Análisis de malware

Malware Troystealer: qué es, cómo funciona y cómo prevenirlo | Destacado malware

15 de octubre de por Pedro Tavares

Vivimos en una era en la que el malware forma parte de nuestra vida diaria. Las campañas emergentes están aumentando, cada una más sofisticada y más difícil de detectar que la anterior. El malware puede revelarse a través de diferentes comportamientos anormales, incluida una ola gigante de anuncios molestos que inundan su pantalla, su sistema falla, se bloquea o muestra repetidamente un BSOD (pantalla azul), pérdida de espacio en el disco, un extraño aumento en la actividad del sistema en el Internet, etc.

En este caso, el malware Troystealer ejecuta varias tareas. Infecta nuevos dispositivos y provoca una degradación del rendimiento de la computadora: la tasa de ejecución de la CPU aumenta exponencialmente. Esto sucede porque el malware recopila datos confidenciales de varios puntos, como contraseñas guardadas en bases de datos del navegador web, archivos de configuración de software específico y de destino, y otros tipos de tareas que requieren un alto procesamiento.

La 1 muestra el escenario descrito: Ejecución de Troystrealer en el dispositivo infectado: Systemlanager (32 bit).exe.

1 : El malware Troystealer utiliza una alta tasa de CPU durante su ejecución (recopilando datos del disco)

Troystealer en profundidad

La amenaza fue detectada inicialmente por Abuse.ch el 12 de junio de. Fue vista como un nuevo ladrón en la ciudad que apuntaba a usuarios de Internet portugueses, y no se habían analizado otras muestras antes.

2: Primer informe sobre el malware Troystealer dirigido a usuarios de Internet portugueses

Este malware se difundió a través de campañas de phishing con una plantilla en idioma portugués y estaba relacionado con un problema en la cuenta bancaria de la víctima (el señuelo).

3: Plantilla de Troystealer difundida vía correo electrónico ( Segurança-Informática )

El malware se adjunta al correo electrónico distribuido. Cuando se ejecuta, aprovecha la técnica de inyección de procesos para ejecutar un nuevo binario después de varias rondas de desofuscación. El diagrama de alto nivel de esta amenaza se presenta a continuación.

4: Diagrama de alto nivel de Troystealer (fuente: Segurança-Informática )

El binario difundido por correo electrónico (primera etapa) está protegido con dos rondas de ofuscación y los delincuentes utilizaron dos ofuscadores: Smart Assembly y .NET Reactor. Como puede ver en la 4, el malware se inyecta en la memoria mediante inyección de proceso e inicia el proceso malicioso de recopilar información confidencial del dispositivo de la víctima.

Información exfiltrada

Se inicia el proceso de recolección y los módulos de malware son responsables de recopilar algunos detalles específicos. La información exfiltrada incluye:

• Credenciales disponibles en las bases de datos de los navegadores web
• Contraseñas almacenadas en HKEY_CURRENT_USERSoftwarePatalk contraseñas
• Instale productos de seguridad en el dispositivo de destino
• Obtener la versión del sistema operativo
• Obtener pulsaciones de teclas (funciones del registrador de teclas)
• Obtenga credenciales de varios objetivos y aplicaciones instaladas

Troystealer fue desarrollado para robar credenciales de las siguientes aplicaciones:

Paltalk, Purple, Thunderbird, Proxifier, MSN, Outlook, Pidgin, Chrome, Firefox, Opera, Firefox, Opera, Safari, iExplore CoolNovo, SRWare Iron, Dragon, Flock, Rockmelt, Skype, FileZilla, Battle.net, Trillion, TeamViewer, Nimbuzz, Cromo

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Durante el análisis, se observó que el malware analiza los archivos de credenciales utilizando las DLL de Mozilla y la DLL nss3. La siguiente imagen muestra detalles sobre las carpetas Filezilla y Battle.net presentes en el código fuente del malware.

5: Troystealer accediendo a las carpetas de Filezilla y Battle.net para recopilar información

Después de eso, el malware recopila información del sistema, incluidas las credenciales de Windows, y obtiene los números de serie del volumen y el ID del producto digital (clave de producto de Windows y zona horaria de la máquina). También realiza algunas consultas WMI, como:

IWbemServices::ExecQuery – rootcimv2: SELECCIONE Título DE Win32_OperatingSystem IWbemServices::ExecQuery – rootSecurityCenter2: SELECCIONE * DE AntivirusProduct

Luego, la información se agrupa para enviarse al correo electrónico del delincuente mediante el protocolo SMTP. Antes de ejecutar este paso, verifica si la computadora está conectada a Internet. Uno de los pocos archivos creados en el sistema se llama halloee.txt. El archivo contiene los resultados de la página speedtest.net. Si los datos de respuesta son válidos, el proceso de exfiltración continúa.

6: Troystealer monitoreando la conexión a Internet

Si se obtiene una conexión a Internet válida, la información exfiltrada se recibe por parte del delincuente. La 7 muestra parte del código fuente encargado de realizar este proceso.

7: Fragmento de código de Troystealer responsable de enviar la información exfiltrada por correo electrónico (fuente: Segurança-Informática )

Similitudes de Troystealer con el código filtrado en

Aunque este malware es reciente, parece haber evolucionado a partir de un ladrón cuyo código fuente se filtró a Pastebin a finales de. La 8 presenta parte del código fuente filtrado y similitudes con el código de Troystealer después de revertirlo.

8: Código fuente filtrado en Pastebin y utilizado en Troystealer

Como puede ver, las aplicaciones de destino son parte de la lista descrita anteriormente, y la parte relacionada con la conexión a Internet es la misma que se encuentra en el código invertido de Troystealer. Este es un fuerte indicador de que gran parte del código fue mantenido por operadores de malware.

La cadena “SiriT”, parte del nombre de usuario de Pastebin, fue la clave para recopilar más información sobre esta amenaza. Esto incluye mensajes disponibles en un foro de Internet específico con detalles sobre las aplicaciones de destino utilizadas durante el proceso de exfiltración de malware (consulte la 9).

9: Información sobre el actor de amenazas Troystealer y las aplicaciones codificadas

Medidas de prevención

La prevención contra este tipo de amenazas debe basarse en una sólida conciencia cibernética y en las mejores prácticas de Internet en general, y especialmente de su bandeja de entrada de correo electrónico. Muchos malware todavía se distribuyen mediante escenarios de ingeniería social, como campañas de phishing por correo electrónico y smishing. A continuación, recomendamos algunas medidas para evitar que el malware infecte su computadora y su medio de vida.

1. Instale un antivirus u otra solución antimalware para mantener su computadora alejada del malware
2. Mantenga su sistema actualizado e instale actualizaciones de software y sistema operativo con regularidad
3. Piénselo antes de hacer clic en cualquier enlace compartido por correo electrónico, chat y otras aplicaciones. Lo mismo ocurre con los archivos adjuntos en un correo electrónico o canales similares.
4. Haga una copia de seguridad de sus archivos en línea y fuera de línea para evitar la corrupción de datos durante un incidente cibernético, como ataques de ransomware.
5. Utilice contraseñas múltiples y seguras y autenticación multifactor. Nunca utilice la misma contraseña en varias cuentas de diferentes servicios/aplicaciones. Después de recopilar las credenciales, los actores de amenazas intentarán acceder a diferentes servicios de destino en línea con sus secretos.

Y por último, pero no menos importante: ¡sea proactivo y empiece a tomarse en serio la protección contra malware!

Fuentes

TroyStealer: un nuevo ladrón de información dirigido a usuarios de Internet portugueses , Segurança Informática

Análisis del ladrón de Troyas , Blog Reason

abuso.ch (Twitter)