Análisis de malware

Analizando un bloqueador de pantalla simple

noviembre 28, por Souhail Hammou

Un bloqueador de pantalla es un malware cuyo objetivo principal es bloquear la pantalla de la víctima mostrando un mensaje aterrador diseñado para provocar un alto nivel de miedo en el usuario final. En cierto modo, esto también puede ser un ataque de ingeniería social. Esto se muestra en la siguiente ilustración:

1

NOTA: Hemos utilizado el archivo de muestra IntelliTraces.exe para demostrar los efectos de un malware de bloqueo de pantalla. Las ilustraciones que siguen en este artículo se han tomado de este archivo de muestra.

A partir de este punto, se manipulará al usuario final para que llame a un número de teléfono, lo que luego dará lugar a la instalación de malware adicional.

Al intentar cerrar la aplicación usando las teclas ALT+F4, se muestra el cuadro de mensaje en la 2:

2

Al ingresar un código de soporte aleatorio no válido, se muestra un segundo número de teléfono, como se ilustra a continuación:

3

Para probar si el archivo IntelliTraces.exe implementa alguna técnica de persistencia para «bloquear» la máquina de la víctima al inicio, la máquina se reinicia o se cierra la sesión y se vuelve a iniciar. Cuando se hace esto, notamos que el malware no se inicia solo. Por lo tanto, es necesario un simple reinicio para desbloquear la pantalla.

Ahora, abramos el archivo IntelliTraces.exe en Reflector y luego vayamos a la función Form1_Load, que se ilustra a continuación:

4

Primero, el ejemplo llama a un método llamado PlayerHasPremium con la cadena «MrLore» como argumento. El resultado devuelto luego se muestra en una etiqueta llamada lblTFN , que se puede ver a continuación:

5

Todo lo que hacen las líneas de código anteriores es devolver el texto a una página web en particular.

El texto resultante luego se muestra en la etiqueta lblTFN , que es el número de teléfono. Podemos ver el valor codificado en el método InitializeComponent a continuación:

6

Esta ilustración demuestra que la página web contiene un número de teléfono específico que los atacantes pueden actualizar en cualquier momento. Si ese sitio web no funciona o el servidor no está conectado a Internet, se muestra el número predeterminado (888-348-1767).

A continuación, Form1_Load finaliza el proceso explorer.exe, que se puede ver a continuación:

7

Luego, todos los procesos no críticos finalizan excepto el proceso de la muestra, como se ve en la 8:

8

El mensaje que se muestra al intentar cerrar la aplicación anterior se encuentra en el método Form1_FormClosing. Este método se invoca como el formulario que se está cerrando. Esto cancela el evento si es el usuario el que intenta finalizar su ejecución como se ve en la 9, a continuación:

9

Si volvemos a la 1 y miramos la parte superior derecha de la captura de pantalla, vemos un par de imágenes (IE, TeamViewer, etc.). El ejemplo implementa métodos que se invocan cuando se hace clic en cada una de estas imágenes, como se ilustra a continuación:

10

Estos sitios web, excepto este último, son las páginas de inicio de herramientas de administración remota. Cuando se hace clic en una de estas imágenes, se invocará el navegador predeterminado para navegar al sitio web de destino. La premisa aquí es que los atacantes guiarán a la víctima, a través del número de teléfono falso, para que descargue cualquiera de estas herramientas. Esto permitirá que el ciberatacante controle la máquina del usuario final de forma remota.

El resultado cuando se hace clic en el método que maneja el botón «Activar ahora» se puede ver a continuación (11):

11

Al principio, todos los guiones se eliminan de la entrada en el campo clave. Luego se compara con la clave de desbloqueo válida de 8716098676542789. Si la clave ingresada es válida, se inicia el proceso del explorador y la muestra sale, pasando desapercibida.

Sin embargo, si es una clave incorrecta, se ejecutará el código de la 12:

12

Las líneas de código anteriores comienzan primero intentando obtener el número de teléfono de forma remota llamando al método PlayerHasPremium . Si la llamada falla, se mostrará otro número de teléfono predeterminado (1-844-894-8440) en la computadora de la víctima a través de un cuadro de mensaje, que se puede ver en la 3.

Conclusiones

En resumen, este artículo ha examinado los efectos de lo que puede hacer un malware Screen Locker. Es una forma más nueva de malware y su objetivo principal es bloquear la pantalla de la computadora de la víctima. Luego se le solicita que marque un número de soporte técnico falso con la esperanza de resolver la situación.

Sin embargo, después de marcar el número, se descarga más malware en la computadora de la víctima.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

El resultado es un usuario final increíblemente frustrado que podrá pagar cualquier cosa sólo para que su computadora funcione y tenga acceso a sus propios archivos. Sin embargo, cabe señalar que, a diferencia de otras formas de malware, los archivos de la víctima normalmente no se modifican ni se eliminan. El objetivo principal es provocar mucho miedo y frustración en la víctima prevista.