Dharma Ransomware Variante Malspam Targeting COVID-19


Tiempo estimado de lectura: 7 7 minutos

Desde el estallido de la pandemia del nuevo coronavirus, se ha visto que muchos programas maliciosos intentan atraer a las personas para que abran correos electrónicos maliciosos, dominios maliciosos y ejecuten otro tipo de malware, etc. Algunos de estos dominios maliciosos son completamente funcionales y proporcionan mapeo en tiempo real de COVID-19 estadísticas en todo el mundo. Sin embargo, entregan malware en el sistema de víctimas que visitan el sitio y que desconocen cualquier evento sospechoso. Pueden robar información personal y financiera almacenada en el navegador ejecutando Javascript malicioso en la visita.

Dominio malicioso con un mapa completamente funcional

Fig: dominio malicioso con un mapa completamente funcional

Pocos otros programas maliciosos están utilizando correos electrónicos de phishing que se hacen pasar por la OMS u otras organizaciones auténticas, proporcionando medidas de seguridad sobre la pandemia de COVID-19 junto con un medio de ejecución de código malicioso.

Una de esas campañas de phishing está siendo utilizada por la variante de ransomware Dharma (Crysis). Notado por primera vez en 2016, el ransomware Dharma ha existido durante casi cinco años y sigue apareciendo periódicamente con una nueva variante. Los actores de la amenaza quieren aprovechar cada escenario para escapar de la detección y entregar la carga útil.

La carga útil principal se adjunta como "1covid.exe": en la ejecución de "1covid.exe", comienza a cifrar los archivos y se muestra la siguiente nota de rescate en la pantalla. La extensión de los archivos después del cifrado se denomina .ncov supuestamente por el Nuevo Coronavirus.

Nota de rescate utilizada por la variante Dharma

Higo: Nota de rescate

La nota de rescate se deja caer en varios formatos. Después de cifrar los archivos, una nota de rescate le pide al usuario que escriba un correo electrónico a "coronavirus@qq.com " para restaurar sus archivos.

versión txt de la nota de rescate

Fig: una versión de texto de la nota de rescate

Muestra MD5: 62D3E2CA818E515EDBB44CAD8355C91D

Análisis técnico:

El Ransomware no emplea ningún bypass de UAC y se presenta con la solicitud de ejecución. El malware no está empaquetado, pero tiene API cifrada y nombres de biblioteca. Descifra los nombres de la API y la biblioteca usando el algoritmo rc4 y luego carga las bibliotecas y resuelve todas las API usando las funciones Loadlibrary y Getprocaddress respectivamente.


función de descifrado rc4

Fig: descifrar nombres usando rc4

Funciones utilizadas para resolver la API

Fig: Función utilizada para resolver las API

Después de eso, crea el nombre de mutex y comprueba si ya está presente; si está presente, termina por sí mismo. El nombre de mutex es una combinación de la cadena "Global \ syncronize_" y "5GW7SU (U / A)", donde este último es un id. De muestra único codificado.

Nombre Mutex

Higo: nombre Mutex

El ransomware administra una lista de extensiones valiosas reconocidas como se muestra a continuación

  1. Doc

(.doc; .docx; .pdf; .xls; .xlsx; .ppt;)

  1. Arco

(.zip; .rar; .bz2; .7z;)

  1. Dbf

(.dbf;)

1c8 (.1cd;)

  1. Jpg

(.jpg;)

Lleva una lista de procesos a matar para que haya bloqueo de archivos relacionados con ellos durante el cifrado.

"1c8.exe, 1cv77.exe, outlook.exe, postgres.exe, mysqld-nt.exe, mysqld.exe, sqlservr.exe;"

Función para eliminar la lista predeterminada de procesos

Fig: Función para eliminar la lista predeterminada de procesos.

La siguiente lista de servicios se elimina si se encuentra: "FirebirdGuardianDefaultInstance, FirebirdServerDefaultInstance, sqlwriter, mssqlserver y sqlserveradhelper"

Función para matar los servicios.

Fig: Función para matar los servicios.

Además, utiliza múltiples formas para crear instancias de persistencia.

Técnicas de persistencia:

  1. Coloque una copia automática en% windir% system32
  2. Configure HKLM SOFTWARE Microsoft Windows CurrentVersion Ejecutar con la entrada anterior% windir% system32
  3. Lea la entrada de registro 'inicio' en “Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ User Shell Folders” y suelte una copia propia en la ruta recuperada, es decir, en “% USERPROFILE% \ AppData \ Roaming \ Microsoft \ Windows \ Menú de inicio \ Programas \ Inicio \ "
  4. Lea la entrada de registro 'inicio común' en “Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ User Shell Folders” y suelte una copia propia en la ruta recuperada Ie en “% ProgramData% \ Microsoft \ Windows Menú Inicio \ Programas \ Inicio "

El proceso principal crea cmd.exe y canaliza el comando para eliminar la instantánea utilizando la herramienta vssadmin.

Eliminar instantáneas

Fig: Eliminar instantáneas

El flujo del proceso del ejecutable se muestra en la figura siguiente.

Flujo de proceso de malware

Fig: flujo de proceso de muestra

Técnica de encriptación:

El ransomware utiliza AES-256 (bloque de 128 bits + clave de 256 bits) en modo CBC junto con el algoritmo RSA. La siguiente imagen muestra la función utilizada para cifrar los datos dados con AES en el modo CBC.

Algoritmo AES en modo cbc

Fig: algoritmo AES en modo cbc

La clave AES de 32 bits es generada por una función gen_key_random. La clave pública RSA se descifra de la muestra y se importa a través de la función RSA_pub_key_new, que se utiliza para cifrar la clave AES de 32 bits generada previamente. La misma función gen_key_random se utiliza para generar el vector de inicialización de 16 bits para el modo AES CBC.

generación de claves aleatorias

Fig: generación de claves aleatorias

La implementación de los algoritmos AES y RSA se realiza utilizando una biblioteca estática que se puede encontrar en https://github.com/joyent/syslinux/blob/master/gpxe/src/crypto/axtls/aes.c y https://github.com/joyent/syslinux/blob/master/gpxe/src/crypto/axtls/rsa.c respectivamente.

Fig: Función responsable del cifrado rsa

El ransomware también cifra las unidades y los recursos compartidos de red. Hay un hilo separado para encriptar los recursos compartidos de red utilizando la familia de API WNetOpenEnumW.

Enumeración de recursos compartidos de red

Fig: enumeración de recursos compartidos de red

La asignación del vector de ataque de inglete de este ransomware es la siguiente.

Técnicas de inglete tocadas por este malware

Fig: técnicas de inglete tocadas por este malware

Quick Heal detecta este malware como Ransom.Crysis.A3. Además de la protección en tiempo real, este malware también es detectado por Quick Heal ARW (Anti Ransomware Protection) y BDS (Behavior Detection System).

Detección ARW y BDS de 1covid.exe

Fig: detección ARW y BDS de 1covid.exe

Conclusión:

La pandemia de coronavirus se ha convertido en un objetivo para los vectores de amenazas que lo utilizan como un vector inicial para todo tipo de actividades maliciosas. Quick Heal detecta muchos dominios maliciosos y correos electrónicos de phishing y evita que el usuario caiga en esas trampas. Sin embargo, para estar más seguro, a continuación se detallan los pasos que se pueden seguir para minimizar el riesgo.

  1. Active la protección de correo electrónico en su software antivirus.
  2. No abra ningún enlace o archivo adjunto en un correo electrónico si duda de la autenticidad del correo electrónico.
  3. No descargue ni abra ningún archivo adjunto de una fuente desconocida.

COI:

Dominios maliciosos pertenecientes al Coronavirus.

URL y dominios sospechosos Categoría
hxxp: // mohanlakshmipathy (.) com / COVID-19.doc Malware
hxxp: //64.227.17 (.) 38 / bins / covid.x86 Malware
hxxp: //crack.relaxationcards (.) com / health / application / COVID / 2019 / Covid_19_test_form.doc Malware
hxxp: //tusa.mindbodyspiritsydney (.) com / application / health / test / Covid2019 / 2019_nCoV_Application_Test.doc Malware
hxxp: //tks.enzacurrenti (.) com / application / health / test / Covid2019 / Test_COVID_2019.doc Malware
hxxp: //185.242.104 (.) 197 / wzjd / Covid19-UPDATE_PDF.exe Malware
hxxps: // corona-virus-map (.) net / data / mapdata.jar Malware
hxxps: // corona-map-data (.) com / bin / regsrtjser346.exe Malware
hxxp: //192.3.193 (.) 251 / Corona.ppc Malware
hxxp: //91.234.99 (.) 234 / Corona.mips Malware
hxxps: // phamchilong (.) com / 22 / CORONA Malware
hxxp: //45.32.78 (.) 111 / Corn / Calin / Corona.exe Malware
hxxps: // recoveryrryasitalycovid-19 (.) xyz / over Malware
hxxps: // toyswithpizzazz (.) com.au/service/coronavirus Malware
hxxp: // coronasafetymask (.) tk Malware
hxxp: // sitio coronavirusapp (.) / mobile.html Malware
hxxps: // corona-masr2 (.) com / chase-support.wepay.com / ChaseClean / Chase% 20Clean / login / Malware
hxxps: // corona-masr2 (.) com / chase-support.wepay.com / ChaseClean / Chase% 20Clean / login / auth.php Phishing y fraude
hxxp: // dtipgifts (.) com / E-Transfer / COVID-19 / files6546541204 / down45640 / banks / directing / atbonline / question.php Phishing y fraude
hxxps: // uk-covid-19-relieve (.) com Malware
hxxps: // covid-19 (.) bdtime.news/directing/www1.royalbank.com/cgi-bin/rbaccess/rbunxcgi/ClientSignin.htm Phishing y fraude
hxxp: // covid-19 (.) bdtime.news Malware
hxxps: // raymondne (.) buzz / COVID-19PRECAUTIONS / Malware
hxxps: // footytube (.) arriba / admin / covid-19 / office365 / office365 / office365 / office365 / office365 / office365 / office365 Phishing y fraude
hxxps: //covid-19-business-continuity-epic-uk-limited.azurewebsites (.) net / Corona_Virus_2020 / passw.php? client_id_redirect_uri = _authenticate_ / common / oauth2 / authorize_token = 9d84bdf0dfc3d870ee7e24eff8effc Malware
hxxps: // kampcbation (.) info / COVID-19 / Malware
hxxps: //www.brightparcel (.) com / corona / owa.php Malware
"Espacio coronavirusstatus (.)" Malware
"Zona de coronavirus (.)" Malware
"Coronavirus-realtime (.) Com" Malware
"Aplicación coronavirus (.)" Malware
"Coronavirusaware (.) Xyz" Malware
"Goiglecoronavirus (.) Com" Malware
"Googlecoronavvirus (.) Com" Malware
"Googlecoronavirua (.) Com" Malware
"Googlecoronavirs (.) Com" Malware
"Googlecoronavius ​​(.) Com" Malware
"Googlecoronaviru (.) Com" Malware
"Googlecoronacirus (.) Com" Malware
"Goolgecoronavirus (.) Com" Malware
"Coronaviruspatientobservation (.) Com" Malware
"Coronavirusremotepatientobservation (.) Com" Malware
"Coronavirus-com (.) Com" Malware
"Coronaviruscovid19-information (.) Com" Malware
"Corona-map-data (.) Com" Malware
"Coronavirusgovernmentrelief (.) Com" Malware
"Coronavirusfired (.) Com" Malware
“Cheapcorona (.) Com” Malware
"Corona-defensa (.) Com" Malware
"Coronavirushomeinternet (.) Com" Malware
"Childcarecorona (.) Com" Malware
"Corona5 (.) Com" Malware
"Coronavirusfactsandfears (.) Com" Malware
"Graciascoronavirus (.) Com" Malware
"Sitio coronavirusapp (.)" Malware
"Alphacoronavirusvaccine (.) Com" Malware
"Anticoronaproducts (.) Com" Malware
"Beatingcorona (.) Com" Malware
"Beatingcoronavirus (.) Com" Malware
“Bestcorona (.) Com” Malware
"Betacoronavirusvaccine (.) Com" Malware
"Buycoronavirusfacemasks (.) Com" Malware
"Byebyecoronavirus (.) Com" Malware
"Cdc-coronavirus (.) Com" Malware
"Combatcorona (.) Com" Malware
"Contra-coronavirus (.) Com" Malware
"Corona-blindado (.) Com" Malware
"Corona-crisis (.) Com" Malware
"Corona-emergencia (.) Com" Malware
"Corona-explicado (.) Com" Malware
"Corona-iran (.) Com" Malware
"Corona-ratgeber (.) Com" Malware
"Coronadatabase (.) Com" Malware
"Coronadeathpool (.) Com" Malware
"Coronadetect (.) Com" Malware
"Coronadetection (.) Com" Malware
"Coronavirusmedicalkit (.) Com" Malware
"Corona-masr2 (.) Com" Malware
"Uk-covid-19-relieve (.) Com" Malware
"Covid-19.bdtime (.) Noticias" Malware
"Covid-19-business-continuity-epic-uk-limited (.) Azurewebsites.net" Malware


Experto en la materia

Rahul Sharma, Akshay Gaikwad | Laboratorios de seguridad de curación rápida

¿Tienes algo que agregar a esta historia? Compártelo en el



Enlace a la noticia original