Hace unos días un supuesto hacker (camushackers), habría robado y tomado vía webcam, fotos comprometedoras de distintas personalidades del espectáculo local, para luego ser posteadas en su cuenta de Twitter. Muchos preguntaban como lo hizo, bueno esta es una de las formas.
En esta oportunidad se envía un correo falso simulando provenir de una conocida aerolínea internacional ofreciendo un obsequio espectacular, en el enlace se apunta a un troyano Cybergate RAT (remote administration tool).
Mi Amigo Raul me envió esta muestra por lo que le estoy muy agradecido.
Correo Falso.
Indice de detecciones moderado en VirusTotal
Contiene una capa de Crypter en Visual Basic y luego el ejecutable esta compactado con UPX
Para obtener el Dump BP en IsDebuggerPresent / ZwWriteVirtualMemory /ZwResumeThread
Sin la capa del Crypter el número de detecciones obviamente cambia.
Persistencia en el sistema del malware.
Strings Interesantes.......
008B5021 MOV EDX,dump3.008BF71C ASCII "finalizarconexao"
008B514C PUSH dump3.008BF738 ASCII "listarportas|finalizarconexao|"
008B5161 PUSH dump3.008BF760 ASCII "TRUE"
008B5191 PUSH dump3.008BF738 ASCII "listarportas|finalizarconexao|"
008B51A6 PUSH dump3.008BF770 ASCII "FALSE"
008B520C MOV EDX,dump3.008BF780 ASCII "finalizarprocessoportas"
008B529B PUSH dump3.008BF7A0 ASCII "listarportas|finalizarprocessoportas|Y|"
008B52E2 PUSH dump3.008BF7D0 ASCII "listarportas|finalizarprocessoportas|N|"
008B535F MOV EDX,dump3.008BF800 ASCII "listdevices"
008B5379 PUSH dump3.008BF814 ASCII "listdevices|listadedispositivospronta|"
008B540C MOV EDX,dump3.008BF844 ASCII "listextradevices"
008B5474 MOV EDX,dump3.008BF860 ASCII "listextradevices|listadedispositivosextraspronta|"
008B54C1 MOV EDX,dump3.008BF89C ASCII "configuracoesdoserver"
008B54DE MOV EDX,dump3.008BF8BC ASCII "configuracoesdoserver|configuracoesdoserver|"
008B552B MOV EDX,dump3.008BF8F4 ASCII "executarcomandos"
008B5620 MOV EDX,dump3.008BF91C ASCII "openwebpage"
008B56A3 MOV EDX,dump3.008BF0BC ASCII "open"
008B56FA MOV EDX,dump3.008BF930 ASCII "openweb"
008B57CB MOV EDX,dump3.008BF0BC ASCII "open"
008B582B MOV EDX,dump3.008BF940 ASCII "openwebhidden"
008B58E2 PUSH dump3.008BF950 ASCII "URL_VISITOR"
008B5989 MOV EDX,dump3.008BF964 ASCII "downexec"
008B5AA3 MOV EDX,dump3.008BF0BC ASCII "open"
008B5AD6 MOV EDX,dump3.008BF0BC ASCII "open"
008B5B2D MOV EDX,dump3.008BF984 ASCII "obterclipboard"
008B5B54 MOV EDX,dump3.008BF99C ASCII "obterclipboard|obterclipboard|"
Uso de Webcam de la victima:
008B797C MOV EDX,dump3.008BFFBC ASCII "webcaminactive|"
008B7994 MOV EDX,dump3.008BFFD4 ASCII "webcamdllloaded|"
008B79AC MOV EDX,dump3.008BFFBC ASCII "webcaminactive|"
008B79C4 MOV EDX,dump3.008BFFBC ASCII "webcaminactive|"
008B79FD MOV EDX,dump3.008BFFF0 ASCII "webcamsettings"
008B7B01 MOV EDX,dump3.008C0008 ASCII "checkwebcamfile"
Grabación de Audio:
008B8300 MOV EDX,dump3.008C010C ASCII "audiogetbuffer"
008B84A5 MOV EDX,dump3.008C0124 ASCII "audiostop"
File Manager:
008B8529 MOV EDX,dump3.008C0138 ASCII "listardrives"
008B8551 MOV EDX,dump3.008C0150 ASCII "filemanager|listardrives|"
008B85A3 MOV EDX,dump3.008C0174 ASCII "listararquivos"
008B860F PUSH dump3.008C018C ASCII "filemanager|dirmanagererror|"
008B8631 MOV EDX,dump3.008C01B4 ASCII "filemanager|listararquivos|"
008B8683 MOV EDX,dump3.008C01D8 ASCII "execnormal"
008B8749 MOV EDX,dump3.008BF0BC ASCII "open"
008B875A PUSH dump3.008C01EC ASCII "filemanager|mensagens|"
Keylogger:
008C3315 PUSH dump3.008C3490 ASCII "[START CLIPBOARD] "
008C331D PUSH dump3.008C34AC ASCII " [END CLIPBOARD]"
008C3322 PUSH dump3.008C3484 ASCII "
"
008C3347 MOV EDX,dump3.008C34C8 ASCII "njgnjvejvorenwtrnionrionvironvrnvcg117"
008C334C MOV EAX,dump3.008C34F8 ASCII "[LogFile]
"
008C3359 MOV EDX,dump3.008C350C ASCII "####"
008C337A PUSH dump3.008C351C ASCII "[ "
008C3385 PUSH dump3.008C3528 ASCII " ] ---> [ DATE/TIME: "
008C33B5 PUSH dump3.008C3554 ASCII " -- "
008C33D5 PUSH dump3.008C3570 ASCII " ]"
008C33DA PUSH dump3.008C3484 ASCII "
"
008C33DF PUSH dump3.008C3484 ASCII "
"
008C33EA PUSH dump3.008C357C ASCII " "
008C33EF PUSH dump3.008C3484 ASCII "
"
008C33F4 PUSH dump3.008C3484 ASCII "
"
008C3413 MOV EDX,dump3.008C34C8 ASCII "njgnjvejvorenwtrnionrionvironvrnvcg117"
008C3429 MOV ECX,dump3.008C350C ASCII "####"
Aquí es donde se graban los tecleos (ofuscados)
08C4ADB PUSH dump3.008C4D98 ASCII "v1.18.0 - Trial version"
008C4AE0 PUSH dump3.008C4DB8 ASCII "log.dat"
En el análisis dinámico podemos hacer una adquisición de la memoria RAM del sistema con Dumpit! para luego buscar strings que nos pueden revelar algo mas.
Por ejemplo aquí podemos ver los datos capturados por el Keylogger antes de ser ofuscados y guardados en el archivo de logging del troyano. (También se observa el NO-IP utilizado como Comando y Control)
14:01:45
h&?
proyectofinal.no-ip.biz:3461
ENERO 3
TRUE
c:\
install
winlogionfire.exe
{2D31547I-7FY4-71H4-1N57-IG605J8MI5SL}
Muestra + Dumps: https://www.dropbox.com/s/mbilwo8oueyqaaz/CyberGate28-01-14.rar
Es todo por el momento.
@Dkavalanche 2014