Análisis de malware

MyloBot: una botnet que solo envía correos electrónicos de extorsión

27 de abril de por Pedro Tavares

Se ha utilizado una nueva versión de la botnet MyloBot para implementar cargas útiles maliciosas para enviar correos electrónicos de extorsión, exigiendo a las víctimas que paguen 2.732 dólares en bitcoins.

MyloBot es un malware activo desde y capaz de desplegar cargas útiles maliciosas en el objetivo y enviar correos electrónicos de extorsión para “amenazar” a las víctimas con pagar un valor considerable de 2.732 dólares en bitcoins.

Según el equipo de investigación de Minerva Labs que analizó esta amenaza, esta botnet es más sofisticada y evolucionada que las muestras vistas en el pasado. Algunas de las técnicas antidepuración y de VM conocidas observadas en el pasado desaparecieron. Por el contrario, los delincuentes introdujeron un conjunto de nuevas técnicas de inyección, como Process Hollowing y APC injection.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Técnicas antidepuración y VM

Uno de los trucos antidepuración que se encuentran en este ejemplo es utilizar el ” ” filtro de excepción. Si se activa una excepción durante la ejecución del malware y no se llama a ningún controlador, se ” ” invoca la llamada API. [HAGA CLIC EN LAS IMÁGENES PARA AMPLIAR]SetUnhandledExceptionFilterkernel32!UnhandledExceptionFilter()

1: Técnica antidepuración utilizada por MyloBot.

Con esta técnica implementada, el malware puede registrar su carga útil real en un filtro de excepción personalizado y dificultar su análisis.

Cómo evitar esta protección

Coloque un punto de interrupción en la dirección pasada como parámetro único a ” SetUnhandledExceptionFilter” e ignoró la excepción.

Recurso: https://gitbook.seguranca-informatica.pt

Otra técnica utilizada por MylotBot es una llamada a la función ” CreateTimerQueueTimer ” que crea un temporizador que expirará después de un período específico. El uso de este enfoque dificulta la detección ya que la carga útil no se ejecutará en el contexto del subproceso remoto. Metamorfo, más conocido como Casbaneiro, es uno de los troyanos bancarios más populares que utiliza esta técnica para evitar la detección.

Después de las comprobaciones iniciales y de asegurarse de que el malware no se esté depurando en un entorno sandbox, se ejecuta en la memoria un archivo PE adicional (segunda etapa) disponible en MMZ: recursos de la sección 442. Como se observó, el recurso está ofuscado para evitar posibles detecciones.

2: MyloBot 2.ª etapa disponible en MMZ: 442 recursos.

Luego, la nueva carga útil se decodifica y ejecuta en un nuevo proceso suspendido utilizando la técnica Process Hollowing.

MyloBot 2da etapa

El nuevo proceso creado mediante el vaciado de procesos se compone de tres acciones importantes, a saber:

• Ejecutando comprobaciones anti-VM y buscando: cadenas VMWARE, VBOX, VIRTUAL HD y QEMU. Si coincide, el malware finaliza su ejecución.
• Como se observó en ejemplos anteriores, este también intenta encontrar otro malware en entradas de registro específicas:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun

HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce

HKLMSOFTWAREWOW6432NodeMicrosoftWindowsCurrentVersionRun

HKLMSOFTWAREWOW6432NodeMicrosoftWindowsCurrentVersionRunOnce

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce

• Crea persistencia en una nueva carpeta en la ruta C:ProgramData y coloca un nuevo archivo EXE (nuevamente la primera etapa).

Después de eso, se inicia un nuevo proceso llamado “svchost.exe” en estado suspendido y el proceso principal se inyecta en el nuevo mediante la técnica de inyección APC.

3: Técnica de inyección de APC utilizada durante la ejecución de MyloBot.

Tercera etapa: svchost.exe

Según lo documentado por la investigación de Minerva Labs , esta tercera etapa es responsable de crear persistencia en HKCUSoftwareMicrosoftWindowsCurrentVersionRun con la ruta al archivo escrito como valor:

4: Persistencia de MyloBot a través de la clave de registro de Windows en CurrentVersionRun.

Después de eso, el archivo escrito se inyecta en un nuevo subproceso remoto mediante el método ” CreateRemoteThread “. La tercera etapa ejecuta el árbol de procesos de Windows e intenta inyectar el archivo escrito en un proceso de 64 bytes. Si falla, el archivo en la ruta ” C:ProgramData ” ejecutará el proceso notepad.exe y lo inyectará en él.

A continuación, se notifica al servidor C2 y se descarga una nueva carga útil: un archivo PE y, en algunos casos, un archivo de texto denominado: update.txt .

Etapa final de MyLoBot

Según la investigación de Minerva, las mismas técnicas anti-VM y de depuración se ejecutan cuando se ejecuta esta etapa final. Además, esta etapa tiene un recurso con un EXE adicional ofuscado. Una vez más, se utiliza la técnica Process Hollowing para ejecutar en la memoria la carga útil objetivo. Después de eso,” ejecuta un proceso cleanmgr.exe de 64 bits e inyecta toda la carga útil en él utilizando una técnica CreateRemoteThread “, dice Minerva Team.

5: Inyección en cleanmgr.exe suspendido ( fuente ).

Toda la cadena de infección es un carrusel con muchas etapas, validaciones e inyecciones, un modus operandi típico observado desde. En este sentido, ” cleanmgr.exe ” está equipado con una técnica antidepuración de sincronización que comprueba si hay grandes retrasos entre instrucciones.

Después de eso, se crea un mutex “Sessions2BaseNamedObjectsSantiv18 ” y, si no se encuentra el archivo “update.txt”, MylotBot utiliza el punto final de la víctima para enviar correos electrónicos de extorsión.

6: Remitentes de mensajes de extorsión y correos electrónicos utilizados para difundir la estafa ( fuente ).

El cuerpo del correo electrónico enviado a las víctimas es el siguiente:

7: Correo electrónico de extorsión enviado por MyloBot.

Dada la complejidad de este malware, Minerva afirma que no podía entender si esta sería la última etapa de la cadena de infección y si otras cargas útiles podrían ejecutarse más adelante.

La amenaza MyloBot

MyloBot es una amenaza sofisticada y compleja, con varios TTP presentes y capaces de impedir un análisis completo de este malware. Aunque no fue posible concluir la última etapa de infección de esta pieza maliciosa, hay claros indicadores de que la amenaza se ha diseminado en algunos países específicos, como Irak, Irán, Argentina, Rusia, Vietnam, China, India, Arabia Saudita. , Chile y Egipto ( TOP 10 de países afectados ).

Según un análisis de Minerva Labs, el malware revela que también puede descargar archivos adicionales, lo que sugiere que el autor de la amenaza también deja una puerta abierta para llevar a cabo otros ataques extrayendo archivos adicionales. De esta forma, botnets como ésta son peligrosas porque podrían soltar y ejecutar otro tipo de amenazas, como ransomware, spyware, gusanos u otros archivos en todas las máquinas infectadas.

Por lo tanto, el uso de soluciones actualizadas de seguridad para terminales se considera el primer paso en la lucha contra las ciberamenazas de esta naturaleza. Además, se recomiendan copias de seguridad para evitar ataques de interrupción, como malware de cifrado de datos u otras amenazas.

Fuentes:

• MyloBot , Laboratorios Minerva
• TOP 10 países afectados , ETEK