Uno de últimos casos reportados estas navidades es el de UPS
Cuando un usuario lo recibe puede extrañarse si no tiene que recibir ningún paquete. En la imagen hay un link que te llevaba a un HTML:
darkmac:Downloads marc$ more BEMDDFHOHH.htmlParece que el HTML hace que te descargues un archivo ZIP, pero antes de abrir el Zip, podemos mirar la cabecera del correo:
<html>
<body>
<script language=”JavaScript”>
<!–
window.location=”Shipping_Label_USPS.zip”;
//–>
</script>
</body>
</html>
Si descomprimimos el ZIP hay un icono de PDF. Aunque está claro que es un exe lo que hay dentro del ZIP y que simula ser un PDF.
darkmac:Downloads marc$ file Shipping_Label_USPS.exeEl usar ingeniería social para cambiar los iconos también es un práctica habitual.
Shipping_Label_USPS.exe: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
Si ejecutamos la muestra en un entorno controlado, vemos que el supuesto PDF se conecta a muchos sitios
Sorprende la cantidad de hosts a los que se conectaba la muestra.
Todos los hosts estaban blacklisted, por lo que se sabe que no hay nada bueno si se conectan ahí.
Si miramos las características del binario
File Name: Shipping_Label_USPS.exeEstá desarrollado el Delphi y contiene funciones antidebug. Otro caso de malware que llega vía email, mucho cuidado..
File Size: 82944 byte
Compile Time: 1992-06-20 00:22:17
DLL: False
Sections: 8
MD5 hash: 1b5c32dd2c13a49a055b47b0cc0f5d66
SHA-1 hash: f3da4ebf27a10d873e8c827ee00880f18608981d
Packer: Borland Delphi 3.0 (???)
Anti Debug: Yes
Anti VM: None
File and URL:
FILE: kernel32.dll
FILE: kernel32.dll
FILE: kernel32.dll
FILE: user32.dll
FILE: advapi32.dll
FILE: oleaut32.dll
FILE: kernel32.dll
FILE: kernel32.dll
FILE: user32.dll
FILE: Windows.Com
URL: None
Suspicious API Functions:
Func. Name: VirtualAlloc
Func. Name: LoadLibraryExA
Func. Name: GetStartupInfoA
Func. Name: GetProcAddress
Func. Name: GetModuleHandleA
Func. Name: GetModuleFileNameA
Func. Name: GetCommandLineA
Func. Name: FindFirstFileA
Func. Name: WriteFile
Func. Name: UnhandledExceptionFilter
Func. Name: RegOpenKeyExA
Func. Name: RegCloseKey
Func. Name: GetModuleHandleA
Func. Name: WriteFile
Func. Name: GetVersionExA
Func. Name: GetProcAddress
Func. Name: GetModuleHandleA
Func. Name: GetModuleFileNameA
Suspicious API Anti-Debug:
Anti Debug: UnhandledExceptionFilter
Suspicious Sections:
Sect. Name: BSS
MD5 hash: d41d8cd98f00b204e9800998ecf8427e
SHA-1 hash: da39a3ee5e6b4b0d3255bfef95601890afd80709
Sect. Name: .tls
MD5 hash: d41d8cd98f00b204e9800998ecf8427e
SHA-1 hash: da39a3ee5e6b4b0d3255bfef95601890afd80709
Sect. Name: .rdata
MD5 hash: 35d8e15c75a6ddb8444fd827d3c39abb
SHA-1 hash: bda56a11898e99a2c6f33dd25f8007a15c36fe41
No hay comentarios:
Publicar un comentario