links, se descarga un archivo ZIP que en su interior contiene un archivo VBS (Visual Basic Script). Los archivos son de nombre: DOC 17.07.2018P.zip o FotosMaria0001-Mayo2018.zip

El objetivo del archivo VBS es descargar el verdadero malware desde algún sitio controlado por el atacante, que varían en cada campaña.

Al revisarlo, vemos lo siguiente:



Código ofuscado, para evitar la detección de antivirus y retrasar el análisis de los investigadores. Para poder hacerlo mas legible, existe un sitio que se encarga de desofuscarlo

https://master.ayra.ch/vbs/vbs.aspx

Al cargar la muestra en el sitio, el código queda mucho mas legible, con el nombre de sus variables aún ofuscadas, pero se puede analizar el comportamiento:



Lo que hace este VBScript, es verificar que exista un archivo con nombre nlIACerDCMIB62MF105KCNMaHACJaa4I2CAH6a.txt en la carpeta pública de c:\Users o c:\Usuarios

Si existe, termina la ejecución. De lo contrario, lo crea con el mismo nombre. Luego crea una carpeta con nombre aleatorio en la misma carpeta pública de c:\Users, por ejemplo: C:\Users\Public\eidXw5BzZsdR5Q6, en la misma rutina, almacena una variable con un nombre aleatorio de archivo ZIP, ejemplo C:\Users\Public\eidXw5BzZsdR5Q682jshgse.zip

Terminado estos pasos descarga otro archivo ZIP de un dominio controlado por el atacante.

Al revisar el nuevo ZIP, este contiene en su interior dos archivos: "caracas.exe" y "yen.dll". Los nombre varían en cada campaña, en la última muestra que obtuve del 21 de agosto de 2018, los nombres eran "caracas.exe" y "src.dll". El ZIP descargado lo copia a la variable guardada anteriormente (C:\Users\Public\eidXw5BzZsdR5Q682jshgse.zip), luego descomprime el ZIP en la carpeta con nombre aleatorio y elimina el ZIP, cambia el nombre del EXE por uno aleatorio con la misma extensión y la DLL la renombra a shfolder.dll, para finalmente ejecutar el EXE vía "%comspec% /c start ARCHIVO" (inicio de servicio).

Esta pieza de malware es llamada dropper o script downloader. Se encarga sólo de instalar el malware.

Ahora se debe analizar qué es lo que hace el archivo EXE y DLL.

Al analizar el archivo EXE en VirusTotal se observa que no es malicioso (aún) y que para las distintas muestras el hash es el mismo. Buscando en Internet más información encontré que el equipo de EleventPaths ya había realizado un estudio de este malware:

https://blog.elevenpaths.com/2018/05/nuevo-informe-sofisticado-troyano.html

El archivo EXE no es detectado como amenaza porque en realidad es un servicio que forma parte de VMWare, llamado VMNAT, el cuál incluye los certificados de confianza. Los atacantes copiaron el archivo EXE de VMWare y lo distribuyeron como parte de su malware, la pregunta es cómo opera entonces?

Como explica el equipo de ElevenPaths, aprovecharon una vulnerabilidad de tipo DLL Hijacking, esto quiere decir, que al ejecutar el archivo EXE (de VMWare) este automáticamente, debido a su arquitectura, cargará algunas librerías DLL, entre ellas, "shfolder.dll", el mismo nombre de la DLL que el atacante a copiado. De esa forma, puede pasar desapercibido a muchos sistemas antivirus.

Existe un proyecto para buscar ejecutables que realizan cargas de DLL sin verificar:

https://github.com/MojtabaTajik/Robber

Entonces, el foco está en la DLL.

Al realizar el análisis estático, se observa que fue compilado el mismo día 21-08-2018, en Delphi y con un código muy ofuscado:


Sólo exporta dos funciones, SHGetFolderPathW y otra con nombre aleatorio, por lo que se asume que la ejecución inicia en la rutina SHGetFolderPathW

Dentro de sus recursos, existen varios formularios que el malware sobrepondrá en los sitios de bancos, tiene la capacidad de detectar el dominio introducido en el navegador y a partir de ello levantar el formulario que corresponda:




Al realizar esta maniobra justo cuando el usuario navega en el sitio real del banco lo hace muy creíble y por la misma razón el malware sigue repartiéndose hasta el día de hoy. Seguramente está siendo muy rentable para los criminales.





IOCs

01f88b16b8e81ff5ed9e84422df5265a843aa771  x28.zip

b3e3015ce3f29505217a631995622e24b4bee8cc  hutmaldizion.zip

d3c920c5797df61af9fd99b44ee6cc19ad455c0c  yen.dll

c522073993e6aaf4ab4f9815f614e3b78864b14d  src.dll


Saludos







Comentarios

Entradas populares de este blog

Stack Buffer Overflow: Hackeando la memoria en Linux x64

Hacking Tools: sqlidownloader basado en el script en Perl file_reader.pl de PhineasFisher

Ocultando la web shell como una imagen (Apache + PHP)