Documento en Microsoft Word contiene código malicioso embebido

 

Resumen:

 

En días recientes, se han propagado por correo electrónico archivos con formato para Microsoft Word supuestamente provenientes de entidades legítimas como el SAT (Servicio de Administración Tributaria), Bancomer, Banamex, Banorte, HSBC, El Universal, MercadoLibre, Telcel, Liverpool, Profeco, Aeroméxico y Telmex. Si el usuario descarga el archivo adjunto y lo abre, verá las instrucciones de cómo habilitar las "macros" de Office dependiendo la versión que tenga instalada en su equipo de cómputo. En el siguiente análisis se mostrará el código Visual Basic embebido en el archivo "RETIRO-COMPRA_29882.doc" que descarga y ejecuta la pieza de malware "ss.exe".

 

 

 

Algunas configuraciones en los servidores de correo permiten el uso de cuentas sin la necesidad de autenticación, o bien, mediante la personalización de algunos parámetros SMTP (protocolo que usa un servidor de correo electrónico, del inglés Simple Mail Transfer Protocol) se puede aparentar un remitente que no es el original.

 

 

 

Análisis estático:

 

Las firmas md5 y sha1 para el archivo "RETIRO-COMPRA_29882.doc" son:

- md5: aed28519bd375da9c04d72cceacb53b4

- sha1: 0683df9f31acaee756c06a6e0e3cd2f0f53b15d1

 

 

 

Para el análisis de este archivo sospechoso en Microsoft Office se utilizó la herramienta de línea de comandos "OfficeMalScanner" con la opción "info" que localiza código para "macros" en Visual Basic.

Las "macros" son una serie de instrucciones en lenguaje de programación Visual Basic que se utilizan para automatizar tareas que se realizan con frecuencia.

 

 

 

La herramienta forense encuentra código VB-Macro que extrae automáticamente en la carpeta "RETIRO-COMPRA_29882.DOC-Macros" en el archivo "ThisDocument".

 

 

 

El archivo "ThisDocument" puede abrirse con cualquier editor de texto y mostrará el código Visual Basic. A continuación se muestra la declaración de la función "URLDownloadToFileA":

 

 

 

En la subrutina "BNYNDP( )" se llama a la función "HYZCXZ( , )" que recibe dos argumentos: "eregi(250)" y "eregi(350)", dichos valores se utilizarán posteriormente en el código para realizar acciones mediante su comparación.

 

 

 

Si la función "eregi( )" recibe como argumento el valor "250" se efectúa la descarga del software malicioso "ss.exe" y en caso de recibir como argumento el valor "350" el archivo "GSTOUF.exe" se almacenará en la ruta de la variable de entorno %temp%.

 

 

 

 

El archivo binario "ss.exe" se encontraba alojado en un servidor web de Chile.

 

 

 

En la misma carpeta donde se alojaba el ejecutable, se encontraron los siguientes archivos:

- hosts.txt

- ip.txt

- ss.php

- stats.txt

 

 

 

El archivo "hosts.txt" contiene los dominios o las direcciones IP públicas de los equipos infectados.

 

 

 

El archivo "ip.txt" contiene las direcciones IP públicas de los equipos infectados.

 

 

 

El archivo "ss.php" es una redirección a la descarga del archivo malicioso "ss.exe".

 

 

 

El archivo "stats.txt" registra el número de infecciones y descargas manuales del archivo ss.exe por país.

 

 

 

El sitio web donde se aloja archivo ejecutable y las bitácoras aparentemente se encuentra en mantenimiento.

 

 

 

 

Análisis dinámico:

 

El archivo "RETIRO-COMPRA_29882.doc" se abrió con la versión de Microsoft Office 2007 en un entorno controlado. Al ser la primera vez que se abre el archivo, sólo se muestra el proceso WINWORD.EXE en Process Explorer.

 

 

 

Al inicio del documento se muestra el mensaje "El contenido no puede ser mostrado." e informa al usuario que debe habilitar las Macros de Microsoft Word, cerrar el documento y volverlo a abrir. Esto con la finalidad de poder ejecutar el código malicioso embebido en el archivo.

 

 

 

En el resto del archivo se muestran las instrucciones para habilitar las "macro" en las versiones 2000, 2003, 2007 y 2010 de Microsoft Word.

 

 

 

Para continuar con el análisis dinámico del archivo malicioso, se habilitaron las "macro", se cerró el archivo y se volvió a abrir.

 

 

 

Al abrir por segunda ocasión el archivo en Microsoft Word, se observa actividad de red donde se establece una conexión al puerto 80.

 

 

 

Después de unos segundos aparece el subproceso "GSTOUF.exe" alojado en la carpeta de archivos temporales, así como se había definido en el código en Visual Basic.

 

 

 

En la actividad del sistema de archivos registrada por la herramienta "RegShot" solo muestra la descarga del archivo "ss.exe" en una carpeta temporal de los archivos de Internet. Lo anterior se debe a que el archivo generado en la ruta de la variable de entorno %temp% se ejecuta y se borra a sí misma.

 

 

 

A continuación se muestra el ejecutable que fue descargado por el archivo "RETIRO-COMPRA_29882.doc":

 

 

 

En el seguimiento de llamadas al sistema del programa en ejecución "WINWORD.EXE" se puede corroborar que una vez que establece conexión con el servidor web que aloja al malware "ss.exe" lo descarga y posteriormente lo copia a %temp%.

 

 

 

 

A continuación se muestran las llamadas al sistema de la creación del archivo "GSTOUF.exe":

 

 

 

En el tráfico de red se muestra la petición por método GET para solicitar el archivo "ss.exe".

 

 

 

Finalmente, al cerrar el archivo "RETIRO-COMPRA_29882.doc" se muestra el siguiente mensaje de error, el cual también se encontraba definido dentro de las acciones del código en Visual Basic:

 

 

 

Para el momento del análisis, VirusTotal indica que 8 de 49 motores antivirus detectan a "RETIRO-COMPRA_29882.doc" como malicioso. A continuación el reporte: