Campañas de phishing con Ursnif Trojan en aumento


Escrito por Jyothi Naveen y Kiran Raj

McAfee Labs ha estado observando un aumento en las campañas de phishing que utilizan las capacidades de macro de Microsoft Office. Estos documentos maliciosos llegan a las víctimas a través de campañas masivas de correo electrónico no deseado y generalmente invocan urgencia, miedo o emociones similares, lo que lleva a los usuarios desprevenidos a abrirlos rápidamente. El propósito de estas operaciones de spam es entregar cargas maliciosas a tantas personas como sea posible.

Una campaña de spam reciente estaba usando documentos de texto maliciosos para descargar y ejecutar el troyano Ursnif. Ursnif es un troyano de alto riesgo diseñado para registrar diversa información confidencial. Por lo general, archiva estos datos confidenciales y los envía de regreso a un servidor de comando y control.

Este blog describe cómo los atacantes usan las propiedades de los documentos y algunas otras técnicas para descargar y ejecutar el troyano Ursnif.

Resumen de amenazas

  • El vector de ataque inicial es un correo electrónico de phishing con un documento adjunto de Microsoft Word.
  • Al abrir el documento, VBA ejecuta un shellcode malicioso
  • Shellcode descarga la carga útil remota, Ursnif, e invoca rundll32.exe para ejecutarlo.

Cadena de infección

El malware llega a través de un correo electrónico de phishing que contiene un documento de Microsoft Word como archivo adjunto. Cuando se abre el documento y se habilitan las macros, Word descarga una DLL (carga útil de Ursnif). La carga útil de Ursnif luego se ejecuta usando rundll32.exe

Figura 1- diagrama de flujo de la cadena de infección
Figura 1- diagrama de flujo de la cadena de infección

Análisis de palabras

Las macros están deshabilitadas de forma predeterminada y los autores del malware son conscientes de ello y, por lo tanto, presentan una imagen para atraer a las víctimas para que las habiliten.

Figura 2- Imagen de lo que ve el usuario al abrir el documento
Figura 2- Imagen de lo que ve el usuario al abrir el documento

Análisis macro VBA de documento de Word

El análisis de la muestra de forma estática con ‘oleId’ y ‘olevba’ indica los vectores sospechosos.

Figura 3- Salida de oleide
Figura 3- Salida de oleide
Figura 4- Salida de Olevba
Figura 4- Salida de Olevba

La macro VBA es compatible con las arquitecturas x32 y x64 y está muy ofuscada, como se ve en la Figura 5

Figura 5- Macro de VBA ofuscada
Figura 5- Macro de VBA ofuscada

Para obtener una mejor comprensión de la funcionalidad, hemos eliminado la ofuscación del contenido en las 2 figuras que se muestran a continuación.

Figura 6: macro VBA desofuscada (etapa 1)
Figura 6: macro VBA desofuscada (etapa 1)
Figura 7: macro VBA desofuscada (etapa 2)
Figura 7: macro VBA desofuscada (etapa 2)

Una característica interesante de este ejemplo es que algunas de las cadenas como CLSID, URL para descargar Ursnif y nombres de variables de entorno se almacenan en propiedades de documentos personalizados al revés. Como se muestra en la Figura 7, la función de VBA «ActiveDocument.CustomDocumentProperties()» se usa para recuperar las propiedades y usa «StrReverse» para invertir el contenido.

Podemos ver las propiedades del documento en la Figura-8

Figura 8- Propiedades del documento
Figura 8- Propiedades del documento

Descarga y ejecución de la carga útil:

La macro maliciosa recupera el código de shell oculto de una propiedad personalizada llamada «Compañía» utilizando la función «cdec» que convierte el código de shell de cadena a valor decimal/hexadecimal y lo ejecuta. El código shell se muestra a continuación.

Figura 9- Propiedad de la empresa en bruto
Figura 9- Propiedad de la empresa en bruto

Él código de shell es escrito para la memoria y la protección de acceso se cambia a PÁGINA_EJECUTAR_LEER ESCRIBIR.

Figura 10- Código de VirtualProtect
Figura 10- Código de VirtualProtect
Figura 11: memoria y protección de Shellcode después de llamar a VirtualProtect()
Figura 11: memoria y protección de Shellcode después de llamar a VirtualProtect()

Después agregando el shellcode en la memoria, la variable de entorno que contiene el malicioso URL de Ursnif se crea la carga útil. Esta variable de entorno será más tarde utilizado por el shellcode.

Figura 12- Variable de entorno configurada en el espacio Winword.exe
Figura 12- Variable de entorno configurada en el espacio Winword.exe

El shellcode se ejecuta con el uso de la API SetTimer. SetTimer crea un temporizador con el valor de tiempo de espera especificado mencionado y notifica a una función cuando transcurre el tiempo. los 4el El parámetro utilizado para llamar a SetTimer es el puntero al shellcode en la memoria que se invocará cuando transcurra el tiempo mencionado.

Figura 13- Función SetTimer (Ejecución de shellCode)
Figura 13- Función SetTimer (Ejecución de shellCode)

El shellcode descarga el archivo de la URL almacenada en la variable ambiental y lo almacena como «y9C4A.tmp.dll» y lo ejecuta con rundll32.exe.

URL hxxp://docmasterpassb.top/kdv/x7t1QUUADWPEIQyxM6DT3vtrornV4uJcP4GvD9vM/
CMD rundll32 “C:\Usuarios\usuario\AppData\Local\Temp\y9C4A.tmp.dll”,DllRegisterServer
Figura 14- Exportaciones de DLL descargadas
Figura 14- Exportaciones de DLL descargadas

Después de la ejecución exitosa del shellcode, se elimina la variable de entorno.

Figura 15- Eliminación de la variable de entorno
Figura 15- Eliminación de la variable de entorno

COI

TIPO VALOR PRODUCTO NOMBRE DE DETECCIÓN
Documento principal de Word 6cf97570d317b42ef8bfd4ee4df21d217d5f27b73ff236049d70c37c5337909f McAfee LiveSafe y Protección Total X97M/Descargador.CJG
DLL descargado 41ae907a2bb73794bb2cff40b429e62305847a3e1a95f188b596f1cf925c4547 McAfee LiveSafe y Protección Total Ursnif-FULJ
URL para descargar dll hxxp://docmasterpassb.top/kdv/x7t1QUUADWPEIQyxM6DT3vtrornV4uJcP4GvD9vM/ Asesor web Obstruido

Marco de ataque MITRE

Identificación de la técnica Táctica Detalles de la técnica Descripción
T1566.001 Acceso inicial Adjunto de phishing selectivo Ejecución manual por el usuario
T1059.005 Ejecución básico visual Macros maliciosas de VBA
T1218.011 Evasión de defensa Abuso binario firmado Se utiliza Rundll32.exe
T1027 Evasión de defensa Técnicas de ofuscación Ejecuciones VBA y powershell base64
T1086 Ejecución Ejecución de Powershell Abuso de comandos de PowerShell

Conclusión

Las macros están deshabilitadas de forma predeterminada en las aplicaciones de Microsoft Office, sugerimos mantenerlas así a menos que el documento se reciba de una fuente confiable. La cadena de infección discutida en el blog no se limita a Word o Excel. Otras amenazas pueden usar otras herramientas de vida fuera de la tierra para descargar sus cargas útiles.

Los clientes de McAfee están protegidos contra los archivos y sitios maliciosos detallados en este blog con McAfee LiveSafe/Total Protection y McAfee Web Advisor.

La publicación Campañas de phishing con Ursnif Trojan on the Rise apareció primero en McAfee Blog.



Enlace a la noticia original