jueves, 10 de diciembre de 2015


Campaña de Ransomware: TeslaCrypt

En el día de ayer me llego un correo phishing con un regalo desagradable, un encriptor de datos.

Los correos maliciosos llegan con un adjunto .zip con un javascript codificado en su interior.

Your order #39203250 - Corresponding Invoice #1AF14884


JavaScript Ofuscado.





Al ejecutarlo descarga y ejecuta un .exe 



http://urlquery.net/report.php?id=1449670303414

Análisis de la amenaza en VT 

https://www.virustotal.com/es-ar/file/832b72759899c9b6c4aa41afc8640d37a7be7c60797bcd120a019b867d8fa492/analysis/



Desempacado del malware.




Strings Interesantes


Address    Disassembly                               Text string
0040103B   PUSH dump.004322C8                        UNICODE "Software\%s"
0040108A   PUSH dump.004322E0                        UNICODE "data"
0040111F   PUSH dump.004322EC                        ASCII "Software\%S"
00401142   PUSH dump.004322F8                        ASCII "S-1-5-18\"
004011DB   PUSH dump.00432304                        ASCII "data"
00401280   PUSH dump.0043230C                        UNICODE "\S-1-5-18\Software\zsys\"
004012AC   PUSH dump.00432340                        UNICODE "ID"
004012DC   PUSH dump.00432348                        UNICODE "%X%X%X%X"
00401313   PUSH dump.00432348                        UNICODE "%X%X%X%X"
00401368   PUSH dump.0043235C                        UNICODE "Software\zsys\"
00401386   PUSH dump.00432340                        UNICODE "ID"
004013C6   PUSH dump.00432340                        UNICODE "ID"
004013FC   PUSH dump.00432348                        UNICODE "%X%X%X%X"
00401433   PUSH dump.00432348                        UNICODE "%X%X%X%X"
00412BAE   PUSH dump.00438194                        ASCII "sdflk35jghs"
00412BD1   MOV DWORD PTR SS:[EBP-6C],dump.00438194   ASCII "sdflk35jghs"
00412F99   MOV ESI,dump.00432EF0                     ASCII ".dll"
0041373F   PUSH dump.00433010                        UNICODE "how_recover"
0041374B   PUSH dump.00433028                        UNICODE "%s\%s+%s.txt"
004137A7   PUSH dump.00433010                        UNICODE "how_recover"
004137B3   PUSH dump.00433044                        UNICODE "%s\%s+%s.html"
00413975   ASCII "Qh",0
004139E0   MOV ECX,dump.00433060                     UNICODE "A:\"
00413A30   MOV ECX,dump.00433068                     UNICODE "B:\"
00413C10   PUSH dump.00433070                        UNICODE "\*.*"
00413C9F   MOV EAX,dump.00433080                     UNICODE ".."
00413EBD   MOV EAX,dump.00433088                     UNICODE "recove"
00413ECD   MOV EAX,dump.00433098                     UNICODE ".vvv"
00413FF0   PUSH dump.00433098                        UNICODE ".vvv"
0041A306   PUSH dump.0043312C                        ASCII "Cr"
0041A31D   PUSH dump.00433130                        ASCII "ypted"
0041A381   PUSH dump.004330E0                        ASCII "Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko"
0041A4E7   PUSH dump.004324AC                        ASCII "2.2.0"
0041A6F8   PUSH dump.00433138                        ASCII "%s?%s"
0041A744   PUSH dump.00433140                        ASCII "GET"
0041A7B8   PUSH dump.00433144                        ASCII "INSERTED"
0041A85C   PUSH dump.004330E0                        ASCII "Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko"



0041A874   PUSH dump.00433150                        UNICODE "http://myexternalip.com/raw"


0041D688   PUSH dump.004380F4                        UNICODE "%s\system32\cmd.exe"
0041D75E   MOV DWORD PTR SS:[EBP-854],dump.0043813C  UNICODE "runas"
0041D82D   PUSH dump.00438148                        ASCII "vssa"
0041D843   PUSH dump.00438150                        ASCII "dmin"
0041D859   PUSH dump.00438158                        ASCII ".exe"
0041D881   PUSH dump.00438160                        ASCII "delete "
0041D897   PUSH dump.00438168                        ASCII "shadows "
0041D8B0   PUSH dump.00438174                        ASCII "/all "
0041D8C6   PUSH dump.0043817C                        ASCII "/Quiet "
0041D8F8   MOV DWORD PTR SS:[EBP-23C],dump.00438184  ASCII "open"
0041D90A   MOV DWORD PTR SS:[EBP-23C],dump.0043818C  ASCII "runas"

0041DAFD   PUSH dump.004335E8                        ASCII "Qwi+Z2ptKhg884OCgBjab+QQ1zaBfozWc6txcHgkc6+AEn1w8gFPofQSOA7x8Y=="
0041DB1D   PUSH dump.00433598                        ASCII "xqTHKxhHf5KXoX/eFiktjVyAZ6uGJ2BLl7SzVC2ueVDnONLTeN2Q0HW7rmeSlcHFEnI12UrR"
0041DB40   PUSH dump.00433550                        ASCII "FSVvmBCBk7wMEoif5nZjWH2tFlEkUQwgKwPy/04w8E/WLQlp4ogUohBlNgZ9YQ=="
0041DB62   PUSH dump.00433508                        ASCII "l2Hd+QlQKxTunawJxW1JslefFsEIYc79d+JZDiPXpj3qNRCiQgVitrCMwwlKju=="
0041DB82   PUSH dump.004334B8                        ASCII "F2UeThCgQBrhu5kWIiCOhuvLGNBAhWdhD5T4Ukihd+Jaq26PBSLnxjMN0BHbDtJYoZKoigO5"
0041DBA6   PUSH dump.00433468                        ASCII "5p32jJULMx6o6X1+OfAh17uh5oGV9Czt8RLgjANQsmmmqxopIg/vQdShWSchJi9IpKlrPXAb"
0041DBCC   PUSH dump.00433420                        ASCII "6hZ3J2jHDTP8JtXjBjr+wNn+4a/uKzK1vyouD8qyHswLsR7E9X2Wf9SgwAlRna=="

0041DF89   PUSH dump.004381CC                        ASCII "Wow64DisableWow64FsRedirection"
0041DF91   PUSH dump.004381EC                        ASCII "Wow64RevertWow64FsRedirection"
0041DFE1   PUSH dump.0043820C                        UNICODE "\recover_file_"
0041E012   PUSH dump.0043822C                        UNICODE ".txt"
0041E07F   PUSH dump.00438238                        UNICODE ":Zone.Identifier"
0041E0AE   PUSH dump.0043825C                        ASCII "SeDebugPrivilege"
0041E16B   PUSH dump.00438270                        UNICODE "2134-1234-1324-2134-1324-2134"
0041E1EF   PUSH dump.004382AC                        ASCII "bcdedit.exe /set {current} bootems off"
0041E1FC   PUSH dump.004382D4                        ASCII "bcdedit.exe /set {current} advancedoptions off"
0041E209   PUSH dump.00438304                        ASCII "bcdedit.exe /set {current} optionsedit off"
0041E216   PUSH dump.00438330                        ASCII "bcdedit.exe /set {current} bootstatuspolicy IgnoreAllFailures"
0041E223   PUSH dump.00438370                        ASCII "bcdedit.exe /set {current} recoveryenabled off"



0041E454   PUSH dump.004383B8                        UNICODE "%s\Howto_RESTORE_FILES.txt"
0041E48F   PUSH dump.004383FC                        UNICODE "%s\Howto_RESTORE_FILES.html"
0041E4C3   PUSH dump.00438434                        UNICODE "%s\Howto_RESTORE_FILES.bmp"
0041E78B   PUSH dump.0043846C                        UNICODE "%s\%s"
0041E7E3   PUSH dump.00438478                        UNICODE "%s\%sacroic.exe"
0041E904   PUSH dump.00438498                        UNICODE "/c "
0041E91A   PUSH dump.004384A0                        UNICODE "DE"
0041E930   PUSH dump.004384A8                        UNICODE "L "
0041E97B   PUSH dump.004384B0                        UNICODE "ComSpec"
0041E9EE   PUSH dump.004384C0                        ASCII "SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System"
0041EA12   PUSH dump.004384FC                        UNICODE "EnableLinkedConnections"
0041EA58   PUSH dump.004333C0                        UNICODE "Software\Microsoft\Windows\CurrentVersion\Run"

El troyano verifica la IP de la victima con el siguiente servicio
"http://myexternalip.com/raw"


Trafico.



Luego de ofuscar los datos se despliega este html



Entramos a la web que se nos indica y vemos la exigencia del pago de u$s 500 o 1.15 BTC



La recomendación es no abrir correos no solicitados y mucho menos abrir los adjuntos, y como siempre reforzar las campañas de concientización.


Muestras: https://www.dropbox.com/s/qthkfjoodar7tct/TeslaCrypt-09-12-15.rar?dl=0


Eso es todo por el momento.

@Dkavalanche 2015







2 comentarios:

Sebastián Cortés dijo...

Hola! Cual es el software que utilizás en Tráfico? No lo reconozco pero parece intresante.
Gracias!

@Dkavalanche dijo...

Hola Sebastián, es el SmartSniff de NirSoft.

http://www.nirsoft.net/network_tools.html


Saludos.

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...