Siempre que sale un nuevo tipo de malware, la pregunta es, cual es su meta. Actualmente estamos observando un nuevo tipo de .NET spyware sobre el cual no se ha reportado. Este se caracteriza por el uso de fuertes técnicas anti-análisis las cuales se implementan a través del empaquetador Confuser. Aparte de esto, este no invierte bastante tiempo en su camuflaje, dejando a la luz sus intenciones. El spyware recopila datos de acceso de diferentes programas y utiliza un ‘Keylogger’ para acceder a la información.

 

El spyware .NET que hemos denominado Camolog se está extendiendo a través de una campaña de phishing actualmente en curso. Ella trae un keylogger y recoge datos de inicio de sesión de clientes de correo, navegadores, FTP y clientes de mensajería instantánea. Los datos de acceso recopilados de esta manera generalmente son vendidos por ciberdelincuentes o utilizados para el seguimiento después de tales campañas de recopilación de información.

 

Correos de suplantación como “abre latas”

 

Las líneas de asunto y los archivos adjuntos de los correos electrónicos individuales, parte de una ola de correo no deseado bastante grande (ver captura de pantalla) varían ligeramente. Los archivos adjuntos que envían el malware eran en su mayoría entre 400 KB y 1,3 MB de tamaño. La siguiente captura de pantalla muestra uno de estos correos electrónicos de suplantación, la información de contacto ha sido tachada, ya que a menudo se trata de información robada de personas reales.

 

Ejemplo de un correo de suplantación con el cual se entrega el malware.

Ejemplo de un correo de suplantación con el cual se entrega el malware.

 

El correo electrónico de suplantación engañó al destinatario solicitando una oferta y lo motivó a abrir el archivo adjunto. Sin embargo, este contiene un archivo RAR llamado Sample Product 9076_pdf.rar. El archivo oculta el archivo ejecutable .NET SampleProduct9076_pdf.exe, que actúa como un cuentagotas para el spyware y ha sido protegido por una variante de la herramienta de ofuscación de acceso público Confuser.

 

El uso de Confuser se vuelve obvio cuando se abre el malware en .NET Decompiler dotPeek. También el nombre del proyecto usado “dimineata” es notable y se puede utilizar para identificar el malware. Esto se muestra en la siguiente captura de pantalla.

 

A través del .NET Decompiler dotPeek es posible analizar para que se utiliza el Confuser.

A través del .NET Decompiler dotPeek es posible analizar para que se utiliza el Confuser.

 

Sin embargo, el uso de técnicas anti descompiladoras y anti depuradoras dificulta el análisis del malware. La herramienta de análisis IDA Pro se bloquea mientras se carga el archivo binario, los descompiladores específicos de .NET no funcionan correctamente y los depuradores utilizados en análisis dinámicos fallan, por lo que el análisis manual apenas proporciona información. Esta es probablemente una de las razones por las cuales aún no se encuentran informes sobre este spyware.

 

Camolog se opone a una investigación

 

Solo después de ejecutarse en un entorno seguro y supervisado puede obtenerse una visión general del comportamiento del malware. Entre otras cosas, se puede observar que el malware se ejecuta como un proceso llamado “chrome.exe” con la descripción “Accu-Chek 360˚ software de gestión de la diabetes”. Este proceso inicia otro subproceso con el mismo nombre. Posteriormente, el binario original crea una copia de sí mismo como AppData \ Local \ Temp \ iaq \ iaq.exe, inicia su subproceso y luego se elimina.

 

Para cuando se va a cargar el subproceso, sus datos binarios se deben desempaquetar y descifrar por completo en la memoria. La transferencia tiene lugar en forma de una matriz de bytes a la función AppDomain.Load (). Debido a que esta característica es parte de .NET Framework, no se ve afectada por las técnicas anti-análisis de la herramienta de ofuscación y, a diferencia de las funciones de malware, se puede analizar fácilmente. Esto permite que un depurador como dnSpy establezca un punto de interrupción en esta función y descargue el binario del malware cargado por el cuentagotas. Esto será ahora examinado en más detalle a continuación.

 

Exámen del Spyware

Exámen del Spyware

 

El archivo binario del spyware caído se deja cubrir solo por un cambio de nombre aleatorio de las funciones y variables y no por otras técnicas de anti-análisis. Por lo tanto, con un descompilador de .NET se puede generar el código fuente legible de nuevo, que revela el comportamiento del malware.

Hornetsecurity News


Manténgase informado

Suscríbase a Hornetsecurity News para recibir la información más reciente del área Cloud Security.

El spyware recoge mucha información: además de los datos de conexión almacenados en los favoritos del cliente FTP SmartFTP, también recopila contraseñas del cliente WS_FTP, las últimas conexiones usadas de FileZilla, conexiones de sesiones guardadas de WinSCP, y también los datos de conexión de FTPWare.

 

Además, lee los datos de cuenta almacenados en el Instant Messenger Pidgin y las contraseñas de Video Chat Tool Paltalk. Camolog también recopila diligentemente los datos de cuenta de los clientes de correo de Outlook y Thunderbird, así como los datos de inicio de sesión de los navegadores YandexBrowser, ChromePlus y Chromium. Con un keylogger, el spyware también puede registrar información ingresada y contraseñas de cualquier tipo.

 

El Spyware se anida en el sistema creando claves de registro para la ejecución automática de Windows (ver lista de indicadores). A través de estas claves de registro y el proceso en ejecución “chrome.exe”, el malware está muy bien identificado en el sistema.

Todo está bien con Hornetsecurity ATP

 

Con nuestros ingeniosos mecanismos de filtrado de correo no deseado, hemos podido detectar los correos electrónicos de esta campaña desde que aparecieron por primera vez y los filtramos en la nube. Entonces, el spyware no tiene posibilidad de acercarse a la infraestructura corporativa de nuestros clientes. Con Hornetsecurity Advanced Threat Protection, nuestros clientes también disfrutan de protección contra cualquier variación de este malware. Mediante el uso de análisis de comportamiento, la protección de Hornetsecurity ATP es muy superior a la de un filtro de spam tradicional. Aquí hay un extracto del análisis de comportamiento ATP:

 

Evaluación detallada del análisis del Sandbox

Evaluación detallada del análisis del Sandbox

 

Lista de los indicadores para el reconocimiento del malware:

 

Correos de suplantación:

 

Textos de asunto utilizadas en la campaña:

  • Quotation request
  • Quote-Bid Identifier: ITB-0011-0-2018/AM
  • Quote-Bid Identifier: ITB-0014/0015-0-2018/AM
  • Kindly Quote-Bid Identifier: ITB-0016-0-2015/AM
  • Quotation required

 

Adjunto del correo de suplantación – Archivo Win32 RAR:

 

  • Nombre el archivo: Sample Product 9076_pdf.rar
  • SHA256: 5f5e7a57d9500fcece0b7c88c8925bb13243222182e5badddaa2419bda963ca6
  • Adjuntos de otros correos de esta campaña:
    • 30eaa3e9b9390f603d2a349c0a4cf064225eff3ede60a24aab8e69cf67cf83a5  Product sample 0015_pdf.rar
    • 6acf72c636aa9ff2fae225d75eea063c2ee61026151a6c405175dd06e8a5c01f  product sample 0019_pdf.rar
    • a54f7ff3ecf8acccc23fe2c52fd5e58099852f3448dcec67c6deff5fa925a4d5  Sample product 0011_pdf.rar
    • c165676976f9e91738c5b6a3442bf67832a7556e23e49f1a77c115af47b290ee  Sample Product 0014_pdf.rar
    • 97cea5ce28bbebff16251cbde247362915e8f41a89f979ae266c797aff6ef5e6  Sample Product 0016_pdf.rar
    • 5f5e7a57d9500fcece0b7c88c8925bb13243222182e5badddaa2419bda963ca6  Sample Product 9076_pdf.rar
  • Tipo de archivo: RAR archive data, v4, os: Win32
  • Tamaño: 331K
  • Contenido del archivo SHA256: 2feb8a19f44c29a83a0561ca7e38492e1a843add08eda2027a8a7c5041af6de6

 

Cuentagotas del archivo:

 

  • Nombre del archivo: SampleProduct9076_pdf.exe
  • SHA256: 2feb8a19f44c29a83a0561ca7e38492e1a843add08eda2027a8a7c5041af6de6
  • Otros cuentagotas de la campaña:
    • 38782911f7deca093b0e6018fd6c51122a8211c9c446f89de18e6ada85afa0d1  Product sample 0015_pdf.exe
    • 542b6a778489710994aadfaca3b57e0a9c03d2e3b6d5617e3220f364cbde9a45  product sample 0019_pdf.exe
    • 04381c6ecdf618ce122084a56ca5416c6774cba4b34909e95f7a532523c3e877  Sample product 0011_pdf.exe
    • 42992976461c59a4a52e4bf202d4bfcd738408d729ff9cbc55786016cb4075c3  Sample Product 0014_pdf.exe
    • 2a159afdc686df016ee370aeed134f9c4fe44320a32ec2eb25d76270206b5b5a  Sample Product 0016_pdf.exe
    • 2feb8a19f44c29a83a0561ca7e38492e1a843add08eda2027a8a7c5041af6de6  Sample Product 9076_pdf.exe
  • Tipo de archivo: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
  • Tamaño: 429K
  • Nombre del proceso: chrome.exe
  • Descripción: Accu-Chek 360˚ diabetes management software
  • Cuentagotas del archivo SHA256: 67c7840eefb640e70473ebc4bb7dec89f8168d679226be0696708e3427956114
  • String significativa: dimineata.exe
  • Deja además una copia del mismo en C:\Benutzer\analyst\Appdata\Local\Temp\iaq.exe ab

 

Spyware recargado:

 

  • Nombre del archivo: impartial.exe
  • SHA256: 67c7840eefb640e70473ebc4bb7dec89f8168d679226be0696708e3427956114
  • Tipo de archivo: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
  • Tamaño: 58K
  • Nombre del proceso: chrome.exe

 

Llaves de registro, de las cuales se recopila la información:

 

  • HKEY_CURRENT_USER\Software\Microsoft\Windows Messaging Subsystem\Profiles*
  • HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook*
  • HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Profiles\Outlook*
  • HKEY_CURRENT_USER\Software\Paltalk
  • HKEY_CURRENT_USER\SOFTWARE\Martin Prikryl\WinSCP 2\Sessions
  • HKEY_CURRENT_USER\Software\FTPWare\COREFTP\Sites

 

Archivos de los cuales se recopila información:

 

  • C:\Users\Administrator\AppData\Roaming\SmartFTP\Client 2.0\Favorites\Quick Connect\
  • C:\Users\Administrator\AppData\Roaming\Ipswitch\WS_FTP\Sites\ws_ftp.ini
  • C:\Users\Administrator\AppData\Roaming\FileZilla\recentservers.xml
  • C:\Users\Administrator\AppData\Roaming\Thunderbird\profiles.ini
  • C:\Users\Administrator\AppData\Roaming.purple\accounts.xml
  • C:\Users\Administrator\AppData\Local\Chromium\User Data\Default\Login Data
  • C:\Users\Administrator\AppData\Local\MapleStudio\ChromePlus\User Data\Default\Login Data
  • C:\Users\Administrator\AppData\Local\Yandex\YandexBrowser\User Data\Default\Login Data

 

Claves de registro creadas para crear persistencia:

 

  • Entrada autorun del cuentagotas: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\iaq
    • reg_value   C:\Users\ADMINI~1\AppData\Local\Temp\iaq\iaq.exe
  • Entrada autorun del Spyware: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Application
    • reg_value   C:\Users\Administrator\Desktop\chrome.exe -boot