EspañolVariante de Fareit enviada por mail roba contraseñas FTP
Resumen
En este reporte se muestra el análisis de una variante de la familia Fareit. Este programa malicioso tiene características de dropper, ya que contiene un script batch malicioso que es creado y ejecutado en el equipo infectado, y de spyware, puesto que recopila información sobre las cuentas almacenadas en las aplicaciones FTP, navegadores y clientes de correo electrónico.
Introducción
El programa malicioso que se analiza en este reporte fue enviado por un colega, que nos indicó que la muestra había sido recolectada en su empresa y que, al momento de enviarla al Equipo de Análisis de Malware del UNAM-CERT, era detectada como maliciosa por pocos motores antivirus.
A continuación se muestran detalles de la muestra “ORD 119076 AAB-6674 KARAK-096.exe”:
MD5 Hash: e50372a14010dbba9260914597c615d5
SHA1: 4a52dfea387bfec400927c81280f6a84174659f1
SHA256: 3fc642a5908d7f25880290b43f795ba4cda120440743b12631df94de6f661875
Empaquetado: No
El reporte de VirusTotal se encuentra en este enlace.
Procesos
Al ejecutar la muestra se creó el siguiente árbol de procesos:
ORD 119076 AAB-6674 KARAK-096.exe
CMD.exe
svchost.exe
cmd.exe
Actividad en el sistema de archivos
La muestra crea un archivo con extensión “bat” ”, cuyo nombre está formado por 7 u 8 caracteres numéricos aleatorios, en el directorio C:\Users\<usuario>\AppData\Local\Temp\. Cada vez que la muestra es ejecutada se crea el mismo archivo con distinto nombre, como se puede observar en la imagen:
Éste contiene un ciclo que se repite hasta que se borra el archivo cuyo nombre está almacenado en %1, que es el primer parámetro pasado a 8607484.bat por línea de comando. Por último trata de borrar el archivo referenciado por %0, que contiene el nombre del archivo .bat, es decir, intenta borrarse a sí mismo.
En la siguiente imagen se puede observar que es el proceso cmd.exe el que ejecuta el archivo .bat y que pasa como parámetro la ruta del archivo svchost.exe, es decir, el script trata de borrar el archivo C:\Windows\system32\svchost.exe y, por último, a sí mismo.
También crea dos archivos temporales en C:\Users\<user>\AppData\Local\Temp y copia el contenido del primer archivo en el segundo.
El proceso svchost.exe troyanizado realiza una búsqueda recursiva en los directorios C:\Users\<user>\AppData\Roaming\ y C:\ProgramData tratando de encontrar las aplicaciones de transferencia de archivos por FTP que estén instaladas en el equipo.
También intenta conseguir los archivos que contienen las contraseñas que el usuario almacenó en las siguientes aplicaciones:
* Correo electrónico
- Windows Mail
- Becky Internet Mail
- PocoMail
- Bat! Mail
- Outlook
* Navegadores
- Bromium
- Nichrome
- Comodo Dragon
- RockMelt
Actividad en el registro
La muestra crea la siguiente llave de registro durante su instalación:
Y continúa la búsqueda de software relacionado con la trasferencia de archivos por FTP en las llaves de registro.
La lista completa de las aplicaciones que busca este programa malicioso se muestra a continuación:
| CuteFTP 6 Home | VanDyke Software | FTP Server de RhinoSoft |
| CuteFTP 6 Professional | FTP Rush | LeechFTP |
| CuteFTP 7 Home | Web Site Publisher by Brian | FTPGetter |
| CuteFTP 7 Professional | Cryer | ALFTP |
| CuteFTP 8 Home | BitKinex | AceFTP de Visicom Media |
| CuteFTP 8 Professional | ExpanDrive | BlazeFtp |
| FlashFXP 3 | Classic FTP | FTP++ |
| FlashFXP 4 | Fling File Transfer | 3D-FTP |
| FileZilla Client | FTP Client | NetSarang |
| Bullet Proof FTP | Directory Opus | Robo-FTP 3.7 |
| SmartFTP | LeapFTP | LinasFTP |
| TurboFTP | WinSCP | Cyberduck |
| Sota FFFTP | 32BitFtp | Putty |
| CoffeeCup Software | NetDrive | NppFTP |
| FTPWare | WebDrive FTP Client | FTPInfo |
| FTP Explorer | WISE FTP de AceBIT | WinZip FTP |
| Frigate 3 | Opera FTP Clients |
Una vez que encuentra que uno de los programas de la lista está instalado, busca en las subllaves de forma recursiva para tratar de obtener datos almacenados, como: las contraseñas, nombres de hosts, nombres de usuarios, directorios remotos, puertos, etc.
Busca la ruta del ejecutable de Mozilla Firefox con el valor que tenga PathToExe en la subllave HKLM\SOFTWARE\Mozilla\Firefox.
Revisa la llave HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Url History\ y el valor DaysToGo, que indica cuántos días se debe mantener el historial de páginas visitadas antes de ser borrado. Y el historial en el archivo %systemdir%\Users\%username%\AppData\Local\Microsoft\Windows\Temporary Internet Files\index.dat
Consulta la subllave de registro HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2, donde IE almacena las contraseñas cifradas para autocompletar.
También consulta los certificados del usuario almacenados en el directorio C:\Users\<user>\AppData\Roaming\Microsoft\SystemCertificates\My\Certificates\. El nombre de cada archivo corresponde a su hash SHA1.
Actividad de Red
La muestra realiza peticiones de tipo GET a los dominios ocsp.verisign.com, sf.symcd.com y sf.symcb.com y crl.verisign.com para descargar archivos de revocación de certificados, con extensión “crl” (Certificate Revocation List).
Estos certificados, de acuerdo con este sitio de Microsoft Technet, fueron emitidos por distintas CAs para desarrolladores de software en distintas partes del mundo y son utilizados por algunas variantes de la familia Fareit.
En este caso, la muestra contenía un certificado firmado supuestamente por “TeamViewer” y en la contrafirma, que avala el certificado, se indica que el firmante es “Symantec Time Stamping Services Signer”.
Como se comentó en la sección anterior, esta muestra consulta los certificados almacenados en C:\Users\<usuario>\AppData\Roaming\Microsoft\SystemCertificates\My\Certificates\, posiblemete con la intención de crear copias y enviarlas a su C&C para validar nuevas variantes de Fareit.
Command & Control
Intenta contactar a su C&C (Command and Control) para enviarle los datos recopilados por medio de una petición POST a la URL onxxxxxxember.3eeweb.com.
En la siguiente imagen se observa la conexión establecida por el sistema infectado a la dirección IP del servidor C&C por el puerto 80.
Análisis estático
La muestra únicamente manda a llamar a la función _CorExeMain de la biblioteca MSCorEE.dll (Microsoft Component object runtime Execution Engine). En el caso de un ejecutable .NET, la muestra envía su punto de entrada a la función _CorExeMain y, después de cargar el CLR (Common Language Runtime), recorre los metadatos del programa y ejecuta el punto de entrada del CLR.
Al decompilar el ejecutable con dotPeek, se observó que la muestra estaba ofuscada, utilizando nombres complejos para las variables y funciones con el objetivo de dificultar su análisis.
- Inicie sesión para comentar
English
