viernes, 5 de abril de 2013

Falso Mensaje de Skype -  BitCoin Mining.


Luego de la desaparición de msn y su fusion con Skype los Cyber-Criminales le apuntan con sus cañones para engañar a los usuarios e infectarlos con distintas cargas malignas. En el caso de hoy convierte la Pc infectada en un Bitcoin Miner, rindiendo frutos hacia los criminales.

Falso mensaje recibido en Skype.






La imagen original del falso mensaje y nota relacionada la pueden ver en el sitio de Segu-info
que amablemente me acercaron las muestras para analizarlas.


Icono del malware


Analisis en V.T. con un indice bajo de detecciones.


SHA256:411e93206a7750c8df25730349bf9756ddba52c1bc780eaac4bba2b3872bc037
File name:xxxxxxo.exe
Detection ratio:6 / 46




El troyano se encuentra ofuscado con un Crypter en C++.

Aquí una parte del Dump.







Analisis en VT del Dump: (DUMP.skype-img-04.exe)

https://www.virustotal.com/en/file/d476e920a736b0c88b9f1d394b2e6e083128f27f952d73f63fb5614cc3cb9927/analysis/1365122425/



Se trata de un IRCBOT.


Infección de Unidades:


004107F4   PUSH DUMP_sky.00413F10                    ASCII "Infected Drive: %s"
004107F9   PUSH DUMP_sky.00413F24                    ASCII "USB"
004109B7   PUSH DUMP_sky.00413F28                    ASCII "%c: "


persistencia en el sistema :

0040E97E   PUSH DUMP_sky.00413C40                    UNICODE "Software\Microsoft\Windows\CurrentVersion\Run"



El BitCoin Mining en acción....






Infeccion de unidad compartida.








Aquí se puede observar el trafico de red y la conexión remota hacia el CnC.








IP: 212.227.83.111:9000




Aquí se indica descargar una amenaza desde Hotfile.com










Icono de la nueva amenaza descargada por el IRCBOT.







También se encuentra ofuscado con Crypter C++ Runpe.


Analsis en VT de los distintos Dumps que obtuve.


File: Dump.dll

https://www.virustotal.com/en/file/5bfded4d65a9e8904f9c804a6a311b768ec301c583ff1efe973da389b01ed741/analysis/1365128967/

Part of Kelihos.F

File: Dump.exe

https://www.virustotal.com/en/file/8a7e716bd48b6cf41ab49702959f0b3d86880d0a3ab2063700d9acde44985bda/analysis/1365130457/


Type: Kelihos.F


Password Stealer/Spamer


005C4810: '\SmartFTP\Client 2.0\Favorites\',0000h
005C4850: '\SmartFTP\Favorites.dat',0000h
005C4880: '\SmartFTP\History.dat',0000h
005C48B0: '\SmartFTP\Client 2.0\Favorites\Favorites.dat',0000h
005C490C: 'CHistoryItem',0

005C53F8: 'FTPServers.Servers1_FTPServers',0
005C5418: 'Count',0
005C5420: '_PassWord',0
005C542C: '_HostName',0
005C5438: '_UserName',0
005C5444: '_HostDirName',0
005C5454: '_Port',0
005C545C: 'wiseftpsrvs.bin',0
005C546C: 'wiseftpsrvs.ini',0
005C547C: 'wiseftp.ini',0
005C5488: '\AceBIT\',0
005C5498: 'Software\AceBIT',0
005C54A8: 'SOFTWARE\Classes\TypeLib\{CB1F2C0F-8094-4AAC-BCF5-41A64E27F777}',0
005C54E8: 'SOFTWARE\Classes\TypeLib\{9EA55529-E122-4757-BC79-E4825F80732C}',0
005C5528: '\Ipswitch\WS_FTP\Sites',0000h
005C5558: '\Ipswitch\WS_FTP Home\Sites',0000h
005C5590: '\win.ini',0000h
005C55A4: '\Ipswitch\WS_FTP',0000h
005C55D0: 'DEFDIR',0000h
005C5680: 'Software\Ghisler\Total Commander',0
005C56A4: 'Software\Ghisler\Windows Commander',0
005C5AC8: 'directory',0
005C5AD4: 'firewall',0
005C5AE0: 'method',0
005C5AE8: '\Windows Commander',0
005C5AFC: '\Total Commander',0
005C5B10: '\wcx_ftp.ini',0
005C5B20: '\GHISLER',0
005C5B2C: 'InstallDir',0
005C5B38: 'FtpIniName',0
005C5B44: 'it was too big file, size = ',0
005C5B64: 'C:\Documents and Settings',0
005C5B80: '\Application Data\Bitcoin\wallet.dat',0
005C5BA8: 'C:\Users',0
005C5BB4: '\AppData\Roaming\Bitcoin\wallet.dat',0
005EE128: 'Hora est. de Sudamerica E.',0
005EE168: 'Hora est. de Sudamerica E.',0


Esta variante utiliza WinPcap para monitorear el trafico de red y robar credenciales de login de  FTP, POP3, SMTP.

Kelihos chequea la presencia de varios programas para el robo de datos sensibles.

* BitCoin wallet.dat 

* 32-bit FTP 
 * BitKinex 
 * Bullet Proof FTP 
 * BulletProof FTP Client 
 * Classic FTP 
 * Core FTP 
 * CoreFTP 
 * CuteFTP 
 * Directory Opus 
 * FAR Manager 
 * FFFTP 
 * FTP Commander 
 * FTP Commander Deluxe 
 * FTP Commander Pro 
 * FTP Control 
 * FTP Explorer 
 * FTP Navigator 
 * FTPRush 
 * FileZilla 
 * FlashFXP 
 * Fling 
 * Fling FTP 
 * Frigate3 
 * Frigate3 FTP 
 * LeapFTP 
 * NetDrive 
 * SecureFX 
 * SmartFTP 
 * SoftX FTP Client 
 * Sota FFFTP 
 * Total Commander 
 * TurboFTP 
 * UltraFXP 
 * WS_FTP 
 * WebDrive 
 * WebSitePublisher 
 * WinSCP



Analisis dinámico, en el cual podemos observar el spam hacia varias cuentas de correo, enviando un link a un sitio con un Javascript malicioso.






Link enviado: 

hxxp://autopart.com.vn/selection.html


Analisis con Malzilla, se puede observar el Javascript.



Revisamos el código y lo arreglamos para que nos entregue el URL a cargar en el iframe.





hxxp://ytliywax.ru/count14.php


http://urlquery.net/report.php?id=1830634

Accediendo a este URL nos redirige a otro sitio.



Aquí podemos ver el Exploit, que intentara explotar alguna vulnerabilidad en nuestro sistema para descargarnos una amenaza.




El código fuente del exploit corresponde a Neutrino Exploit Kit.

Info sobre Neutrino.

http://malware.dontneedcoffee.com/2013/03/hello-neutrino-just-one-more-exploit-kit.html
http://blog.trendmicro.es/neutrino/


----------------------------------------------------------------------------------------------------------------------

Por lo que pude observar en una maquina previamente infectada, es la instalación de un Downloader que descarga el Kelihos, supongo, que es otro método de propagación utilizado (en vez del IRCBOT).



DOWNLOADER






Strings encontrados en el Downloader, previamente realizando un dump en Ollydbg













00401643 PUSH DUMP-Dow.0040211C ASCII "\Temp\temp"

00401685 MOV DWORD PTR SS:,DUMP-Dow.00402128 ASCII ".exe"
004017A0 PUSH EBP (Initial CPU selection)
00401813 MOV ESI,DUMP-Dow.00402130 ASCII "/boris01.exe"



Se descarga el archivo boris01.exe que se encuentra en cualquiera de estos dos sitios


0040182A PUSH DUMP-Dow.00402140 ASCII "butlesuh.ru"
00401840 PUSH DUMP-Dow.0040214C ASCII "wylovpuc.ru"










Persistencia en el sistema :







Análisis en V.T. de la amenaza descargada.






Realizando un Dump pude observar que se trata del mismo troyano Kelihos.


https://www.virustotal.com/en/file/567d20cf7f56b7ac3e994640c43fb60d817d7c0eb8eb98adbaca064836ee34ce/analysis/1365208469/







Muestras + dumps + scripts  descarga desde aqui.



Password = infected




Mas data sobre este tema,  pueden ver la excelente nota de Dmitry Bestuzhev el sitio de Kaspersky Labs 

Mas menciones sobre este tema:

http://blog.segu-info.com.ar/2013/04/mensajes-de-contactos-de-skype.html
http://www.theregister.co.uk/2013/04/05/bitcoin_mining_malware_appears/
http://www.securelist.com/en/blog/208194206/An_avalanche_in_Skype

Muchas gracias a Raul de Segu-Info por enviarme los valiosos binarios.


Es todo por el momento


@Dkavalanche   2013


4 comentarios:

bcdc1994 dijo...

excelente bro pero una pregunta parce eres Peruano?

@Dkavalanche dijo...

Hola, gracias!
Soy Argentino, Saludos!

Blogger dijo...

Are you monetizing your premium shared links?
Did you know AdWorkMedia will pay you an average of $500 per 1,000 file downloads?

Blogger dijo...

If you're searching for the most recommended Bitcoin exchange service, then you should use Coinbase.

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...