Análisis de malware

Malware Ursnif

15 de marzo de por Winston M.

Estos días, junto con las condiciones climáticas imprevistas, también se están produciendo varias campañas de malware impredecibles en todo el mundo conectado. La mayoría de los delincuentes confían en el correo electrónico no deseado y las macros maliciosas asociadas para lanzar e infectar a las víctimas objetivo con otro malware atroz.

¡Los estudios muestran que el 95% de los ataques de seguridad exitosos son creados por errores humanos!

Las entidades sensibles a la seguridad están endureciendo al máximo los controles para escapar de este tipo de campañas o contagios. Por otro lado, los autores de malware están tomando muchas medidas ingeniosas para evadir los llamados “controles de seguridad reforzados”.

Dicho esto, pasemos al último malware de documentos, que evade todos los controles de seguridad para infectar las máquinas objetivo con Ursnif Spyware.

¿Quieres un resumen antes de empezar? Ahí tienes.

Se detectaron tres correos electrónicos no deseados difundiéndose, cada uno con archivos de documentos de Microsoft (.docx) que estaban protegidos con contraseña. El cuerpo del correo contenía las contraseñas para abrir los documentos protegidos. Los tres archivos de documentos no contenían ningún código de macro (obviamente, los archivos .docx pueden no contenerlo), pero el cuerpo de los documentos contenía tres objetos OLE incrustados con iconos que imitaban archivos de documentos de Word. Estos objetos incrustados eran VBScripts maliciosos únicos, que actúan como un dropper de malware. Una vez que el usuario hace doble clic en cualquiera de los objetos Ole VBScript, el código malicioso lanzará un software espía atroz, que es una nueva variante de Ursnif.

Uno de los tres correos electrónicos no deseados se muestra a continuación:

Una vez que se abre el documento, aparecerá una solicitud de contraseña antes de que el documento se abra por completo. Esta es una táctica destacada para evadir cualquier tecnología de zona de pruebas automatizada, ya que se necesita intervención humana para realizar la entrada de la contraseña, que en el cuerpo del correo electrónico.

¡Ahí tienes Sandbox! No puedes ir más allá de esto. ¡¡El chico malo espera sentido humano, no el tuyo!! 😉

¿Creemos una herramienta para rastrear la contraseña en el cuerpo del correo electrónico y enviarla a la ventana emergente de contraseña mientras estamos en la zona de pruebas? 😉 Por favor, deja un comentario si está disponible 🙂

Cuando se ingresa la contraseña, el documento se abrirá y luego mostrará tres objetos OLE incrustados, que imitan tres archivos de documento (solo el icono y el nombre de Word). Sin embargo, la verdad es que los tres objetos son VBScript maliciosos únicos.

Es importante encontrar la arquitectura y el funcionamiento de este VBScript integrado para identificar IOC importantes. Como comentamos anteriormente, todos los VBScripts eran similares y, por lo tanto, copiaron de forma segura este script independiente y comenzaron a depurar. Los códigos no estaban completamente ofuscados, pero usaban mucho nombres de variables aleatorias para confundir el análisis estático y las detecciones heurísticas.

Inmediatamente cuando se ejecuta el script, VBScript se ejecutará copiándose en la carpeta %temp.

Mi querido Sandbox, ¿has logrado llegar a este punto? Ahora el cronómetro corre, 250 segundos. ¡Fallaste!

Luego, el script llamará a un shell de comandos para iniciar PING a 8.8.8.8, redirigido 250 veces a nulo. La idea es dormir 250 segundos antes de comenzar la siguiente discusión. Esta es otra técnica utilizada por el malware para evadir el análisis automatizado de malware mediante Sandboxes.

Para que el malware active su comunicación de comando y control, tenemos que esperar 250 PING. Afortunadamente, si intentamos finalizar todo el árbol de procesos PING manualmente, inmediatamente el malware intenta comunicarse con su dirección IP de comando y control para descargar un archivo. 😉

A partir del siguiente código de depuración, podemos sospechar que el código está intentando descargar un archivo “img.jpt” desde una dirección IP remota y verifica si el código de estado HTTP tiene una conexión exitosa o no (OK).

Como sospechábamos, en el momento en que finalicemos el proceso PING, el código se comunicará con direcciones IP remotas para descargar los archivos.

Todo el análisis dinámico se realiza emulando los recursos necesarios para el malware.

Otra comunicación IP remota para descargar un archivo (para otro ejemplo)

Dado que estamos emulando la comunicación de red para malware, no pudo obtener el archivo real y luego intenta comunicarse con otro dominio para descargar el mismo archivo pero con diferente nombre y extensión: “tmp.pkg” (archivo cifrado )

Lo mismo para otra muestra:

¿Qué pasa si ambos fallan?

Si ambas comunicaciones fallan, el malware arrojará un archivo cifrado con “.QdE” (Xorcrypt), extensión en: C:Users{username}AppDataRoaming.

Luego, la macro maliciosa, sobre la marcha, descifrará el archivo caído en un archivo PE (ejecutable) en la misma carpeta de destino con una extensión “.VIv”. Los nombres de estos archivos se generarán aleatoriamente (números).

Una vez que el archivo ejecutable se haya eliminado correctamente, el shell wscript invocará la línea de comando para ejecutar el archivo PE.

Aquí termina la función de los Documentos, que los usuarios recibieron a través de correo electrónico no deseado. A continuación, la amenaza avanzará hasta el malware caído.

Ejecutable eliminado: software espía Ursnif

Un análisis más detallado confirmó que el archivo que apareció en el documento es un infame y atroz “Ursnif Malware”.

• El malware {randomnumber}.Vlv, una vez ejecutado, se copiará a sí mismo como “adprtext.exe” en “C:Users{username}AppDataRoamingMICROS~1adprtext.exe” y se ejecutará desde allí.
• El malware buscará persistencia agregando la ruta anterior a Ruta: “HKCUSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN”
• Luego, el software espía realizará su actividad de espionaje, como registro de teclas, recolección de credenciales, etc., y comenzará la filtración a servidores remotos de comando y control.
• El tráfico comprometido POST (tráfico de exfiltración) de muestra:

Esta vez, proporcionando COI completos, ¡más vale prevenir que curar! 🙂

Indicadores de compromiso

Remitente de correo no deseado

nathalie.trepanier@cgocable.ca

amccarron@miracosta.edu

Hashes de archivos: documentos

MD5: 7B9D6ED35A03810AB9FA4389AAA0BC7D

MD5: 505E5ABE91B5214D11DEE94E0069A6CD

MD5: 812129572DAD1887C5C3E4A4B3C8A938

Dos variantes de VBscript integradas dentro del documento de Word

MD5: 6515B987026A1D68DD5C95269F1F7D6A

MD5: 399DE7366D52937E245235F18EBD8117

Archivo descartado: archivo cifrado

Nombres:

1. {número aleatorio}.QdE
2. img.jpt
3. tmp.paquete
4. cf.kls
5. registro.ktg

mismo MD5: C95A7F3FDDE60FCE15BFA74ED87B62CE

Archivos eliminados

C:Usuarios{nombre de usuario}AppDataRoaming{números aleatorios}.QdE

C:Usuarios{nombre de usuario}AppDataRoaming{números aleatorios}.VIv

C:Usuarios{nombre de usuario}AppDataLocalWord document.vbs

C: Usuarios {nombre de usuario} AppDataLocalDocument Part.vbs

Direcciones IP comunicadas

8.8.8.8

185.188.183.235

185.180.231.35

74.215.248

64.71.35.52

URL comunicadas

http://185.188.183.235/img.jpt

www.legadodevelopmentgroup.com/tmp.pkg

http://185.180.231.35/cf.kls

www.premierautoestates.com/log.ktg

Software espía eliminado final – Ursnif

Nombre: {números aleatorios}.VIv

MD5: 15BAA544D5EFCB1B88AA71A99EEC95D3

El software espía se copia a sí mismo en la siguiente ubicación:

C:Usuarios{nombre de usuario}AppDataRoamingMICROS~1adprtext.exe

Consulta de DNS mediante software espía y URL para tráfico POST

psuchyouincl[.]ru

acontributorsthemt[.]ru

verstrictaiphp[.]ru

desoftwarezend[.]ru

conbuttoutversionliable[.]ru

Direcciones IP comunicadas por software espía

82.79.244

67.222.222

89.185.22.170

Inteligencia de amenazas

El análisis muestra que una de las IP está etiquetada como actividad de Botnet. La dirección IP “89.185.22.170” se ve etiquetada en “Botnet”. Además, otra dirección IP “82.79.244” contiene el mismo dominio malicioso ruso que tenía la IP de Botnet, que puede vincularse ya que esta IP también puede ser parte de esta Botnet.

La dirección IP principal del software espía que analizamos debe ser “87.98.254.64”, que contiene la mayor parte del dominio al que el software espía envía tráfico POST y solicitud de DNS.

El análisis muestra que esta IP está hundida por “zinkhole.org”, un proyecto de sumidero, que a su vez muestra que esta IP es una IP zombi y parte de Botnet.

Como podemos ver, la relación contiene muchas ramas a través de Internet y una gran cantidad de malware alojado en la dirección IP, esta dirección IP debe ser la semilla de una actividad continua de botnet.

Además, podemos ver la siguiente información de inteligencia que indica que esta IP también ha sido reportada como IP de Botnet:

Conclusión

Los correos electrónicos no deseados se están difundiendo por Internet, utilizando diversos trucos y tácticas para evadir todas las medidas de seguridad de una entidad. Estos documentos maliciosos eliminarían la mayoría de los tipos de malware con facilidad. En este incidente, vimos que el Documento utilizó dos técnicas de evasión, como la protección con contraseña y el mecanismo de suspensión, soltando un software espía y permitiendo que se ejecutara en la máquina víctima.

No hay ventana emergente que permita macros, Sandbox evadido, evasión AV, pasó la puerta de enlace de correo. Hmm… Comencemos la capacitación en concientización sobre seguridad para los usuarios finales 🙂

Referencia:

https://cysinfo.com/

https://digital-forensics.sans.org/blog//11/23/extracting-vb-macros-from-malicious-documents/

https://zeltser.com/malware-analysis-webcast/

https://zeltser.com/automated-malware-analysis/

https://www.decalage.info/en/taxonomy/term/10

https://spreadsecurity.github.io//08/14/macro-malware-analysis.html