viernes, 5 de abril de 2013

Falso Mensaje de Skype -  BitCoin Mining.
Luego de la desaparición de msn y su fusion con Skype los Cyber-Criminales le apuntan con sus cañones para engañar a los usuarios e infectarlos con distintas cargas malignas. En el caso de hoy convierte la Pc infectada en un Bitcoin Miner, rindiendo frutos hacia los criminales.

 Falso mensaje recibido en Skype.




La imagen original del falso mensaje y nota relacionada la pueden ver en el sitio de Segu-info
que amablemente me acercaron las muestras para analizarlas.
Icono del malware
Analisis en V.T. con un indice bajo de detecciones.


SHA256:411e93206a7750c8df25730349bf9756ddba52c1bc780eaac4bba2b3872bc037
File name:xxxxxxo.exe
Detection ratio:6 / 46




El troyano se encuentra ofuscado con un Crypter en C++.

Aquí una parte del Dump.







Analisis en VT del Dump: (DUMP.skype-img-04.exe)

 https://www.virustotal.com/en/file/d476e920a736b0c88b9f1d394b2e6e083128f27f952d73f63fb5614cc3cb9927/analysis/1365122425/
Se trata de un IRCBOT.
Infección de Unidades:


004107F4   PUSH DUMP_sky.00413F10                    ASCII "Infected Drive: %s"
004107F9   PUSH DUMP_sky.00413F24                    ASCII "USB"
004109B7   PUSH DUMP_sky.00413F28                    ASCII "%c: "
persistencia en el sistema :

 0040E97E   PUSH DUMP_sky.00413C40                    UNICODE "Software\Microsoft\Windows\CurrentVersion\Run"



El BitCoin Mining en acción....




Infeccion de unidad compartida.








Aquí se puede observar el trafico de red y la conexión remota hacia el CnC.






IP: 212.227.83.111:9000


Aquí se indica descargar una amenaza desde Hotfile.com









Icono de la nueva amenaza descargada por el IRCBOT.





También se encuentra ofuscado con Crypter C++ Runpe.


Analsis en VT de los distintos Dumps que obtuve.
File: Dump.dll

 https://www.virustotal.com/en/file/5bfded4d65a9e8904f9c804a6a311b768ec301c583ff1efe973da389b01ed741/analysis/1365128967/

 Part of Kelihos.F

File: Dump.exe

 https://www.virustotal.com/en/file/8a7e716bd48b6cf41ab49702959f0b3d86880d0a3ab2063700d9acde44985bda/analysis/1365130457/
Type: Kelihos.F
Password Stealer/Spamer


 005C4810: '\SmartFTP\Client 2.0\Favorites\',0000h
005C4850: '\SmartFTP\Favorites.dat',0000h
005C4880: '\SmartFTP\History.dat',0000h
005C48B0: '\SmartFTP\Client 2.0\Favorites\Favorites.dat',0000h
005C490C: 'CHistoryItem',0

 005C53F8: 'FTPServers.Servers1_FTPServers',0
005C5418: 'Count',0
005C5420: '_PassWord',0
005C542C: '_HostName',0
005C5438: '_UserName',0
005C5444: '_HostDirName',0
005C5454: '_Port',0
005C545C: 'wiseftpsrvs.bin',0
005C546C: 'wiseftpsrvs.ini',0
005C547C: 'wiseftp.ini',0
005C5488: '\AceBIT\',0
005C5498: 'Software\AceBIT',0
005C54A8: 'SOFTWARE\Classes\TypeLib\{CB1F2C0F-8094-4AAC-BCF5-41A64E27F777}',0
005C54E8: 'SOFTWARE\Classes\TypeLib\{9EA55529-E122-4757-BC79-E4825F80732C}',0
005C5528: '\Ipswitch\WS_FTP\Sites',0000h
005C5558: '\Ipswitch\WS_FTP Home\Sites',0000h
005C5590: '\win.ini',0000h
005C55A4: '\Ipswitch\WS_FTP',0000h
005C55D0: 'DEFDIR',0000h
005C5680: 'Software\Ghisler\Total Commander',0
005C56A4: 'Software\Ghisler\Windows Commander',0
005C5AC8: 'directory',0
005C5AD4: 'firewall',0
005C5AE0: 'method',0
005C5AE8: '\Windows Commander',0
005C5AFC: '\Total Commander',0
005C5B10: '\wcx_ftp.ini',0
005C5B20: '\GHISLER',0
005C5B2C: 'InstallDir',0
005C5B38: 'FtpIniName',0
005C5B44: 'it was too big file, size = ',0
005C5B64: 'C:\Documents and Settings',0
005C5B80: '\Application Data\Bitcoin\wallet.dat',0
005C5BA8: 'C:\Users',0
005C5BB4: '\AppData\Roaming\Bitcoin\wallet.dat',0
005EE128: 'Hora est. de Sudamerica E.',0
005EE168: 'Hora est. de Sudamerica E.',0


Esta variante utiliza WinPcap para monitorear el trafico de red y robar credenciales de login de  FTP, POP3, SMTP.

 Kelihos chequea la presencia de varios programas para el robo de datos sensibles.

* BitCoin wallet.dat 

* 32-bit FTP 
 * BitKinex 
 * Bullet Proof FTP 
 * BulletProof FTP Client 
 * Classic FTP 
 * Core FTP 
 * CoreFTP 
 * CuteFTP 
 * Directory Opus 
 * FAR Manager 
 * FFFTP 
 * FTP Commander 
 * FTP Commander Deluxe 
 * FTP Commander Pro 
 * FTP Control 
 * FTP Explorer 
 * FTP Navigator 
 * FTPRush 
 * FileZilla 
 * FlashFXP 
 * Fling 
 * Fling FTP 
 * Frigate3 
 * Frigate3 FTP 
 * LeapFTP 
 * NetDrive 
 * SecureFX 
 * SmartFTP 
 * SoftX FTP Client 
 * Sota FFFTP 
 * Total Commander 
 * TurboFTP 
 * UltraFXP 
 * WS_FTP 
 * WebDrive 
 * WebSitePublisher 
 * WinSCP



Analisis dinámico, en el cual podemos observar el spam hacia varias cuentas de correo, enviando un link a un sitio con un Javascript malicioso.



Link enviado: 

 hxxp://autopart.com.vn/selection.html


Analisis con Malzilla, se puede observar el Javascript.



Revisamos el código y lo arreglamos para que nos entregue el URL a cargar en el iframe.



hxxp://ytliywax.ru/count14.php


http://urlquery.net/report.php?id=1830634

 Accediendo a este URL nos redirige a otro sitio.



Aquí podemos ver el Exploit, que intentara explotar alguna vulnerabilidad en nuestro sistema para descargarnos una amenaza.




El código fuente del exploit corresponde a Neutrino Exploit Kit.

 Info sobre Neutrino.

http://malware.dontneedcoffee.com/2013/03/hello-neutrino-just-one-more-exploit-kit.html
http://blog.trendmicro.es/neutrino/


----------------------------------------------------------------------------------------------------------------------

Por lo que pude observar en una maquina previamente infectada, es la instalación de un Downloader que descarga el Kelihos, supongo, que es otro método de propagación utilizado (en vez del IRCBOT).



DOWNLOADER






Strings encontrados en el Downloader, previamente realizando un dump en Ollydbg











00401643 PUSH DUMP-Dow.0040211C ASCII "\Temp\temp"

 00401685 MOV DWORD PTR SS:,DUMP-Dow.00402128 ASCII ".exe"
004017A0 PUSH EBP (Initial CPU selection)
00401813 MOV ESI,DUMP-Dow.00402130 ASCII "/boris01.exe"



Se descarga el archivo boris01.exe que se encuentra en cualquiera de estos dos sitios
0040182A PUSH DUMP-Dow.00402140 ASCII "butlesuh.ru"
00401840 PUSH DUMP-Dow.0040214C ASCII "wylovpuc.ru"








Persistencia en el sistema :





Análisis en V.T. de la amenaza descargada.




Realizando un Dump pude observar que se trata del mismo troyano Kelihos.
https://www.virustotal.com/en/file/567d20cf7f56b7ac3e994640c43fb60d817d7c0eb8eb98adbaca064836ee34ce/analysis/1365208469/





Muestras + dumps + scripts  descarga desde aqui.

Password = infected


Mas data sobre este tema,  pueden ver la excelente nota de Dmitry Bestuzhev el sitio de Kaspersky Labs 

 Mas menciones sobre este tema:

 http://blog.segu-info.com.ar/2013/04/mensajes-de-contactos-de-skype.html
http://www.theregister.co.uk/2013/04/05/bitcoin_mining_malware_appears/
http://www.securelist.com/en/blog/208194206/An_avalanche_in_Skype

Muchas gracias a Raul de Segu-Info por enviarme los valiosos binarios.


 Es todo por el momento
@Dkavalanche   2013


en

2 comentarios:

Anónimo dijo...

excelente bro pero una pregunta parce eres Peruano?

6 de abril de 2013, 12:44
@Dkavalanche dijo...

Hola, gracias!
Soy Argentino, Saludos!

6 de abril de 2013, 19:20

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!

  • (sin título)
    Campaña de Ransomware: Locky - Parte III Nueva campaña, esta vez se utiliza un documento  .docm que es un Documento Microsoft Word con macro...
  • (sin título)
    #Alerta #Malware CLARO  Tienes una factura sin pagar!  Factura #4489790 En el día de hoy se esta realizando una campaña de phishing que e...
  • (sin título)
     Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!