No te sientas excluido: Ransomware para amantes de la seguridad informática

LogmeIn, Pastebin, and obfuscation as parts of a perfect crime

¡Todo es culpa de los macros!

Está oscureciendo y nuestro cliente de correos favorito nos alerta con entusiasmo sobre un nuevo mensaje electrónico… ¿será algo interesante? Un vistazo rápido al contenido del mensaje indica que una operación maliciosa acaba de ganarse el rol estelar de la noche. Descubrimos que el archivo adjunto es un documento malicioso con macros integrados protegido por una contraseña. Es más, un análisis veloz del archivo indica que es capaz de descargar un archivo ejecutable al sistema, lo que aumenta nuestra curiosidad:

Después de abrir el archivo, y sólo si la víctima ha accedido a activar los macros, se muestra un documento de Word que parece inofensivo.

Los metadatos de archivos demuestran el apuro del autor al desarrollar el archivo, que usa las letras rusas "фыв" para llenar las secciones de las etiquetas:

"фыв" corresponde a la combinación de letras “asd” en teclados latinos, así que es un relleno rápido y despreocupado.

Indagando en el código

El script malicioso de la segunda etapa que contiene las instrucciones se descarga de una entrada pública alojada en Pastebin en el modo de cifrado base64.

Las instrucciones completas tienen 101 líneas y hasta ahora se han leído más de 5.000 veces. Este parece un indicador confiable de la cantidad de posibles infecciones de este malware.

Vale la pena mencionar que, cuando descubrimos el documento malicioso inicial, ninguna solución de seguridad en Virustotal detectaba la amenaza (aunque Kaspersky Lab detectó al ejecutable en sí como Trojan-Ransom.Win32.Foreign.mdst).

El script descifrado es así:

La carga explosiva base64 descifrada que se descarga de Pastebin busca un archivo que incluye varios identificadores que utiliza el script VBS para hacer llamadas. Cada identificador representa una sección del código que necesita llamarse en un orden específico para completar la infección. Las secciones reciben su nombre en base a una convención genérica como ‘text20’, ‘text21’, ‘stext1’, etc. Usando la función "Tort” implementada en el módulo del script VBS, se revierte la ofuscación de las instrucciones y se extraen para su ejecución.

En el caso de la sección ‘ <text31> ‘, podemos ver que se llama a un script PowerShell usando la opción ‘-noexit’ que, según la documentación de Technet de Microsoft, se usa con frecuencia cuando se ejecutan scripts mediante el prompt del sistema (cmd.exe) para evitar salir después de la ejecución. Hay que mencionar el segundo parámetro, que cambia las regulaciones de ejecución al modo de derivación. Es interesante que, al usar una simple opción de línea de comando, esta creación maliciosa puede evadir la política de ejecución de PowerShell configurada en el sistema.

El fichero, preparado para su ejecución en PowerShell, también lo prepara el script VBS original. Una ofuscación simple pero molesta está a cargo de conseguir que la cadena final se pase como un parámetro.

En cuanto a las instrucciones de arriba, la variable “currentFile” se reemplazará por el valor de Chr(34) o por una comilla, y por el valor de las variables PH2, FL2 y otros valores de texto estático. Las variables PH2 y FL2 están dispuestas al principio de la ejecución del script, donde FL2 es el texto aleatorio que se usa para dar nombre a numerosos archivos dentro de una ubicación temporal establecida por PH2.

Aunque el mecanismo no es muy complejo, podemos ver que los escritores de virus tomaron todas las medidas posibles para ralentizar el análisis y esconder el verdadero propósito de su código, aun cuando al ser un script debe ser legible para los humanos.

Ya hemos denunciado la URL maliciosa de Pastebin.

Carga explosiva

La carga explosiva es un archivo PE binario (archivo comprimido que se extrae a sí mismo o SFX) llamado "file.exe". Al ejecutarse, “file.exe” se copia a “C:WindowsSystem32WinSrv32.exe” y se elimina de su ubicación de llamada original. Su persistencia en el sistema infectado se consigue mediante una llave de registro escrita en la siguiente rama: “HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun”.

La carga explosiva Trojan-Ransom.Win32.Foreign.mdst se conecta a un dominio basado en onion mediante el servicio Tor2Web.

Al mencionar un hostname se refiere al lado frontal del dominio um6fsdil5ecma5kf.onion que sirve como un C2 del malware.

Nombres con los que se detecta el malware

239d4f67692a5883574e3c496d88979c logmein_coupon.doc Trojan-Downloader.MsWord.Agent.hz
41d605b3981f330bd893b2dfd6e1d890 file.exe Trojan-Ransom.Win32.Foreign.mdst

Publicaciones relacionadas

Hay 1 comentario
  1. joel

    bueno interesante pero me gustaria saber sise puede comparar dos archivos uno afectado y uno desencriptado para allar la clave para desencriptar archivos afectados. me afecto un virus que dejo help decripter.png y help decripter como acceso directo a una web . entre ala web y desencripte uno de 512 kb lo maximo que podia la pagina . donde podria conseguir informacion de este virus gracias.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *