English
Español
Falso correo electrónico usurpa la identidad del servicio gusanito.com
En una de nuestras publicaciones anteriores en este blog, se realizó el análisis de una muestra de malware que se distribuía mediante supuestos correos del servicio de postales gusanito.com y recientemente fueron reportados casos similares al UNAM-CERT. A continuación se muestra el falso correo electrónico:
Existe un dato curioso que se presenta tanto en este análisis como en el publicado anteriormente, se trata del código para visualizar la postal (6C8A374345B26C939962505B50572A54), en ambos es el mismo. Dicho código se ha utilizado en la misma plantilla por años para propagar software malicioso.
El servicio de postales gusanito.com ofrece dos formas de consultar las tarjetas que llegan por correo electrónico. En la primera, los usuarios seleccionan la liga que aparece en el cuerpo del mensaje, que en este caso redirigían a la descarga de un archivo ejecutable. En la segunda, deben ingresar al sitio oficial y proporcionar el código en la sección "Recoge tu tarjeta". A continuación se muestra que el código no es válido para visualizar la postal:
Al seleccionar cualquiera de las ligas del supuesto correo, se efectúa una primera redirección hacia el archivo "descargar.php", el cual realiza otra redirección al servicio de archivos "uploader.net" de donde descarga "Postal.scr".
La extensión ".scr" es utilizada generalmente por protectores de pantalla, que son archivos ejecutables de Windows, pero en muchos casos se distribuye software malicioso con dicha extensión. A continuación se muestra el sitio web que alojaba al malware y que pudo haber sido comprometido con esa finalidad:
Al ejecutar la muestra "Postal.scr" en un entorno controlado, inicia el proceso "postal.exe". A continuación se muestran ambos procesos:
Después de unos segundos de haberse iniciado el proceso "postal.exe", se muestra una ventana de alerta sobre un problema en la ejecución de dicho proceso. A continuación se muestran las ventanas que se generan por el error tanto en el sistema Windows XP como en Windows 7:
Los cambios referentes al "Sistema de archivos" y al "Registro de Windows" son:
- La creación de las llaves...
HKU\S-1-5-21-448539723-1770027372-725345543-500\Software\Microsoft\Visual Basic
HKU\S-1-5-21-448539723-1770027372-725345543-500\Software\Microsoft\Visual Basic\6.0
- La creación de la carpeta "RarSFX0".
- La creación del archivo "postal.exe".
En la siguiente imagen se muestra las llaves de registro agregadas, las cuales no contienen ningún valor:
En la ruta C:\Documents and Settings\Administrador\Configuración local\Temp\RarSFX0 se crea el archivo "postal.exe" que al ejecutarse muestra las ventanas de alerta.
A continuación se muestran las firmas md5 de ambos archivos:
ff80fe5805e3006f0e011229b04983d5 *Postal.scr
8984a70d5f07dc0f5ab42a296323c266 *postal.exe
En la inspección de cadenas al archivo "Postal.scr" se muestran indicios sobre un proyecto creado con WinRAR, en este punto podemos suponer que se trata de un instalador.
Con ayuda de la herramienta Exeinfo PE se comprobó que se trataba de un instalador generado con WinRAR.
A continuación se muestra el contenido del archivo "Postal.scr" al abrirse con la aplicación WinRAR:
También se puede usar la aplicación 7-Zip para extraer el archivo "postal.exe":
Con la herramienta "Process Monitor" se pueden observar las llamadas al sistema de cuando "Postal.scr" crea el archivo "postal.exe":
Al usar el comando "file" es posible verificar que el archivo "postal.exe" es un ejecutable de Windows. A continuación se muestra la salida del comando file para Windows:
Al realizar la inspección de cadenas al binario "postal.exe" se encuentran indicios de que puede estar cifrado con el algoritmo RC4.
Para el momento del análisis de la muestra "Postal.src", el reporte de VirusTotal arroja que únicamente 6 de 42 motores antivirus la detectan como maliciosa. A continuación el reporte:
