Campañas maliciosas de múltiples etapas afectan a usuarios de Chile

Un análisis técnico sobre los métodos que están siendo utilizados por los atacantes en campañas que afectan a países de la región y que tiene como principal objetivo robar información financiera de sus víctimas

 

Los cibercriminales van evolucionando las técnicas que utilizan para propagar sus amenazas y es importante conocerlas para estar protegidos. En el caso puntual de la propagación de Mekotio, una botnet que vimos que es utilizada por cibercriminales en diferentes países de América Latina y de la cual ya hemos informado sobre algunas campañas el año pasado, algo que observamos que se mantiene en sus últimas campañas es la técnica de ingeniería social que implementan utilizando correos electrónicos para suplantar entidades conocidas en Chile.

Correo que llega a la víctima intentando infectarla al descargar un archivo

El correo contiene un link que se descarga un zip que contiene un archivo batch (4RCH1VO.cmd), que tiene como fin crear un troyano en vbs con el nombre del usuario actual en el siguiente path C:/Users/usuario/usuario.vbs .

Para que se logre descargar correctamente se debería configurar un proxy de Chile, ya que como hemos visto en reportes anteriores, la campaña que últimamente hemos visto afectando a usuarios en Chile está geolocalizada. Dicho esto, el archivo descargado corresponde a una variante de BAT/TrojanDownloader.Agent.NOU. A continuación, se ven los diferentes procesos asociados a su ejecución.

El nuevo script VBS (se muestra una parte en la siguiente captura) se encuentra bastante ofuscado y corresponde a una etapa más del proceso de descarga, que aún no es el payload de la campaña. Por lo tanto, lo que hace es tratar de conectarse a un sitio en Internet para descargar un archivo comprimido con formato ZIP.

Parte del nuevo script VBS

Es en este archivo zip que descarga están presentes dos amenazas y un archivo de configuración. Mekotio es una de las amenazas presentes. Se trata de una botnet que se propaga como troyano y que busca principalmente información financiera de la víctima. La otra amenaza es un binario desarrollado en autoit que tiene como fin ejecutar una DLL.

Un análisis sobre el script VBS da cuenta de las cadenas ofuscadas y nos permite obtener las URL y los nombres de los archivos descargados. Parte de este proceso se ejemplifica en la siguiente imagen:

Script VBS permite ver la URL y los nombres de los archivos descargados

Descripción de los payload de la campaña

A continuación, veremos las principales características de los payload que hacen parte de esta campaña y las relaciones que existen entre ellos.

A5MMC4SCHRPG1XQ3O0PMANHX2C (acc07666f4c1d4461d3e1c263cf6a194a8dd1544)

Este ejecutable es un archivo compilado de Autoit, un lenguaje de scripting ampliamente utilizado por los cibercriminales en campañas propagadas en LATAM.

Script en Autoit

V4ADZBZ2MIBYOFSBG7FDXUD88XHF20W74S5WB76 (6e8ea9ac6dd6df066efa3f5fcdab86d93ec3a94c)

Al observar en los exports de la DLL encontramos la función a la cual hace referencia el script en Autoit.

Función a la cual hace referencia el script en Autoit

En la siguiente imagen se puede observar que la DLL se encuentra protegida por un packer (VMProtect v.3.x).

DLL protegida por WMProtect v.3.00

Una vez que el equipo se encuentra comprometido por la amenaza, la misma intentará enviar información al C&C con datos del equipo en texto plano, como credenciales . En la siguiente imagen se pueden observar algunos de los paquetes enviados.

Información del equipo de la víctima enviada al atacante en texto plano

A continuación, los hashes y nombres de los archivos al descomprimir el archivo:

SHA1Nombre de Archivo
acc07666f4c1d4461d3e1c263cf6a194a8dd1544A5MMC4SCHRPG1XQ3O0PMANHX2C (exe)
6e8ea9ac6dd6df066efa3f5fcdab86d93ec3a94cV4ADZBZ2MIBYOFSBG7FDXUD88XHF20W74S5WB76 (dll)
76d55fe2bbeaa5b535aa0c7a0e076eba120ac258VCHGBR6K7P383TGIJGQ7P3DEXACSADNAI (data)

Esta forma de propagación de malware en diferentes capas es una técnica que está siendo ampliamente utilizada para propagar amenazas y tratar de afectar a usuarios en la región. Es importante estar al tanto de los métodos que utilizan los cibercriminales para poder tomar las medidas de control adecuadas en los sistemas de protección en la empresa; además de educar a los usuarios para que sean capaces de identificar fácilmente este tipo de campañas.

Fuente: welivesecurity

Share this post