Poulight: un troyano que roba información podría enseñarte cómo jugar Minecraft


Tiempo estimado de lectura: 7 7 minutos

Poulight es un troyano que roba información y que probablemente se originó en Rusia. Está escrito en .NET y puede recopilar información confidencial y entregarla a los cibercriminales. Desde su primera aparición, ha estado creciendo sustancialmente y tomando diferentes formas. El principal vector de infección sigue siendo los correos electrónicos de phishing. Se vendió en solo un puñado de dólares para que fuera fácilmente accesible para los cibercriminales. Su sitio web "poullight (.) Ru" lo llamó "Poulight Stealer" y se jactaba de ser el mejor producto en Internet.

Fig1: Sitio web oficial de Poulight Stealer

Análisis técnico:

Comienza con un archivo doc llamado "Minecraft cómo jugar guide.docm", que es un archivo de Microsoft Word. Este archivo contiene una imagen del juego Minecraft junto con algunos textos rusos abusivos.

Fig. 2: Imagen del juego Minecraft en el archivo de Microsoft Word.

Este archivo doc contiene macro, que se ejecuta automáticamente si las macros están habilitadas. La macro es simple y usa cmd.exe para ejecutar aún más un comando de PowerShell para descargar un ejecutable adicional. Este ejecutable se guarda como mess.exe y se ejecuta.

Fig. 3: Macro extraída

Fig. 4: Captura de red de descarga "mess.exe"

El "mess.exe" es un cargador para Poulight. Lleva dos ejecutables más almacenados en recursos "RCDATA". Los nombres A1 y A2 en RCDATA contienen archivos .exe y B1 y B2 contienen los nombres respectivos de esos ejecutables.

Fig. 5: recurso "RCDATA" de "mess.exe".

El "mess.exe", al ejecutarse, coloca los ejecutables presentes en RCDATA en la carpeta% tmp% y los ejecuta utilizando "ShellExecuteA".

Fig. 6: Ejecución usando "ShellExecuteA"

Los dos ejecutables caídos en la carpeta% tmp% son "fakerror.exe" e "inyector (automático) .exe".

Aquí está el flujo completo del proceso de Poulight Stealer.

Fig. 7: Flujo de proceso de Poulight Stealer

El fakerror.exe es un ejecutable .NET y hace exactamente lo que su nombre lo indica. Su único propósito es fingir un mensaje de error.

Fig. 8: Mensaje de error falso.

El mensaje falso está en idioma turco, como se muestra en la figura anterior. Confiando en el traductor de Google, el mensaje significa ‘El programa no se puede iniciar. VM o Windows en la actualización 10 detectada ".

Sin embargo, está tratando de disfrazarse como si el ejecutable no se ejecutara cuando el otro ejecutable ("inyector (automático) .exe") se ejecutó con éxito.

El siguiente ejecutable ‘inyector (automático) .exe’ es el Poulight Stealer real. Cuando el inyector (automático) .exe se ejecuta en el sistema de destino, una de las primeras cosas que hace es verificar si se está ejecutando en una computadora real o en una máquina virtual. Si se detecta una actividad de máquina virtual, el malware se termina.

Higo 9: Técnica Anti-VM

La función anterior utiliza el clásico Instrumental de administración de Windows (WMI) mediante la ejecución de la consulta "Seleccionar * de Win32_ComputerSystem".

Las siguientes son las pocas comprobaciones que se utilizan para detectar el entorno virtual y el sandboxing.

  • VIRTUAL
  • vmware
  • VirtualBox
  • cmdvrt32.dll (sandbox de Comodo)
  • SxIn.dll (caja de arena de Avast)
  • sbiedll.dll (Sandboxie)
  • Sf2.dll (Avast Sandbox ”
  • snxhk.dll (caja de arena de Avast)

Fig. 10: Módulo principal que envuelve código malicioso

Luego, el malware crea dos carpetas aleatorias en ‘C: Users AppData Local ’Que se usan más tarde. Además, la ruta de carpetas como Desktop, AppData, Local AppData y Documentos se almacena en variables de clase.

Fig. 11: Funciones especiales de creación de carpetas

Luego, la configuración y los parámetros se leen de los recursos. A continuación se muestra el código responsable de la lectura de la configuración y los parámetros. Los parámetros se almacenan en una matriz para su uso posterior.

Fig. 12: Configuración y función de exportación de parámetros

A continuación se muestra la figura de configuración y parámetros decodificados.

Fig 13: configuración decodificada

Se realiza una comprobación de la presencia de un archivo en el directorio% tmp% que indica la preexistencia del malware. Este archivo se utiliza como mutex para evitar la reinfección del mismo sistema en el que ya está presente. Posteriormente, se llama a la función principal responsable de toda la recopilación y exfiltración de información. Esta función se llama "Inicio", que está presente en la clase "xs". La primera función dentro de este "Inicio" es "Información. Detección de AV ()", que se utiliza como sugerencia de nombre, detectando cualquier producto AV instalado. La información del sistema se extrae del registro. Esta información incluye nombre de usuario, nombre de máquina y procesador y controlador de video que pueden usarse para la identificación de máquinas virtuales.

Fig. 14: Función para recuperar la configuración de la máquina víctima

Esta información recopilada se almacena en una de las dos carpetas generadas en Local AppData en un archivo llamado "PC-Information.txt". Una lista de todos los procesos en ejecución también se almacena en el mismo directorio en un archivo llamado "ProcessList.txt".

Fig. 15: Función para recuperar la configuración de la máquina víctima

Después de recopilar información del sistema, ahora comienza a robar datos sensibles de varios programas activamente. A continuación se muestra la lista de capacidades del malware para robar datos de sistemas infectados.

  • Captura de escritorio
  • Captura de webcam
  • Documentos sensibles
  • Credenciales de Filezilla
  • Información de aplicaciones de redes sociales
  • Información de criptomonedas
  • Información del navegador
  • Datos del portapapeles

Fig. 16: Todas las funciones responsables del robo de datos confidenciales.

La función DesktopImg.Start () toma una captura de pantalla del escritorio activo en el sistema. Webcam.start () captura una imagen de la cámara web.

Fig. 17: Función para tomar una captura de pantalla del escritorio activo en la máquina víctima

La clase DFiles es interesante ya que lleva la lista de extensiones de documentos confidenciales para robar datos.

Fig. 18: Función para buscar archivos con extensiones específicas

Los archivos recopilados con estas extensiones se buscan palabras comunes para almacenar credenciales como contraseña e inicio de sesión.

Fig. 19: Lista de palabras comunes buscadas dentro de los documentos.

La función de búsqueda () busca todos los navegadores y hay rutas de datos de inicio de sesión utilizando las funciones string_0 () y BrowList2 ().

Fig. 20: función para buscar todos los navegadores y allí rutas de datos de inicio de sesión

Fig. 21: Funciones que contienen todos los navegadores y hay rutas de datos de inicio de sesión

Toda la información raspada se almacena dentro del directorio Local AppData anterior. A continuación se muestra la gran cantidad de datos confidenciales que ha capturado el ladrón.

Fig. 22: Carpeta que contiene todos los datos robados.

Toda esta información está comprimida en un nuevo archivo en el directorio móvil de AppData.

Fig. 23: Ruta para la información comprimida

Este archivo zip junto con la otra información recopilada se almacena en una estructura de datos única.

Estos datos recopilados se cargan en la URL "http: // f0429164 (.) Xsph.run/Panel/gate.php".

Fig. 24: Función para cargar en la URL la información robada

Después de la carga exitosa de datos, existe una disposición para descargar una carga útil adicional de la siguiente URL "http: // ru-uid-507352920 (.) Pp.ru/example.exe". También se puede usar para la actualización automática.

Fig. 25: Carga útil adicional utilizada para la autoactualización

Quick Heal detecta todos los componentes maliciosos de este malware. El principal "inyector (automático) .exe", es decir, poulight.exe detectado como "Trojan.Stealer.S12567177".

Fig. 26: Detección de inyector (automático) .exe (poulight.exe)

Poulight stealer tiene una capacidad inimaginable para robar información confidencial. El mercado de infostealer es uno de los más lucrativos para los cibercriminales. La información recopilada de los sistemas infectados podría revenderse en el cibercrimen subterráneo o usarse para el ataque de llenado de credenciales. En el futuro, tiene el potencial de convertirse en un ladrón sofisticado e infame mirando la tasa de crecimiento. Sin embargo, por ahora, carece de la ofuscación y de cualquier novedad en su código. No importa qué camino tome, lo supervisaremos.

COI:

Nombre del archivo: minecraft cómo jugar guide.docm MD5: 7FBC52BB2BCE064A51D671C8CA20FB1E

Nombre del archivo: inyector (automático) .exe (Poulight.exe) MD5: 8E855BCB97E9D1DCB2C79C580DCA7F2D

Nombre del archivo: Mess.exe (ET3.exe) MD5: 58386adaea3b5e737144388e6607d8a5

Nombre del archivo: fakerror.exe MD5: 3F4BC3D0287D911603691767C5D372FA

Experto en la materia

Akshay Gaikwad | Rahul Sharma | Laboratorios de seguridad de curación rápida

¿Tienes algo que agregar a esta historia? Compártelo en el



Enlace a la noticia original