Desde finales del año pasado comenzamos a rastrear una nueva campaña maliciosa para distribuir un troyano bancario. Los atacantes se centraron en comprometer a las empresas rusas, es decir, a los usuarios corporativos. La campaña maliciosa estuvo activa durante al menos un año y, además del troyano bancario, los atacantes recurrieron a otras herramientas de software. Estos incluyen un cargador especial empaquetado usando y software espía, que se disfraza del conocido software legítimo Yandex Punto. Una vez que los atacantes han logrado comprometer el ordenador de la víctima, instalan una puerta trasera y luego un troyano bancario.
Para su malware, los atacantes utilizaron varios certificados digitales válidos (en ese momento) y métodos especiales para eludir los productos AV. La campaña maliciosa se dirigió a un gran número de bancos rusos y es de particular interés porque los atacantes utilizaron métodos que se utilizan a menudo en ataques dirigidos, es decir, ataques que no están motivados exclusivamente por fraude financiero. Podemos observar algunas similitudes entre esta campaña maliciosa y un incidente importante que recibió gran publicidad anteriormente. Hablamos de un grupo de cibercriminales que utilizaba un troyano bancario /.
Los atacantes instalaron malware sólo en aquellas computadoras que usaban el idioma ruso en Windows (localización) de forma predeterminada. El principal vector de distribución del troyano era un documento de Word con un exploit. , que fue enviado como archivo adjunto al documento. Las capturas de pantalla siguientes muestran la apariencia de dichos documentos falsos. El primer documento se titula “Factura No. 522375-FLORL-14-115.doc”, y el segundo “kontrakt87.doc”, es una copia del contrato para la prestación de servicios de telecomunicaciones por parte del operador de telefonía móvil Megafon.
Arroz. 1. Documento de phishing.
Arroz. 2. Otra modificación del documento de phishing.
Los siguientes hechos indican que los atacantes tenían como objetivo empresas rusas:
- distribución de malware utilizando documentos falsos sobre el tema especificado;
- las tácticas de los atacantes y las herramientas maliciosas que utilizan;
- enlaces a aplicaciones comerciales en algunos módulos ejecutables;
- nombres de dominios maliciosos que se utilizaron en esta campaña.
Las herramientas de software especiales que los atacantes instalan en un sistema comprometido les permiten obtener control remoto del sistema y monitorear la actividad del usuario. Para realizar estas funciones, instalan una puerta trasera y también intentan obtener la contraseña de la cuenta de Windows o crear una nueva cuenta. Los atacantes también recurren a los servicios de un registrador de teclas (keylogger), un ladrón de portapapeles de Windows y un software especial para trabajar con tarjetas inteligentes. Este grupo intentó comprometer otras computadoras que estaban en la misma red local que la computadora de la víctima.
Nuestro sistema de telemetría ESET LiveGrid, que nos permite rastrear rápidamente las estadísticas de distribución de malware, nos proporcionó estadísticas geográficas interesantes sobre la distribución del malware utilizado por los atacantes en la campaña mencionada.
Arroz. 3. Estadísticas sobre la distribución geográfica del malware utilizado en esta campaña maliciosa.
Instalación de malware
Después de que un usuario abre un documento malicioso con un exploit en un sistema vulnerable, se descargará y ejecutará allí un descargador especial empaquetado con NSIS. Al comienzo de su trabajo, el programa verifica el entorno de Windows para detectar la presencia de depuradores o su ejecución en el contexto de una máquina virtual. También verifica la localización de Windows y si el usuario ha visitado las URL que se enumeran a continuación en la tabla del navegador. Para esto se utilizan API Encontrar primero/SiguienteEntradaUrlCache y la clave de registro SoftwareMicrosoftInternet ExplorerTypedURLs.
El gestor de arranque comprueba la presencia de las siguientes aplicaciones en el sistema.
La lista de procesos es realmente impresionante y, como puedes ver, no solo incluye aplicaciones bancarias. Por ejemplo, un archivo ejecutable llamado "scardsvr.exe" hace referencia a un software para trabajar con tarjetas inteligentes (lector Microsoft SmartCard). El propio troyano bancario incluye la capacidad de trabajar con tarjetas inteligentes.
Arroz. 4. Diagrama general del proceso de instalación de malware.
Si todas las comprobaciones se completan con éxito, el cargador descarga un archivo especial (archivo) del servidor remoto, que contiene todos los módulos ejecutables maliciosos utilizados por los atacantes. Es interesante observar que dependiendo de la ejecución de las comprobaciones anteriores, los archivos descargados desde el servidor C&C remoto pueden diferir. El archivo puede ser malicioso o no. Si no es malicioso, instala la barra de herramientas de Windows Live para el usuario. Lo más probable es que los atacantes hayan recurrido a trucos similares para engañar a los sistemas de análisis automático de archivos y a las máquinas virtuales en las que se ejecutan archivos sospechosos.
El archivo descargado por el programa de descarga NSIS es un archivo 7z que contiene varios módulos de malware. La siguiente imagen muestra todo el proceso de instalación de este malware y sus distintos módulos.
Arroz. 5. Esquema general de funcionamiento del malware.
Aunque los módulos cargados sirven para diferentes propósitos para los atacantes, están empaquetados de manera idéntica y muchos de ellos están firmados con certificados digitales válidos. Encontramos cuatro certificados de este tipo que los atacantes utilizaron desde el comienzo de la campaña. Tras nuestra denuncia, estos certificados fueron revocados. Es interesante señalar que todos los certificados fueron emitidos a empresas registradas en Moscú.
Arroz. 6. Certificado digital que se utilizó para firmar el malware.
La siguiente tabla identifica los certificados digitales que los atacantes utilizaron en esta campaña maliciosa.
Casi todos los módulos maliciosos utilizados por los atacantes tienen un procedimiento de instalación idéntico. Son archivos 7zip autoextraíbles que están protegidos con contraseña.
Arroz. 7. Fragmento del archivo por lotes install.cmd.
El archivo por lotes .cmd es responsable de instalar malware en el sistema y ejecutar varias herramientas de ataque. Si la ejecución requiere que falten derechos administrativos, el código malicioso utiliza varios métodos para obtenerlos (evitando UAC). Para implementar el primer método, se utilizan dos archivos ejecutables llamados l1.exe y cc1.exe, que se especializan en omitir UAC usando el Código fuente de Carberp. Otro método se basa en explotar la vulnerabilidad CVE-2013-3660. Cada módulo de malware que requiere escalada de privilegios contiene una versión del exploit de 32 y 64 bits.
Mientras rastreamos esta campaña, analizamos varios archivos cargados por el programa de descarga. El contenido de los archivos variaba, lo que significaba que los atacantes podían adaptar módulos maliciosos para diferentes propósitos.
Compromiso del usuario
Como mencionamos anteriormente, los atacantes utilizan herramientas especiales para comprometer las computadoras de los usuarios. Estas herramientas incluyen programas con nombres de archivos ejecutables mimi.exe y xtm.exe. Ayudan a los atacantes a tomar el control de la computadora de la víctima y se especializan en realizar las siguientes tareas: obtener/recuperar contraseñas para cuentas de Windows, habilitar el servicio RDP y crear una nueva cuenta en el sistema operativo.
El ejecutable mimi.exe incluye una versión modificada de una conocida herramienta de código abierto. . Esta herramienta le permite obtener contraseñas de cuentas de usuario de Windows. Los atacantes eliminaron de Mimikatz la parte responsable de la interacción del usuario. El código ejecutable también se ha modificado para que, cuando se inicie, Mimikatz se ejecute con los comandos privilegio::debug y sekurlsa:logonPasswords.
Otro archivo ejecutable, xtm.exe, inicia scripts especiales que habilitan el servicio RDP en el sistema, intentan crear una nueva cuenta en el sistema operativo y también cambian la configuración del sistema para permitir que varios usuarios se conecten simultáneamente a la computadora comprometida a través de RDP. Obviamente, estos pasos son necesarios para obtener el control total del sistema comprometido.
Arroz. 8. Comandos ejecutados por xtm.exe en el sistema.
Los atacantes utilizan otro archivo ejecutable llamado impack.exe, que se utiliza para instalar software especial en el sistema. Este software se llama LiteManager y los atacantes lo utilizan como puerta trasera.
Arroz. 9. Interfaz LiteManager.
Una vez instalado en el sistema de un usuario, LiteManager permite a los atacantes conectarse directamente a ese sistema y controlarlo de forma remota. Este software tiene parámetros de línea de comando especiales para su instalación oculta, creación de reglas de firewall especiales y lanzamiento de su módulo. Todos los parámetros son utilizados por los atacantes.
El último módulo del paquete de malware utilizado por los atacantes es un programa de malware bancario (banker) con el nombre de archivo ejecutable pn_pack.exe. Se especializa en espiar al usuario y es responsable de interactuar con el servidor C&C. El banquero se inicia utilizando el software legítimo Yandex Punto. Los atacantes utilizan Punto para iniciar bibliotecas DLL maliciosas (método de carga lateral de DLL). El propio malware puede realizar las siguientes funciones:
- rastrear las pulsaciones de teclas del teclado y el contenido del portapapeles para su posterior transmisión a un servidor remoto;
- enumerar todas las tarjetas inteligentes que están presentes en el sistema;
- interactuar con un servidor C&C remoto.
El módulo de malware, que se encarga de realizar todas estas tareas, es una biblioteca DLL cifrada. Se descifra y se carga en la memoria durante la ejecución de Punto. Para realizar las tareas anteriores, el código ejecutable DLL inicia tres subprocesos.
El hecho de que los atacantes eligieran el software Punto para sus propósitos no es una sorpresa: algunos foros rusos brindan abiertamente información detallada sobre temas como el uso de fallas en software legítimo para comprometer a los usuarios.
La biblioteca maliciosa utiliza el algoritmo RC4 para cifrar sus cadenas, así como durante las interacciones de red con el servidor C&C. Se pone en contacto con el servidor cada dos minutos y transmite allí todos los datos recopilados en el sistema comprometido durante este período de tiempo.
Arroz. 10. Fragmento de interacción de red entre el bot y el servidor.
A continuación se muestran algunas de las instrucciones del servidor C&C que la biblioteca puede recibir.
En respuesta a recibir instrucciones del servidor C&C, el malware responde con un código de estado. Es interesante notar que todos los módulos bancarios que analizamos (el más reciente con fecha de compilación del 18 de enero) contienen la cadena "TEST_BOTNET", que se envía en cada mensaje al servidor C&C.
Conclusión
Para comprometer a los usuarios corporativos, los atacantes en la primera etapa comprometen a un empleado de la empresa enviando un mensaje de phishing con un exploit. A continuación, una vez instalado el malware en el sistema, utilizarán herramientas de software que les ayudarán a ampliar significativamente su autoridad sobre el sistema y realizar tareas adicionales en él: comprometer otras computadoras de la red corporativa y espiar al usuario, así como las operaciones bancarias que realice.
Fuente: habr.com