El spam es conocido y, hasta cierto punto, una amenaza más molesta que otra cosa, pero nunca hay que confiarse porque trae sorpresas muy variadas. Lawrence Abrams, investigador de seguridad y colaborador de la web bleepingcomputer.com ha publicado recientemente un análisis de una nueva amenaza distribuida de esta forma, con un archivo de Word que está además protegido por contraseña.
El asunto del email es algo similar a:
Información importante de <nombre del sujeto>
Esto se trata más o menos de lo de siempre, se nos pone los dientes largos con una supuesta suma de dinero que podríamos estar recibiendo pronto si hacemos lo que se nos dice. Alguno pensará que quizá me estoy volviendo loco hablando de esto, que es algo superado y controlado, pero con los datos de tasas de infección en mano os digo: no está superado, al menos no del todo.
El nombre de los archivos adjuntos se parece a esto:
l_%74kk03ca52q_Troy Watt.docx
Captura del mensaje completo:
Good morning
This contact details ([recipient_email]) was specified as the recipient of the payment. The Transaction should appear in 1 days.The Passwd is 0qArccIMK. You need to paste it to be able to open the document.
Troy Watt
Es decir, el sujeto usa un anzuelo que pica en la curiosidad humana, se nos dice que debemos introducir la contraseña adjunta en el archivo para ver su contenido. Una burda sensación de seguridad nos invade 😛
Correo basura + Microsoft Word + contraseña
Ante la curiosidad que le provocó dicho correo cuando se lo hicieron llegar, Lawrence lo puso en marcha en un entorno virtualizado para analizarlo.
Tras introducir la contraseña, nada de dinero. Solamente aparecieron 4 documentos embebidos esperando a ser abiertos. Uno de ellos podría ser el ansiado pago, después de todo…
Aquí la cosa se vuelve algo chapucera, porque el tal Troy pretende que demos nuestro permiso para ejecutar un archivo JS (sencuencia de comandos JavaScript). De nuevo, seguimos adelante (hay gente que seguro no sabe aún del peligro de estos archivos para el sistema).
En seguida se ve como aparece un archivo Javascript “ofuscado” en la carpeta %Temp% del sistema, que es ejecutado por el complemento wscript.exe. Cuando se ofusca el código de un programa lo que se busca es ensuciar el código para que no pueda someterse a análisis certeros y así no ser identificado como amenaza.
El archivo anteriormente citado a su vez descarga una DLL (Dynamic Linc Library) desde una de las siguientes direcciones, para luego guardarlo en %AppData%.
46.17.40.142/45.txt www.afripaper.co.za/Readme.txt vreken.co.za/php.txt
Después, la DLL es procesada por la herramienta regsrv32.exe (parte del sistema) y aparece un mensaje de tipo “debugger” que informa de que una librería se ha instalado en SysWOW64, que no es más que una copia del directorio de Windows, que forma parte de la instalación de Windows por defecto y sobre la que se guardan las variantes de archivos de 32 bits.
Detalles de este ataque mediante Spam
Este malware no tuvo durante el análisis un comportamiento invasivo, pero posteriores estudios han demostrado que se dedica a instalar un keylogger de forma silenciosa.
IOC – Indicadores de compromiso
JS: https://www.virustotal.com/en/file/f1bf6cb221a30f1bd960ccdd98b53844a5c8032769f208ea40258f9ce562a3f2/analysis/ DLL: https://www.virustotal.com/en/file/4271e0ea664064acc651bf463c41ec5818e00776323e67971634e27c99d91b46/analysis/ Docx: https://www.virustotal.com/en/file/319c106ada3e496a31ecf6d86606c7564d4efaeee34a8074b94d71d2d141020b/analysis/1499883911/
Conexiones de red
46.17.40.142/45.txt www.afripaper.co.za/Readme.txt vreken.co.za/php.txt
Archivos
%AppData%[random].ogg
