Buscar este blog

viernes, 4 de enero de 2013

Malware UPS

 
El método del envío de emails maliciosos siendo una vía de infección. Los cibercriminales se encargan de mandar correos simulando ser una empresa,
o un servicio de cualquier tipo para que al final abras un enlace de un servidor donde te descargues un malware. Este malware puede actuar de dropper o bien ser la pieza de malware en si misma.
Uno de últimos casos reportados estas navidades es el de UPS


Cuando un usuario lo recibe puede extrañarse si no tiene que recibir ningún paquete. En la imagen hay un link que te llevaba a un HTML:
darkmac:Downloads marc$ more BEMDDFHOHH.html
<html>
<body>
<script language=”JavaScript”>
<!–
window.location=”Shipping_Label_USPS.zip”;
//–>
</script>
</body>
</html>
Parece que el HTML hace que te descargues un archivo ZIP, pero antes de abrir el Zip, podemos mirar la cabecera del correo:

 


Si descomprimimos el ZIP hay un icono de PDF. Aunque está claro que es un exe lo que hay dentro del ZIP y que simula ser un PDF.
darkmac:Downloads marc$ file Shipping_Label_USPS.exe
Shipping_Label_USPS.exe: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
El usar ingeniería social para cambiar los iconos también es un práctica habitual.
Si ejecutamos la muestra en un entorno controlado, vemos que el supuesto PDF se conecta a muchos sitios

 

Sorprende la cantidad de hosts a los que se conectaba la muestra.
Todos los hosts estaban blacklisted, por lo que se sabe que no hay nada bueno si se conectan ahí.
Si miramos las características del binario
File Name:    Shipping_Label_USPS.exe
File Size:    82944 byte
Compile Time:    1992-06-20 00:22:17
DLL:        False
Sections:    8
MD5   hash:    1b5c32dd2c13a49a055b47b0cc0f5d66
SHA-1 hash:    f3da4ebf27a10d873e8c827ee00880f18608981d
Packer:        Borland Delphi 3.0 (???)
Anti Debug:    Yes
Anti VM:    None

File and URL:
FILE:        kernel32.dll
FILE:        kernel32.dll
FILE:        kernel32.dll
FILE:        user32.dll
FILE:        advapi32.dll
FILE:        oleaut32.dll
FILE:        kernel32.dll
FILE:        kernel32.dll
FILE:        user32.dll
FILE:        Windows.Com
URL:        None

Suspicious API Functions:
Func. Name:    VirtualAlloc
Func. Name:    LoadLibraryExA
Func. Name:    GetStartupInfoA
Func. Name:    GetProcAddress
Func. Name:    GetModuleHandleA
Func. Name:    GetModuleFileNameA
Func. Name:    GetCommandLineA
Func. Name:    FindFirstFileA
Func. Name:    WriteFile
Func. Name:    UnhandledExceptionFilter
Func. Name:    RegOpenKeyExA
Func. Name:    RegCloseKey
Func. Name:    GetModuleHandleA
Func. Name:    WriteFile
Func. Name:    GetVersionExA
Func. Name:    GetProcAddress
Func. Name:    GetModuleHandleA
Func. Name:    GetModuleFileNameA

Suspicious API Anti-Debug:
Anti Debug:    UnhandledExceptionFilter

Suspicious Sections:
Sect. Name:    BSS
MD5   hash:    d41d8cd98f00b204e9800998ecf8427e
SHA-1 hash:    da39a3ee5e6b4b0d3255bfef95601890afd80709
Sect. Name:    .tls
MD5   hash:    d41d8cd98f00b204e9800998ecf8427e
SHA-1 hash:    da39a3ee5e6b4b0d3255bfef95601890afd80709
Sect. Name:    .rdata
MD5   hash:    35d8e15c75a6ddb8444fd827d3c39abb
SHA-1 hash:    bda56a11898e99a2c6f33dd25f8007a15c36fe41
Está desarrollado el Delphi y contiene funciones antidebug. Otro caso de malware que llega vía email, mucho cuidado..

No hay comentarios:

Publicar un comentario