Nueva ola de campaña de Mal-Spam adjuntando archivos de imágenes de disco


Tiempo estimado de lectura: 6 6 minutos

Desde los últimos meses en Quick-Heal Labs, hemos estado observando un aumento repentino en el correo Spear Phishing que contiene formatos de archivo distintos como archivos adjuntos como IMG, ISO, etc. Estos nuevos tipos de archivos adjuntos se utilizan principalmente para implementar algunos conocidos y antiguos Troyanos de acceso remoto. El asunto de estos correos electrónicos se hace parecer lo más genuino posible en forma de 'Archivo de caso contra su empresa' o 'AVISO DE ENVÍO DE AWB DHL DE NUEVO', etc. Los archivos adjuntos contienen malware comprimido (RAT) que tienen muchos nombres diferentes como ' Court Order.img ',' Product Order.img ', etc. La imagen a continuación muestra uno de estos correos de phishing.

Figura 1: correo de suplantación de identidad con archivos adjuntos maliciosos de tipo IMG

Debajo de la fig. muestra que los formatos de archivo de compresión comunes como RAR, ZIP y GZ se usan más ampliamente para los correos electrónicos de phishing. También podemos ver que el formato de archivo de imagen de disco como ISO e IMG también se están utilizando para el phishing de lanza y la implementación de malware en cierta medida.

Figura 2: Distribución de varios formatos de archivo comprimido en correos de phishing

El siguiente gráfico muestra que la cantidad de archivos IMG e ISO utilizados para implementar RAT está creciendo rápidamente desde noviembre de 2019. Antes de noviembre de 2019, el recuento de archivos IMG e ISO combinados era insignificante.

Figura 3: Aumento de los archivos IMG e ISO utilizados en los correos electrónicos de Spear Phishing

En Windows 8 y superior, el usuario puede abrir directamente estos archivos como ISO, IMG en el explorador simplemente haciendo doble clic en él. Para versiones anteriores de Windows, los usuarios tienen que montar o extraer estos archivos y luego usarlos. Esta podría ser la razón de la gran cantidad de correos electrónicos de phishing utilizando el formato de imagen de disco.

La imagen a continuación muestra la distribución generalizada de los correos electrónicos de spear phishing en los últimos 6 meses, con la extensión .ISO y .IMG del archivo adjunto indicada con puntos rojos en diferentes países.

Figura 4: Distribución inteligente de los tipos de archivos adjuntos utilizados en los correos de Spear Phishing.

Observamos específicamente la difusión de Nanobot, Remcos y Lokibot mediante el uso de formatos de imágenes de disco. Estos malware se observan en todo el mundo con Nanobot que tiene los mayores éxitos para los correos de phishing.

Figura 5: Comparación del número de intentos de Spear Phishing

Cadena de infección:

Figura 6: flujo de infección

Ahora veamos cada uno de estos uno por uno, es decir, Nanobot, Lokibot y Remcos. Como estos malware están muy extendidos y ya se conocen, solo los analizaremos brevemente.

Nanobot:

El archivo iso o img adjunto contiene un archivo ejecutable de Windows que funciona como un cargador para nanobot, remcos o lokibot. La figura siguiente muestra la imagen ISO montada con solo hacer doble clic en el archivo adjunto.

Figura 7: archivo ISO montado.

Este ejecutable es un script AUTOIT compilado. Crea un nuevo proceso ‘Regasm.exe’ e inyecta la carga principal en él. La carga útil inyectada es un archivo ejecutable .Net ofuscado con eazfuscator, y resulta ser un cliente Nanocore.

Figura 8: Regasm.exe generado

Esta muestra particular que analizamos es del cliente Nanocore de la versión 1.2.2.0 como se muestra a continuación en la fig.

Figura 9: Cliente Nanocore

La configuración y los complementos del cliente Nanocore están encriptados y presentes en los recursos. En tiempo de ejecución, descifra su configuración que contiene múltiples opciones configurables como el registro del teclado, que se puede establecer en verdadero o falso, omitiendo el control UAC, Run On Startup y varias otras opciones configurables para la comunicación CNC.

Figura 10: Configuración de Nanocore

Capacidades de NanoCore:

  • Registro de teclado
  • Bypass UAC
  • Múltiples complementos, por ejemplo:
    • Complemento de vigilancia: acceso de micrófono y cámara web.
    • Complemento de gestión: consola remota, editor de registro, etc.

Remcos:

El proceso para soltar Remcos es similar al de Nanobot en el caso anterior. Este ejecutable también es un script AUTOIT compilado, que crea "RegSvcs.exe" e inyecta un PE que es Remcos RAT.

Figura 11: RegSvcs.exe generado

Utiliza mutex para confirmar solo una instancia de malware que se ejecuta en el sistema infectado. La imagen a continuación muestra el nombre del malware utilizado como parte del nombre mutex.

Figura 12: Creación de Mutex

Remcos descifra su configuración a partir del recurso "AJUSTE" presente en su binario que se cifra utilizando el algoritmo RC4.

Figura 13: Lectura del recurso "AJUSTES"

Después de descifrar el recurso cargado llamado "CONFIGURACIÓN", se generan las siguientes configuraciones para Remcos.

Figura 14: Configuración de recursos descifrados

Capacidades de Remcos:

  • Registro de claves
  • Obtener datos del portapapeles del sistema
  • Grabación de voz
  • Habilitar cámara

Lokibot:

Esto es algo diferente de los dos anteriores, ya que deja caer un ejecutable compilado nativo de Visual Basic que es una variante de Lokibot RAT.

El malware Lokibot lee la clave de registro actualmente en: "HKEY_LOCAL_MACHINE SOFTWARE Microsoft Cryptography MachineGuid" y calcula su hash md5 utilizando las funciones de criptografía proporcionadas en advapi32.dll, que se utiliza para crear un mutex. Este mutex se usa para verificar si el sistema ya está infectado o no.

Figura 15: Mutex de Lokibot

"MachineGuid" se genera en el momento de la instalación del sistema, que es algo exclusivo de la configuración del sistema. Además, este hash md5 de "MachineGuid" también se usa para crear una carpeta en% appdata% y soltar un archivo de copia automática y hdb. Los caracteres de los nombres de la copia automática eliminados son del md5 de 'MachineGuid' de los caracteres 13 a 18, y los caracteres del nombre de la carpeta son del md5 de 'MachineGuid' de los caracteres 8 al 13. El archivo hdb generado es específico de lokibot que utiliza para almacenar el hash de datos robados.

Figura 16: Archivos soltados por Lokibot

Capacidades de Lokibot:

  • Robo de contraseñas de navegadores como Firefox, Chrome, Opera, etc.
  • Configuración de robo de navegadores.
  • Robar contraseña del Administrador de credenciales de Microsoft Windows.

Indicadores de compromiso:

MD5 Nombre Malware
795B0F5D8425DB2BBA02A7663A74447A Orden de compra_raw_material_2019_20_05.iso Remcos Wrapper
36E49FCD84AAFCC6F02238A304A40A09 Orden de compra_raw_material_2.exe Remcos
5BFF53521C7FB38970D09B7CD82DFCCB DHL.iso Nanocore Wrapper
B7C30DB2287179BBA2D007EC615ABCE4 Nuevo nao.exe Nanocore
7129f51a9e66b98f0b240b62451da860 sin fragilidad6 Lokibot

Pocos nombres de archivos interesantes de archivos adjuntos en el correo electrónico a tener en cuenta:

  • "Recibo de pago de impuesto sobre la renta"
  • "IncomeTax Online Challan"
  • Advice Citi Bank Payment-Advice-PDF ’
  • "NOTIFICACIÓN DE ENVÍO DE DHL_PDF"
  • "Paquete FedEx"

Conclusión:

Con la invención de nuevas características en Windows, los actores de amenazas también siguen encontrando formas de abusar de esas características. Aquí, hemos visto esto en cómo se utilizan los formatos de imágenes de disco para implementar RAT. En el futuro, estos formatos también pueden usarse para implementar otros tipos de malware, ya que los actores de amenazas son expertos en abusar de las características presentes en Windows.

Cómo mantenerse a salvo:

El correo no deseado ha sido uno de los vectores de infección más comunes para varios tipos de malware. Muchas personas caen en la trampa de los correos de suplantación de identidad (phishing) ya que los actores de la amenaza los diseñan socialmente.

Quick Heal proporciona protección contra estas amenazas. Los usuarios deben seguir los pasos a continuación como medidas de seguridad.

  • Active la protección de correo electrónico de su producto antivirus.
  • No abra ningún enlace en el cuerpo del correo electrónico enviado por una fuente desconocida.
  • No descargue ni abra ningún archivo adjunto de una fuente desconocida.

Experto en la materia:

Prakash Galande, Rahul Sharma, Akshay Gaikwad

¿Tienes algo que agregar a esta historia? Compártelo en el



Enlace a la noticia original