En los últimos años, los troyanos móviles han estado reemplazando activamente a los troyanos para computadoras personales, por lo que la aparición de nuevo malware para los viejos "automóviles" y su uso activo por parte de los ciberdelincuentes, aunque sea un evento desagradable, sigue siendo un evento. Recientemente, el Centro de respuesta a incidentes de seguridad de la información XNUMX/XNUMX de CERT Group-IB detectó un correo electrónico de phishing inusual que ocultaba un nuevo malware para PC que combina las funciones de Keylogger y PasswordStealer. La atención de los analistas se centró en cómo llegó el software espía al ordenador del usuario, mediante un popular mensajero de voz. Iliá Pomerantsev, experto en análisis de códigos maliciosos CERT Group-IB, explicó cómo funciona el malware, por qué es peligroso e incluso encontró a su creador en el lejano Irak.
Entonces, vayamos en orden. Bajo la apariencia de un archivo adjunto, dicha carta contenía una imagen, al hacer clic en ella el usuario accedía al sitio. cdn.discordapp.com, y desde allí se descargó un archivo malicioso.
Usar Discord, un mensajero de voz y texto gratuito, es bastante fuera de lo común. Normalmente se utilizan otros mensajeros o redes sociales para estos fines.
Durante un análisis más detallado, se identificó una familia de malware. Resultó ser un recién llegado al mercado del malware. Registrador de teclas 404.
El primer anuncio sobre la venta de un keylogger se publicó en hackforos por usuario bajo el sobrenombre de “404 Coder” el 8 de agosto.
El dominio de la tienda se registró recientemente: el 7 de septiembre de 2019.
Según los desarrolladores del sitio. 404proyectos[.]xyz, 404 es una herramienta diseñada para ayudar a las empresas a conocer las actividades de sus clientes (con su permiso) o para aquellos que quieran proteger su binario de la ingeniería inversa. De cara al futuro, digamos que con la última tarea. 404 definitivamente no da abasto.
Decidimos revertir uno de los archivos y comprobar qué es el “MEJOR KEYLOGGER INTELIGENTE”.
Ecosistema HPE
Cargador 1 (AtillaCrypter)
El archivo fuente está protegido usando EaxObfuscator y realiza carga en dos etapas EnProtect desde la sección de recursos. Durante el análisis de otras muestras encontradas en VirusTotal, quedó claro que esta etapa no fue prevista por el propio desarrollador, sino que fue añadida por su cliente. Más tarde se determinó que este gestor de arranque era AtillaCrypter.
Cargador 2 (AtProtect)
De hecho, este cargador es una parte integral del malware y, según el desarrollador, debería asumir la funcionalidad de contraanálisis.
Sin embargo, en la práctica, los mecanismos de protección son extremadamente primitivos y nuestros sistemas detectan con éxito este malware.
El módulo principal se carga usando Código Shell Franchy varias versiones. Sin embargo, no descartamos que se puedan utilizar otras opciones, por ejemplo, RunPE.
Archivo de configuración
Fijación en el sistema.
La reparación en el sistema la proporciona el gestor de arranque. EnProtectsi se establece la bandera correspondiente.
- El archivo se copia a lo largo de la ruta. %AppData%GFqaakZpzwm.exe.
- Se crea el archivo %AppData%GFqaakWinDriv.url, lanzamiento Zpzwm.exe.
- en sucursal HKCUSoftwareMicrosoftWindowsVersión actualEjecutar Se genera la clave de inicio. WinDrive.url.
Interacción con C&C
Cargador AtProtect
Si la bandera correspondiente está presente, el malware puede iniciar un proceso oculto iexplorer y siga el enlace especificado para notificar al servidor sobre la infección exitosa.
Ladrón de datos
Independientemente del método utilizado, la comunicación en la red comienza con la obtención de la IP externa de la víctima utilizando el recurso. [http]://checkip[.]dyndns[.]org/.
Agente de usuario: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
La estructura general del mensaje es la misma. Título presente
|——- Registrador de teclas 404 — {Tipo} ——-|Donde {escribe} Corresponde al tipo de información que se transmite.
La siguiente es información sobre el sistema:
_______ + INFORMACIÓN DE LA VÍCTIMA + _______
IP: {IP externa}
Nombre del propietario: {Nombre de la computadora}
Nombre del sistema operativo: {nombre del sistema operativo}
Versión del sistema operativo: {Versión del sistema operativo}
Plataforma del sistema operativo: {Plataforma}
Tamaño de RAM: {tamaño de RAM}
______________________________
Y finalmente, los datos transmitidos.
SMTP
El tema de la carta es el siguiente: 404K | {tipo de mensaje} | Nombre del cliente: {nombre de usuario}.
Curiosamente, para entregar cartas al cliente. Registrador de teclas 404 Se utiliza el servidor SMTP del desarrollador.
Esto permitió identificar algunos clientes, así como el correo de uno de los desarrolladores.
FTP
Cuando se utiliza este método, la información recopilada se guarda en un archivo y se lee inmediatamente desde allí.
La lógica de esta acción no está del todo clara, pero crea un artefacto adicional para escribir reglas de comportamiento.
%HOMEDRIVE%%HOMEPATH%DocumentosA{Número personalizado}.txt
Pastebin
En el momento del análisis, este método se utiliza únicamente para la transferencia de contraseñas robadas. Además, no se utiliza como alternativa a los dos primeros, sino en paralelo. La condición es el valor de la constante igual a "Vavaa". Presumiblemente este es el nombre del cliente.
La interacción se produce a través del protocolo https a través de la API. pastebin... Valor api_paste_privado igual PASTE_UNLISTED, lo que impide que dichas páginas se busquen en pastebin.
Algoritmos de cifrado
Recuperar un archivo de recursos
La carga útil se almacena en los recursos del cargador. EnProtect en forma de mapas de bits. La extracción se realiza en varias etapas:
- Se extrae una matriz de bytes de la imagen. Cada píxel se trata como una secuencia de 3 bytes en orden BGR. Después de la extracción, los primeros 4 bytes de la matriz almacenan la longitud del mensaje y los siguientes, el mensaje en sí.
- La clave está calculada. Para ello, MD5 se calcula a partir del valor "ZpzwmjMJyfTNiRalKVrcSkxCN" especificado como contraseña. El hash resultante se escribe dos veces.
- El descifrado se realiza mediante el algoritmo AES en modo ECB.
Funcionalidad maliciosa
Downloader
Implementado en el gestor de arranque. EnProtect.
- Al contactar [enlace activo-reemplazo] Se solicita el estado del servidor sobre la preparación para entregar el archivo. El servidor debería regresar "EN".
- El enlace [enlace de descarga-reemplazar] se descarga la carga útil.
- Con FrancyShellcode La carga útil se inyecta en el proceso. [inj-reemplazar].
Durante el análisis de dominio 404proyectos[.]xyz Se han identificado casos adicionales en VirusTotal Registrador de teclas 404, así como varios tipos de cargadores.
Convencionalmente, se dividen en dos tipos:
- La carga se realiza desde el recurso. 404proyectos[.]xyz.
Los datos están codificados en Base64 y encriptados AES. - Esta opción consta de varias etapas y lo más probable es que se utilice junto con el gestor de arranque. EnProtect.
- En la primera etapa, los datos se cargan desde pastebin y decodificado usando la función hexadecimal a byte.
- En la segunda etapa, la fuente de descarga es ella misma. 404proyectos[.]xyz. Al mismo tiempo, las funciones de descompresión y decodificación son similares a las que se encuentran en DataStealer. Probablemente, originalmente se planeó implementar la funcionalidad del cargador en el módulo principal.
- En este punto, la carga útil ya está en el manifiesto de recursos en forma comprimida. También se encontraron funciones de extracción similares en el módulo principal.
Se encontraron descargadores entre los archivos analizados. njrata, puerta espía y otras RAT.
Keylogger
Periodo de envío de registros: 30 minutos.
Todos los personajes son compatibles. Se escapan los caracteres especiales. Hay un procesamiento de las teclas Retroceso y Eliminar. Se tiene en cuenta el registro.
registrador del portapapeles
Periodo de envío de registros: 30 minutos.
Período de sondeo del búfer: 0,1 segundos.
Enlace de escape implementado.
Registrador de pantalla
Periodo de envío de registros: 60 minutos.
Las capturas de pantalla se guardan en %HOMEDRIVE%%HOMEPATH%Documentos404k404pic.png.
Después de enviar la carpeta 404k es removido.
Ladrón de contraseñas
| Navegadores | Clientes de correo | Clientes FTP |
|---|---|---|
| Chrome | Outlook | FileZilla |
| Firefox | Thunderbird | |
| SeaMonkey | Foxmail | |
| Icedragon | ||
| Luna pálida | ||
| CYBERFOX | ||
| Chrome | ||
| Navegador valiente | ||
| Navegador QQ | ||
| Navegador Iridium | ||
| XvastNavegador | ||
| Chedot | ||
| 360 Navegador | ||
| ComodoDragon | ||
| 360cromo | ||
| SuperAves | ||
| CentBrowser | ||
| navegador fantasma | ||
| Navegador de hierro | ||
| Cromo | ||
| Vivaldi | ||
| Navegador Slimjet | ||
| Orbitum | ||
| CocCoc | ||
| Torch | ||
| Navegador de la UC | ||
| Navegador épico | ||
| BliskNavegador | ||
| Opera |
Oposición al análisis dinámico
- Comprobar si un proceso está bajo análisis
Realizado mediante la búsqueda de procesos. taskmgr, hacker de procesos, procesox64, procedimiento, procmón. Si se encuentra al menos uno, el malware sale.
- Comprobar si estás en un entorno virtual
Realizado mediante la búsqueda de procesos. vmtoolsd, Servicio VGAuth, vmacthlp, Servicio VBox, Bandeja VBox. Si se encuentra al menos uno, el malware sale.
- Dormirse durante 5 segundos.
- Demostración de diferentes tipos de cuadros de diálogo.
Se puede utilizar para evitar algunas zonas de pruebas.
- Omitir UAC
Realizado editando una clave de registro EnableLUA en la configuración de la política de grupo.
- Aplique el atributo Oculto al archivo actual.
- Posibilidad de eliminar el archivo actual.
Funciones inactivas
Al analizar el gestor de arranque y el módulo principal, se encontraron funciones que eran responsables de funciones adicionales, pero no se utilizan en ninguna parte. Probablemente esto se deba al hecho de que el malware todavía está en desarrollo y su funcionalidad se ampliará pronto.
Cargador AtProtect
Se encontró una función que se encarga de cargar e inyectar al proceso. msiexec.exe módulo arbitrario.
Ladrón de datos
- Fijación en el sistema.
- Funciones de descompresión y descifrado.
Es probable que pronto se implemente el cifrado de datos durante la comunicación de red. - Finalizar los procesos antivirus
| zlclient | dvp95_0 | pavsched | AVGSERV9 |
| alegue | Ecmotor | pavw | avgserv9schedapp |
| bdagente | Esafe | PCCIOMON | avgemc |
| npfmsg | Espwatch | PCCMAIN | ashwebsv |
| olydbg | F-Agnt95 | pccwin98 | cenizadisp |
| Anubis | encontrarvirus | pcfwallicon | ashmaisv |
| Wireshark | fprot | persfw | servidor de cenizas |
| avastui | F-Prot | POP3TRAP | aswUpdSv |
| _Avp32 | F-Prot95 | PVIEW95 | simwsc |
| vs mon | ganar | Rav7 | norton |
| mbam | frw | rav7win | Protección automática de Norton |
| codificador de llaves | F-Parada | Rescate | norton_av |
| _Avpcc | imapp | Web segura | nortonav |
| _Avpm | Iamserv | Scan32 | ccsetmgr |
| ackwin32 | Ibmasn | Scan95 | ccevtmgr |
| Avanzada | Ibmavsp | escanearpm | administrador |
| Anti-troyano | icload95 | escaneo | avcentro |
| ANTIVIR | Iloadnt | servicio95 | promedio |
| apvxdwin | icmon | smc | avguard |
| UNA PISTA | ICSUPP95 | SERVICIO SMC | avnotify |
| Abajo automático | icsuppnt | Bufido | avscan |
| Avconsol | Yo afronto | Esfinge | guardiagui |
| Ave32 | Iomon98 | Barrido95 | nod32krn |
| Avgctrl | Jedi | SIMPROXYSVC | nod32kui |
| avkserv | Bloqueo2000 | Tbscan | almeja |
| avance | Lookout | Tca | almejabandeja |
| AVP | Luall | Tds2-98 | almejaGanar |
| Avp32 | MCAFEE | Tds2-NT | freshclam |
| avpcc | Moolive | TermiNET | oladdin |
| Avpdos32 | MPftray | veterinario95 | herramienta de firma |
| Avpm | N32scanw | Vettaray | w9xpopen |
| Avptc32 | NAVAPSVC | vscan40 | Cerrar |
| avpudd | NAVAPW32 | Vsecomr | cmgrdiano |
| AVSCHED32 | NAVLU32 | Vshwin32 | alogserv |
| AVSYNMGR | Navnt | vsstat | McShield |
| Avwin95 | NAVRUNR | webscanx | vshwin32 |
| avwupd32 | navw32 | TRAMPA WEB | Avconsol |
| negro | Navegar | Wfindv32 | vsstat |
| hielo negro | neoreloj | ZoneAlarm | avsynmgr |
| administrador | NISSERV | BLOQUEO2000 | avcmd |
| Auditoría financiera | Nisum | RESCATE32 | avconfig |
| Cfinet | norte principal | LUCOMSERVIDOR | licmgr |
| cfinet32 | normista | promedio | programar |
| Garra95 | NORTON | promedio | preupd |
| Garra95cf | Actualizar | avgamsvr | MsMpEsp |
| limpiador | nvc95 | avgupsvc | MSAS Cui |
| Limpiador3 | Avanzada | promedio | Avira.bandeja del sistema |
| Defwatch | administración | avgcc32 | |
| dvp95 | pavcl | avgserv |
- Autodestrucción
- Cargando datos del recurso de manifiesto especificado
- Copiar un archivo a lo largo de la ruta %Temp%tmpG[Fecha y hora actual en milisegundos].tmp
Curiosamente, una función idéntica está presente en el malware AgentTesla. - Funcionalidad del gusano
El malware recibe una lista de medios extraíbles. Se crea una copia del malware en la raíz del sistema de archivos multimedia con el nombre sys.exe. El inicio automático se implementa utilizando el archivo autorun.inf.
Perfil del atacante
Durante el análisis del centro de comando, fue posible establecer el correo y el apodo del desarrollador: Razer, también conocido como Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Además, en YouTube se encontró un vídeo interesante que demuestra el trabajo con el constructor.
Esto hizo posible encontrar el canal de desarrollador original.
Quedó claro que tenía experiencia escribiendo criptógrafos. También hay enlaces a páginas en redes sociales, así como el nombre real del autor. Resultó ser residente de Irak.
Así es como supuestamente se ve un desarrollador de 404 Keylogger. Foto de su perfil personal de Facebook.
CERT Group-IB ha anunciado una nueva amenaza: 404 Keylogger, un centro de respuesta y monitoreo de amenazas cibernéticas (SOC) XNUMX horas al día, XNUMX días a la semana en Bahrein.
Fuente: habr.com