Falsa Postal Gusanito.com: Crimeware Citadel
Hace un tiempo que no veía este tipo de falsas postales de el Gusanito.com, estas casi siempre descargaban malware muy extendidos en Latam, como ser Dorkbot, S.A.P.Z, PiceBot, vOlks u otro simple QHost.
Esta vez, para sorpresa, nos encontramos que descarga Citadel, un troyano muy sofisticado de la familia Zeus. Citadel hizo su aparición en el mundo del cibrecrimen luego de que se filtro su código fuente.
Aquí vemos la falsa postal con un link que descarga un ejecutable.
Contador de descargas ubicado en la web donde esta alojado el malware.
El análisis en V.T. demuestra que es casi indetectable ante las firmas de los AntiVirus
El ejecutable contiene un RAR, por lo que seguramente se trate de un extractor que luego de extrar el RAR intentara por ultimo ejecutar el Payload.
Lo cargamos en el Olly, y ponemos un BP a ShellExecuteExW para que se detenga antes de ejecutar la carga maliciosa.
Y tenemos éxito!
Podemos observar que se genero en la carpeta temp de Windows la extracción de los archivos con dos .bat
El primero .bat unirá con el comando copy /b todos los archivos en un solo ejecutable y por ultimo el otro .bat lo renombra y ejecuta.
También podemos observar lo que hace este extractor en la Sandbox de Comodo.
http://camas.comodo.com/cgi-bin/submit?file=5642f5231e5fad89edabf8913f1331ab0ca5105ca0045a242733c8e211ec815c
Icono del malware luego de la extracción.
Bajas detecciones en V.T.
Este nuevo binario tiene una capa de ofuscación con un clásico crypter.
BP en IsDebuggerPresent + WriteProcessMemory luego Dumpear y listo..
Aquí la cosa cambia y es detectado por casi todos los Anti Virus.
Podemos observar un mensaje o dedicatoria a un reconocido investigador del Cybercrimen Brian Krebs @briankrebs
Strings Interesantes:
Anti virus que intenta desactivar (gracias @dimitribest):
00403D80 DD dumped.00409F98 UNICODE "Microsoft"
00403D84 DD dumped.00409F70 UNICODE "Microsoft"
00403D88 DD dumped.00409F44 UNICODE "Microsoft"
00403D8C DD dumped.00409F24 UNICODE "ESET"
00403D90 DD dumped.00409F04 UNICODE "ESET"
00403D94 DD dumped.00409EE8 UNICODE "AVG"
00403D98 DD dumped.00409ECC UNICODE "AVG"
00403D9C DD dumped.00409EB0 UNICODE "AVG"
00403DA0 DD dumped.00409E8C UNICODE "AntiVir"
00403DA4 DD dumped.00409E68 UNICODE "avast!"
00403DA8 DD dumped.00409E3C UNICODE "Kaspersky"
00403DAC DD dumped.00409E14 UNICODE "Kaspersky"
00403DB0 DD dumped.00409DEC UNICODE "Norton"
00403DB4 DD dumped.00409DC4 UNICODE "Symantec"
00403DB8 DD dumped.00409DA0 UNICODE "Symantec"
00403DBC DD dumped.00409D74 UNICODE "Symantec"
00403DC0 DD dumped.00409D50 UNICODE "Symantec"
00403DC4 DD dumped.00409D20 UNICODE "McAfee"
00403DC8 DD dumped.00409CF0 UNICODE "McAfee"
00403DCC DD dumped.00409CE0 UNICODE "McAfee"
00403DD0 DD dumped.00409CB8 UNICODE "SafenSoft"
00418CB9 PUSH dumped.00402648 UNICODE "nspr4.dll"
00418CE0 PUSH dumped.00402690 UNICODE "chrome.dll"
00418DF7 PUSH dumped.00409FC0 ASCII "GetProcAddress"
00418E01 PUSH dumped.00409FD0 ASCII "LoadLibraryA"
00418ECE PUSH dumped.00409FE0 ASCII "NtCreateThread"
00418ED6 PUSH dumped.00409FF0 ASCII "NtCreateUserProcess"
00418EE8 PUSH dumped.0040A004 ASCII "NtQueryInformationProcess"
00418EFA PUSH dumped.0040A020 ASCII "RtlUserThreadStart"
00418F0C PUSH dumped.0040A034 ASCII "LdrLoadDll"
00418F1E PUSH dumped.0040A040 ASCII "LdrGetDllHandle"
00419642 MOV ECX,dumped.00401C58 ASCII "C1F20D2340B519056A7D89B7DF4B0FFF"
004196FD MOV EDI,dumped.004084A0 UNICODE "SOFTWARE\Microsoft"
00419750 PUSH dumped.0040A060 UNICODE ".dat"
004197C4 PUSH dumped.004084A0 UNICODE "SOFTWARE\Microsoft"
0041A000 PUSH dumped.00402D30 ASCII "Coded by BRIAN KREBS for personal use only. I love my job & wife."
0041A012 CALL dumped.004131F8 (Initial CPU selection)
0041B3A3 PUSH dumped.0040A06C ASCII "RFB 003.003
00420C5D MOV ECX,dumped.0040A1E0 ASCII "GET "
00420C76 MOV ECX,dumped.0040A1E8 ASCII "POST "
00421802 PUSH dumped.0040A1F0 ASCII "FAIL"
00423332 PUSH dumped.0040A1F8 ASCII ".swf"
0042334D PUSH dumped.0040A200 ASCII ".flv"
00423368 PUSH dumped.0040A208 ASCII "facebook.com"
00423505 MOV ECX,dumped.0040A10C ASCII "https://"
00423876 MOV ECX,dumped.0040A21C ASCII "%BOTID%"
004238B3 MOV ECX,dumped.0040A224 ASCII "%BOTNET%"
00423963 MOV ECX,dumped.0040A230 ASCII "%BC-*-*-*-*%"
00423A30 MOV ECX,dumped.0040A240 ASCII "%VIDEO%"
0042413F MOV EDI,dumped.00407CAC ASCII "POST"
00424146 MOV EDI,dumped.00407CB4 ASCII "GET"
00424168 PUSH dumped.00401A24 ASCII "HTTP/1.1"
0042421B PUSH dumped.0040A248 ASCII "Cookie: %s
0042F0C8 PUSH dumped.00407C64 UNICODE "ComSpec"
0042F135 MOV ECX,dumped.00407C74 ASCII "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1)"
0042F273 MOV ECX,dumped.00407CAC ASCII "POST"
0042F27A MOV ECX,dumped.00407CB4 ASCII "GET"
0042F287 PUSH dumped.00401A24 ASCII "HTTP/1.1"
0042F2AF MOV DWORD PTR SS:[EBP+C],dumped.00407CB8 ASCII "Connection: close
Análisis dinámico de RED.
Se puede observar la conexión al C&C para la descarga de la config del zbot.
En el día de hoy ya no funciona....
Gracias a Dimitry Bestuzhev @dimitribest y Santiago Pontiroli @spontiroli por confirmar que se trata de Citadel y por sus buenos comentarios.
Muestas + dumps: https://www.dropbox.com/s/itaqjuq1i1lml0e/CITADEL-postal_gusanito.060314.zip
password = infected
Eso fue todo por el momento.
@Dkavalanche 2014
PD: La semana próxima no se pierdan de SegurInfo 2014 , va a estar muy interesante, sobre todo las charlas de Cesar Cerrudo, Julio Ardita, Gustavo Presman y las del Csirt Banelco entre otros.