En los últimos años, los troyanos móviles han estado suplantando activamente troyanos para computadoras personales, por lo que la aparición de nuevos malware bajo los viejos "autos" buenos y su uso activo por parte de los ciberdelincuentes, aunque es un evento desagradable, pero sigue siendo un evento. Recientemente, el centro de respuesta durante todo el día del CERT Group-IB para incidentes de seguridad de la información registró una lista de phishing inusual, que ocultaba un nuevo malware para la PC, combinando las funciones de Keylogger y PasswordStealer. La atención de los analistas se sintió atraída por la forma en que el spyware llegó a la máquina del usuario, utilizando el popular mensajero de voz.
Ilya Pomerantsev , experto en análisis de malware en CERT Group-IB, contó cómo funciona el malware, por qué es peligroso e incluso encontró a su creador, en el lejano Iraq.
Entonces, vamos en orden. Bajo la apariencia de un archivo adjunto, dicha carta contenía una imagen, al hacer clic, el usuario llegó a
cdn.discordapp.com , y se
descargó un archivo malicioso desde allí.
Usar Discord, un mensajero de voz y texto gratuito, es bastante inusual. Por lo general, se utilizan otros mensajeros o redes sociales para estos fines.
En un análisis más detallado, se estableció la familia HPE. Resultó ser un recién llegado al mercado de malware:
404 Keylogger .
El primer anuncio de venta de keylogger fue publicado en
foros de hackeo por un usuario con el apodo de "404 Coder" el 8 de agosto.
El dominio de la tienda se registró recientemente: 7 de septiembre de 2019.
Como aseguran los desarrolladores en el sitio
404projects [.] Xyz ,
404 , esta es una herramienta creada para ayudar a las empresas a conocer las acciones de sus clientes (con su permiso) o es necesaria para aquellos que desean proteger su archivo binario de la ingeniería inversa. Mirando hacia el futuro, digamos que
404 simplemente no puede hacer frente a la última tarea.
Decidimos redirigir uno de los archivos y verificar qué es "BEST SMART KEYLOGGER".
Ecosistema HPE
Cargador de arranque 1 (AtillaCrypter)
El archivo fuente está protegido con
EaxObfuscator y realiza una descarga de dos pasos de
AtProtect desde la sección de recursos. En el análisis de otras muestras encontradas en VirusTotal, quedó claro que esta etapa no fue proporcionada por el propio desarrollador, sino que fue agregada por su cliente. Se estableció además que este gestor de arranque es AtillaCrypter.
Bootloader 2 (AtProtect)
De hecho, este gestor de arranque es una parte integral del malware y, según el desarrollador, debería asumir la funcionalidad para contrarrestar el análisis.
Sin embargo, en la práctica, los mecanismos de protección son extremadamente primitivos, y nuestros sistemas detectan con éxito este malware.
La carga del módulo principal se lleva a cabo utilizando varias versiones de
Franchy ShellCode . Sin embargo, no excluimos que se puedan usar otras opciones, por ejemplo,
RunPE .
Archivo de configuración
Pin del sistema
La fijación al sistema la proporciona el cargador
AtProtect , si se establece el indicador correspondiente.
- El archivo se copia a lo largo de la ruta % AppData% \\ GFqaak \\ Zpzwm.exe .
- Se crea el archivo % AppData% \\ GFqaak \\ WinDriv.url , iniciando Zpzwm.exe .
- En la rama HKCU \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Run , se crea una clave para iniciar WinDriv.url .
Interacción con C&C
AtProtect Loader
Con el indicador apropiado, el malware puede iniciar el proceso oculto
iexplorer y seguir el enlace especificado para notificar al servidor de una infección exitosa.
DataStealer
Independientemente del método utilizado, la interacción de la red comienza con la obtención de la IP externa de la víctima utilizando
[http]: // checkip [.] Dyndns [.] Org / resource.
User-Agent: Mozilla / 4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
La estructura general del mensaje es la misma. Encabezado actual
| ------- 404 Keylogger - {Type} ------- | , donde
{type} corresponde al tipo de información transmitida.
La siguiente es información del sistema:
_______ + INFORMACIÓN DE VÍCTIMA + _______
IP: {IP externa}
Nombre del propietario: {Nombre del equipo}
Nombre del sistema operativo: {Nombre del sistema operativo}
Versión del sistema operativo: {Versión del sistema operativo}
Plataforma de SO: {Plataforma}
Tamaño de RAM: {Tamaño de RAM}
______________________________
Y finalmente, los datos transmitidos.
SMTP
El tema de la carta es el siguiente:
404 K | {Tipo de mensaje} | Nombre del cliente: {Nombre de usuario} .
Curiosamente, el servidor SMTP de los desarrolladores se utiliza para entregar cartas al cliente
404 Keylogger .
Esto nos permitió identificar algunos clientes, así como el correo de uno de los desarrolladores.
FTP
Cuando se utiliza este método, la información recopilada se almacena en un archivo y se lee desde allí inmediatamente.
La lógica de esta acción no está del todo clara, pero crea un artefacto adicional para escribir reglas de comportamiento.
% HOMEDRIVE %% HOMEPATH% \\ Documentos \\ A {Número arbitrario} .txtPastebin
En el momento del análisis, este método solo se usa para transferir contraseñas robadas. Además, se usa no como una alternativa a los dos primeros, sino en paralelo. La condición es un valor constante igual a "Vavaa". Este es supuestamente el nombre del cliente.
La interacción se lleva a cabo a través del protocolo https a través de la API
pastebin . El valor
api_paste_private es
PASTE_UNLISTED , que prohíbe la búsqueda de tales páginas en
pastebin .
Algoritmos de cifrado
Extraer archivo de recursos
La carga útil se almacena en los recursos del cargador
AtProtect en forma de imágenes de mapa de bits. La extracción se lleva a cabo en varias etapas:
- Se extrae una matriz de bytes de la imagen. Cada píxel se trata como una secuencia de 3 bytes en orden BGR. Después de la extracción, los primeros 4 bytes de la matriz almacenan la longitud del mensaje, el siguiente, el mensaje en sí.
- La clave se calcula. Para hacer esto, MD5 se calcula a partir del valor "ZpzwmjMJyfTNiRalKVrcSkxCN" especificado como contraseña. El hash resultante se escribe dos veces.
- El descifrado se realiza mediante el algoritmo AES en modo ECB.
Funcionalidad maliciosa
Descargador
Implementado en el
gestor de arranque
AtProtect .
- Al contactar con [activelink-repalce], se solicita que el estado del servidor esté listo para entregar el archivo. El servidor debe devolver "ON" .
- Use el enlace [downloadlink-replace] para descargar la carga útil.
- FranchyShellcode inyecta la carga útil en el proceso [inj-replace] .
Un análisis del
dominio 404projects [.] Xyz en VirusTotal reveló instancias adicionales de
404 Keylogger , así como varios tipos de descargadores.
Convencionalmente, se dividen en dos tipos:
- La descarga se realiza desde el recurso 404projects [.] Xyz .
Los datos están codificados en Base64 y cifrados con AES.
- Esta opción consta de varias etapas y es muy probable que se use junto con el cargador AtProtect .
- En la primera etapa, los datos se descargan de pastebin y se decodifican usando la función HexToByte .
- En la segunda etapa, 404projects [.] Xyz en sí mismo sirve como fuente de carga. Las funciones de descompresión y decodificación son similares a las que se encuentran en DataStealer. Probablemente se planeó originalmente para implementar la funcionalidad del cargador de arranque en el módulo principal.
- En esta etapa, la carga útil ya está en el manifiesto de recursos en forma comprimida. Funciones de extracción similares también se encontraron en el módulo principal.
Entre los archivos analizados se encontraron cargadores
njRat ,
SpyGate y otros RAT.
Keylogger
Período de envío de registros: 30 minutos.
Todos los personajes son compatibles. Se escapan caracteres especiales. Hay un procesamiento de claves BackSpace y Delete. Mayúsculas y minúsculas
Clipboardlogger
Período de envío de registros: 30 minutos.
Período de sondeo del buffer: 0.1 segundos.
Implementado enlaces de escape.
Screenlogger
Período de envío de registros: 60 minutos.
Las capturas de pantalla se guardan en
% HOMEDRIVE %% HOMEPATH% \\ Documents \\ 404k \\ 404pic.png .
Después de enviar, la carpeta
404k se elimina.
PasswordStealer
Análisis dinámico contrarrestante
- Verificando el proceso bajo análisis
Se realiza buscando procesos taskmgr , ProcessHacker , procexp64 , procexp , procmon . Si se encuentra al menos uno, el malware se cierra. - Verificación de estar en un entorno virtual
Se lleva a cabo mediante procesos de búsqueda vmtoolsd , VGAuthService , vmacthlp , VBoxService , VBoxTray . Si se encuentra al menos uno, el malware se cierra. - Quedarse dormido por 5 segundos
- Demostración de varios tipos de cuadros de diálogo.
Se puede usar para evitar algunos sandboxes. - Bypass UAC
Esto se realiza editando la clave de registro EnableLUA en la configuración de la directiva de grupo. - Aplicando el atributo Secreto al archivo actual.
- Posibilidad de eliminar el archivo actual.
Características inactivas
Durante el análisis del gestor de arranque y el módulo principal, se encontraron las funciones responsables de la funcionalidad adicional, pero no se utilizan en ninguna parte. Probablemente esto se deba al hecho de que el malware todavía está en desarrollo y pronto se ampliará la funcionalidad.
AtProtect Loader
Se encontró una función responsable de cargar e inyectar un módulo arbitrario en el proceso
msiexec.exe .
DataStealer
- Pin del sistema
- Funciones de descompresión y descifrado
Probablemente, el cifrado de datos durante la interacción de red se implementará pronto.
- Poner fin a los procesos antivirus
- Autodestrucción
- Cargando datos desde el manifiesto de recursos especificado
- Copiando el archivo a lo largo de la ruta % Temp% \\ tmpG \\ [Fecha y hora actual en milisegundos] .tmp
Curiosamente, una función idéntica está presente en el malware AgentTesla.
- Funcionalidad de gusanos
El malware recibe una lista de medios extraíbles. Se crea una copia del malware en la raíz del sistema de archivos multimedia con el nombre Sys.exe . El inicio automático se implementa utilizando el archivo autorun.inf .
Perfil de intrusos
Durante el análisis del centro de comando, fue posible establecer el correo y el apodo del desarrollador: Razer, también conocido como Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Luego se encontró un curioso video en YouTube, que demuestra el trabajo con el constructor.
Esto nos permitió encontrar el canal de desarrollador original.
Quedó claro que tenía experiencia en escribir criptas. También hay enlaces a páginas en las redes sociales, así como el nombre real del autor. Resultó ser un residente de Iraq.
Así es como se supone que es el desarrollador del 404 Keylogger. Fotos de su perfil personal de Facebook.
CERT Group-IB anuncia una nueva amenaza: 404 Keylogger, un centro de monitoreo y respuesta de amenazas cibernéticas (SOC) de 24 horas en Bahrein.