¡Un clic descuidado puede filtrar sus datos importantes!


Tiempo estimado de lectura: 4 4 minutos

El correo electrónico de phishing sigue siendo uno de los principales medios de propagación de malware. Recientemente, nos encontramos con un interesante correo electrónico de phishing que contiene un par de enlaces de Jumpshare que apuntan a componentes maliciosos. Jumpshare es un servicio de intercambio de archivos en línea y, a menudo, los ciberdelincuentes abusan de este tipo de servicios de intercambio de archivos.

Al hacer clic en uno de los enlaces en el correo de phishing, un archivo ejecutable con nombre ‘90DayDemoPurpleCDR2019-Analysis-Software.exe " fue descargado Es un archivo ejecutable de 32 bits sin firmar, compilado en Borland Delphi. A continuación se muestra la información de la versión que se encuentra en el troyano.

Fig. 1: Información de la versión

En la ejecución, este archivo crea una copia de sí mismo en el siguiente directorio:

C: Usuarios AppData Local Microsoft Windows mshtinr.exe

También deja caer una DLL en la misma ubicación que "Mshtinr.dll". Entonces crea un proceso ‘Svchost.exe’ utilizando 'CreateProcessA ’ API de Windows en estado suspendido. Además, descifra un código DLL en la memoria y esa DLL se inyecta en el proceso de destino, es decir. ‘Svchost.exe’. Usando múltiples ‘WriteProcessMemory’ Llamadas API, importa los módulos y API necesarios en el proceso recién creado y finalmente transfiere el control a la DLL. Antes de eso, la muestra establece valores en la siguiente clave de registro:

HKCU Software Microsoft Internet Explorer Prefs

Fig. 2: valores de registro establecidos por la muestra

Posteriormente, el proceso objetivo accede a estos valores, es decir, ‘svchost.exe ".

Los 'svchost.exe " el proceso elimina un par de archivos en la siguiente ubicación:

C: Usuarios AppData Local Google Chrome User Data Default gjs.tmp

C: Usuarios AppData Local Google Chrome User Data Default .tmp

los ‘Gjs.tmp’ El archivo contiene múltiples funciones para manejar la base de datos SQLite y esta última es la copia del archivo de datos de inicio de sesión del usuario de Google Chrome, que generalmente se encuentra en la siguiente ubicación:

"C: Usuarios AppData Local Google Chrome User Data Default Login Data "

El archivo .tmp (nombrado con algunos valores numéricos) contiene la información de inicio de sesión para los portales a los que se accede a través de Chrome. Este archivo es una base de datos SQLite que contiene información de credenciales.

Esta base de datos SQLite contiene las siguientes tablas relacionadas con la información de inicio de sesión y otra información de metadatos:

Fig. 3: esquema de SQLite para los datos de inicio de sesión de Chrome

A continuación se muestra un ejemplo de información de inicio de sesión y credenciales capturadas en la base de datos.

Fig. 4: Credencial almacenada en SQLite

El archivo caído ‘Gjs.tmp’ se carga en la memoria y luego se le transfiere el control. Esta biblioteca compartida consulta los datos a la base de datos SQLite, es decir, copia de los datos de inicio de sesión. Una vez que se recupera la información requerida, elimina el archivo de la base de datos.

Fig. 5: ejecución de consultas SQLite

También hemos encontrado actividad de registro de teclas en el proceso svchost.exe. Utiliza API como KeyboardType, KeyboardLayout, GetKeystate, etc. para el mismo.

Toda la salida del registro de teclas se almacena en un archivo:

"C: Usuarios AppData Local Microsoft Windows mshtiner.ihg "

Fig. 6: API de registro de teclas

Esta información se almacena en forma cifrada. Además copia este archivo a ‘Elmshtinr.ihg’ en la misma ubicación y elimina el original.

Una vez que se realiza todo el proceso de recopilación de datos, envía los datos a una identificación de correo electrónico predefinida que se encuentra en la memoria del proceso. El correo electrónico está compuesto por la biblioteca CDO de Microsoft a través del puerto 465, que generalmente se usa para el protocolo SMTPS. La identificación de correo electrónico a la que se envían los datos estaba en gmail y la identificación de correo electrónico de origen estaba en "Totalmenteanónimo.com con credenciales predefinidas. ID de correo electrónico y FTP en "Totalmenteanónimo.com a menudo se observaron previamente durante los casos de análisis de malware.

Fig. 7: cadenas interesantes

Además, la muestra cambia la última fecha de modificación para todos los archivos creados a "20-nov-2010 7:24 PM". Entonces, en caso de que observemos estos archivos, la última fecha de modificación puede confundirnos con respecto a la autenticidad de estos archivos.

Fig. 8: Fechas modificadas de los archivos recién creados.

COI:

Nombre del archivo MD5
90DayDemoPurpleCDR2019-Analysis-Software.exe EE279BB854CA338BF50A3A682830C4E5
mshtinr.exe EE279BB854CA338BF50A3A682830C4E5
mshtinr.dll D3EAEC2B55A2D24289B03EB86EA2166D
gjs.tmp 1023DF7ABD2D9B7F0BDC77024C978F0B

Resumen:

  • La muestra es un keylogger y un ladrón de información. Intenta recuperar los datos de inicio de sesión de Google Chrome instalados en el sistema de la víctima.
  • Utiliza la técnica de inyección de código de proceso para realizar su actividad principal, para evadir la detección de productos de seguridad.
  • Utiliza varias técnicas para pasar desapercibido en el sistema, como soltar cargas en el directorio de Google Chrome.
  • Las direcciones de correo electrónico se utilizaron para filtrar los datos recopilados al atacante.

Experto en la materia:

Rahul Sharma, Quick Heal Security Labs.

<! –

COMPARTE ESTA HISTORIA

->


90DayDemoPurpleCDR2019-Analysis-Software.exe,
Biblioteca CDO,
exfiltración
gjs.tmp,
ladrón de información,
ladrón de información,
Jumpshare
Keylogger,
mshtinr.dll,
mshtinr.exe,
puerto 465,
Protocolo SMTPS,
STP Media,
STPMedia.exe,
totallyanonymous.com "

¿Tienes algo que agregar a esta historia? Compártelo en el



Enlace a la noticia original