Muy escondido .NET Spyware Camolog roba datos de acceso

Muy escondido .NET Spyware Camolog roba datos de acceso

Siempre que sale un nuevo tipo de malware, la pregunta es, cual es su meta. Actualmente estamos observando un nuevo tipo de .NET spyware sobre el cual no se ha reportado. Este se caracteriza por el uso de fuertes técnicas anti-análisis las cuales se implementan a través del empaquetador Confuser. Aparte de esto, este no invierte bastante tiempo en su camuflaje, dejando a la luz sus intenciones. El spyware recopila datos de acceso de diferentes programas y utiliza un ‘Keylogger’ para acceder a la información.

 

El spyware .NET que hemos denominado Camolog se está extendiendo a través de una campaña de phishing actualmente en curso. Ella trae un keylogger y recoge datos de inicio de sesión de clientes de correo, navegadores, FTP y clientes de mensajería instantánea. Los datos de acceso recopilados de esta manera generalmente son vendidos por ciberdelincuentes o utilizados para el seguimiento después de tales campañas de recopilación de información.

 

Correos de suplantación como “abre latas”

 

Las líneas de asunto y los archivos adjuntos de los correos electrónicos individuales, parte de una ola de correo no deseado bastante grande (ver captura de pantalla) varían ligeramente. Los archivos adjuntos que envían el malware eran en su mayoría entre 400 KB y 1,3 MB de tamaño. La siguiente captura de pantalla muestra uno de estos correos electrónicos de suplantación, la información de contacto ha sido tachada, ya que a menudo se trata de información robada de personas reales.

 

Ejemplo de un correo de suplantación con el cual se entrega el malware.

Ejemplo de un correo de suplantación con el cual se entrega el malware.

 

El correo electrónico de suplantación engañó al destinatario solicitando una oferta y lo motivó a abrir el archivo adjunto. Sin embargo, este contiene un archivo RAR llamado Sample Product 9076_pdf.rar. El archivo oculta el archivo ejecutable .NET SampleProduct9076_pdf.exe, que actúa como un cuentagotas para el spyware y ha sido protegido por una variante de la herramienta de ofuscación de acceso público Confuser.

 

El uso de Confuser se vuelve obvio cuando se abre el malware en .NET Decompiler dotPeek. También el nombre del proyecto usado “dimineata” es notable y se puede utilizar para identificar el malware. Esto se muestra en la siguiente captura de pantalla.

 

A través del .NET Decompiler dotPeek es posible analizar para que se utiliza el Confuser.

A través del .NET Decompiler dotPeek es posible analizar para que se utiliza el Confuser.

 

Sin embargo, el uso de técnicas anti descompiladoras y anti depuradoras dificulta el análisis del malware. La herramienta de análisis IDA Pro se bloquea mientras se carga el archivo binario, los descompiladores específicos de .NET no funcionan correctamente y los depuradores utilizados en análisis dinámicos fallan, por lo que el análisis manual apenas proporciona información. Esta es probablemente una de las razones por las cuales aún no se encuentran informes sobre este spyware.

 

Camolog se opone a una investigación

 

Solo después de ejecutarse en un entorno seguro y supervisado puede obtenerse una visión general del comportamiento del malware. Entre otras cosas, se puede observar que el malware se ejecuta como un proceso llamado “chrome.exe” con la descripción “Accu-Chek 360˚ software de gestión de la diabetes”. Este proceso inicia otro subproceso con el mismo nombre. Posteriormente, el binario original crea una copia de sí mismo como AppData \ Local \ Temp \ iaq \ iaq.exe, inicia su subproceso y luego se elimina.

 

Para cuando se va a cargar el subproceso, sus datos binarios se deben desempaquetar y descifrar por completo en la memoria. La transferencia tiene lugar en forma de una matriz de bytes a la función AppDomain.Load (). Debido a que esta característica es parte de .NET Framework, no se ve afectada por las técnicas anti-análisis de la herramienta de ofuscación y, a diferencia de las funciones de malware, se puede analizar fácilmente. Esto permite que un depurador como dnSpy establezca un punto de interrupción en esta función y descargue el binario del malware cargado por el cuentagotas. Esto será ahora examinado en más detalle a continuación.

 

Exámen del Spyware

Exámen del Spyware

 

El archivo binario del spyware caído se deja cubrir solo por un cambio de nombre aleatorio de las funciones y variables y no por otras técnicas de anti-análisis. Por lo tanto, con un descompilador de .NET se puede generar el código fuente legible de nuevo, que revela el comportamiento del malware.

Hornetsecurity News


Manténgase informado

Suscríbase a Hornetsecurity News para recibir la información más reciente del área Cloud Security.

El spyware recoge mucha información: además de los datos de conexión almacenados en los favoritos del cliente FTP SmartFTP, también recopila contraseñas del cliente WS_FTP, las últimas conexiones usadas de FileZilla, conexiones de sesiones guardadas de WinSCP, y también los datos de conexión de FTPWare.

 

Además, lee los datos de cuenta almacenados en el Instant Messenger Pidgin y las contraseñas de Video Chat Tool Paltalk. Camolog también recopila diligentemente los datos de cuenta de los clientes de correo de Outlook y Thunderbird, así como los datos de inicio de sesión de los navegadores YandexBrowser, ChromePlus y Chromium. Con un keylogger, el spyware también puede registrar información ingresada y contraseñas de cualquier tipo.

 

El Spyware se anida en el sistema creando claves de registro para la ejecución automática de Windows (ver lista de indicadores). A través de estas claves de registro y el proceso en ejecución “chrome.exe”, el malware está muy bien identificado en el sistema.

Todo está bien con Hornetsecurity ATP

 

Con nuestros ingeniosos mecanismos de filtrado de correo no deseado, hemos podido detectar los correos electrónicos de esta campaña desde que aparecieron por primera vez y los filtramos en la nube. Entonces, el spyware no tiene posibilidad de acercarse a la infraestructura corporativa de nuestros clientes. Con Hornetsecurity Advanced Threat Protection, nuestros clientes también disfrutan de protección contra cualquier variación de este malware. Mediante el uso de análisis de comportamiento, la protección de Hornetsecurity ATP es muy superior a la de un filtro de spam tradicional. Aquí hay un extracto del análisis de comportamiento ATP:

 

Evaluación detallada del análisis del Sandbox

Evaluación detallada del análisis del Sandbox

 

Lista de los indicadores para el reconocimiento del malware:

 

Correos de suplantación:

 

Textos de asunto utilizadas en la campaña:

  • Quotation request
  • Quote-Bid Identifier: ITB-0011-0-2018/AM
  • Quote-Bid Identifier: ITB-0014/0015-0-2018/AM
  • Kindly Quote-Bid Identifier: ITB-0016-0-2015/AM
  • Quotation required

 

Adjunto del correo de suplantación – Archivo Win32 RAR:

 

  • Nombre el archivo: Sample Product 9076_pdf.rar
  • SHA256: 5f5e7a57d9500fcece0b7c88c8925bb13243222182e5badddaa2419bda963ca6
  • Adjuntos de otros correos de esta campaña:
    • 30eaa3e9b9390f603d2a349c0a4cf064225eff3ede60a24aab8e69cf67cf83a5  Product sample 0015_pdf.rar
    • 6acf72c636aa9ff2fae225d75eea063c2ee61026151a6c405175dd06e8a5c01f  product sample 0019_pdf.rar
    • a54f7ff3ecf8acccc23fe2c52fd5e58099852f3448dcec67c6deff5fa925a4d5  Sample product 0011_pdf.rar
    • c165676976f9e91738c5b6a3442bf67832a7556e23e49f1a77c115af47b290ee  Sample Product 0014_pdf.rar
    • 97cea5ce28bbebff16251cbde247362915e8f41a89f979ae266c797aff6ef5e6  Sample Product 0016_pdf.rar
    • 5f5e7a57d9500fcece0b7c88c8925bb13243222182e5badddaa2419bda963ca6  Sample Product 9076_pdf.rar
  • Tipo de archivo: RAR archive data, v4, os: Win32
  • Tamaño: 331K
  • Contenido del archivo SHA256: 2feb8a19f44c29a83a0561ca7e38492e1a843add08eda2027a8a7c5041af6de6

 

Cuentagotas del archivo:

 

  • Nombre del archivo: SampleProduct9076_pdf.exe
  • SHA256: 2feb8a19f44c29a83a0561ca7e38492e1a843add08eda2027a8a7c5041af6de6
  • Otros cuentagotas de la campaña:
    • 38782911f7deca093b0e6018fd6c51122a8211c9c446f89de18e6ada85afa0d1  Product sample 0015_pdf.exe
    • 542b6a778489710994aadfaca3b57e0a9c03d2e3b6d5617e3220f364cbde9a45  product sample 0019_pdf.exe
    • 04381c6ecdf618ce122084a56ca5416c6774cba4b34909e95f7a532523c3e877  Sample product 0011_pdf.exe
    • 42992976461c59a4a52e4bf202d4bfcd738408d729ff9cbc55786016cb4075c3  Sample Product 0014_pdf.exe
    • 2a159afdc686df016ee370aeed134f9c4fe44320a32ec2eb25d76270206b5b5a  Sample Product 0016_pdf.exe
    • 2feb8a19f44c29a83a0561ca7e38492e1a843add08eda2027a8a7c5041af6de6  Sample Product 9076_pdf.exe
  • Tipo de archivo: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
  • Tamaño: 429K
  • Nombre del proceso: chrome.exe
  • Descripción: Accu-Chek 360˚ diabetes management software
  • Cuentagotas del archivo SHA256: 67c7840eefb640e70473ebc4bb7dec89f8168d679226be0696708e3427956114
  • String significativa: dimineata.exe
  • Deja además una copia del mismo en C:\Benutzer\analyst\Appdata\Local\Temp\iaq.exe ab

 

Spyware recargado:

 

  • Nombre del archivo: impartial.exe
  • SHA256: 67c7840eefb640e70473ebc4bb7dec89f8168d679226be0696708e3427956114
  • Tipo de archivo: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
  • Tamaño: 58K
  • Nombre del proceso: chrome.exe

 

Llaves de registro, de las cuales se recopila la información:

 

  • HKEY_CURRENT_USER\Software\Microsoft\Windows Messaging Subsystem\Profiles*
  • HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook*
  • HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Profiles\Outlook*
  • HKEY_CURRENT_USER\Software\Paltalk
  • HKEY_CURRENT_USER\SOFTWARE\Martin Prikryl\WinSCP 2\Sessions
  • HKEY_CURRENT_USER\Software\FTPWare\COREFTP\Sites

 

Archivos de los cuales se recopila información:

 

  • C:\Users\Administrator\AppData\Roaming\SmartFTP\Client 2.0\Favorites\Quick Connect\
  • C:\Users\Administrator\AppData\Roaming\Ipswitch\WS_FTP\Sites\ws_ftp.ini
  • C:\Users\Administrator\AppData\Roaming\FileZilla\recentservers.xml
  • C:\Users\Administrator\AppData\Roaming\Thunderbird\profiles.ini
  • C:\Users\Administrator\AppData\Roaming.purple\accounts.xml
  • C:\Users\Administrator\AppData\Local\Chromium\User Data\Default\Login Data
  • C:\Users\Administrator\AppData\Local\MapleStudio\ChromePlus\User Data\Default\Login Data
  • C:\Users\Administrator\AppData\Local\Yandex\YandexBrowser\User Data\Default\Login Data

 

Claves de registro creadas para crear persistencia:

 

  • Entrada autorun del cuentagotas: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\iaq
    • reg_value   C:\Users\ADMINI~1\AppData\Local\Temp\iaq\iaq.exe
  • Entrada autorun del Spyware: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Application
    • reg_value   C:\Users\Administrator\Desktop\chrome.exe -boot
NanoCore – La expansión creativa de un viejo conocido

NanoCore – La expansión creativa de un viejo conocido

No siempre tienen que ser nuevos códigos maliciosos los que los atacantes usan. En varias ocasiones, estos utilizan malware comprobado para sus fines, según cuando les parezca adecuado. No menos importante en estos casos es, sobretodo, la selección del método de esparción para que el software malicioso se deje implementar en la víctima sin ser detectado. Decidimos analizar en detalle el proceso, utilizando como ejemplo el NanoCore.  
NanoCore es un troyano de acceso remoto, que desde 2013 se encuentra disponible para su compra en diferentes versiones como producto final relativamente económico. Troyanos de acceso remoto son un tipo de malware muy peligroso, que le permite a los agresores, controlar y monitorear a distancia los sistemas infectados. En 2015 la versión completa de NanoCore, incluyendo todos sus Plugins, fue quebrada y está, desde entonces, disponible en foros subterráneos de forma gratuita.

Here you can create the content that will be used within the module.

Hornetsecurity News


Manténgase informado

Suscríbase a Hornetsecurity News para recibir la información más reciente del área Cloud Security.

El desarrollador de NanoCore fue arrestado el pasado año y en un juicio bastante emocionante; Este fue condenado a 3 años de prisión.  Este caso es de gran significado ya que por primera vez, el desarrollador de una herramienta de Dual-Use fue condenado, ya que la herramienta no fue utilizada como “uso personal” para piratear. Crucial para la convicción, fue la oferta en foros piratas del software por parte del desarrollador, sabiendo que algunos de sus clientes la utilizarían con fines ilegales.

 

NanoCore no ha pasado de moda y continúa realizando travesuras. Ya que la herramienta ha sido muy bien analizada y, por ende, fácil de identificar por los productos antivirus, los atacantes se ven obligados a ser bastante creativos para el envío del troyano. Para ello, recurren a elaborados métodos para ocultarse.

 

Durante la semana pasada nos fue posible observar un ataque cibernético tipo NanoCore, en el que de forma creativa e inteligente se combinaron diferentes técnicas para enviar e instalar el troyano de acceso remoto. Para ello, los atacantes utilizaron una combinación de métodos de suplantación, un fichero Winrar autoextraíble, y la herramienta legítima de administración AutoIT.

Entrega usando un correo de suplantación

 

El correo de suplantación inicial engaña al destinatario con una oferta de negocio atractiva, la cual supuestamente se encuentra en detalle en un fichero adjunto llamado “inquiry.pdf”. Utilizando los datos de contacto completos, el correo toma un carácter bastante convincente. Ya que estos datos son por lo general verdaderos, los hemos marcado en negro en el pantallazo a continuación.

 

Ejemplo para un correo de suplantación

Ejemplo para un correo de suplantación

 

El adjunto PDF de suplantación aparece como un enlace a Dropbox, pero contiene una URL a través de la cual se descarga un fichero de archivo desde otra fuente.

 

Sitio falsificado de Dropbox con enlace malware

Sitio falsificado de Dropbox con enlace malware

 

En este fichero ZIP “inquiry.zip” se encuentra el archivo “inquiry.scr”. La extensión “scr” es solo una alternativa a la extensión “exe” y fue utilizada anteriormente para archivos ejecutables PE los cuales instalan protectores de pantalla. En este caso se trata de un fichero Winrar autoextraíble, el cual es mal utilizado como malware dropper.

 

Utilización de un archivo autoextraíble

 

Los strings incluidos muestran que el fichero scr es un archivo autoextraíble Winrar. Strings significativos son por ejemplo:

 

  • Software\WinRAR SFX
  • winrarsfxmappingfile.tmp
  • WinRAR self-extracting archive

 

El archivo no se deja extraer manualmente sin fallas. Solo una ejecución del archivo muestra el contenido no dañado del archivo, que consiste en:

 

  • 42 ficheros nombrados de forma aleatoria con finales diferentes, los cuales tienen aproximadamente 500 Bytes y contienen datos ASCII
  • La herramienta de administración legítima AutoIT, renombrada como “mta.exe”
  • Un fichero ASCII, “qoa.docx”, de 951K el cual contiene la configuración para AutoIT
  • Un fichero ASCII, “stt=dsr”, de 3MB que contiene un script ofuscado del AutoIT en un lenguaje script similar – propio VBA-.

 

En Agosto 2015 TALOS reportó un ataque similar, el cual utilizó una combinación de un archivo autoextraíble con AutoIT para la entrega del NanoCore. El ataque tiene diferentes similitudes al ataque que observamos en detalle, lo que deja establecer una relación entre los casos. Un ejemplo, fue la parálisis del ataque por 20 segundos en el momento en que un proceso Avanst fuese detectado. En 2015 se utilizó un macro de Office para el correo de suplantación, mientras que en el caso observado por nosotros se utilizó un PDF. En el caso de las Payloads hay diferencias, como por ejemplo la entrega continua de malware en el análisis al ataque Talos de 2015.

 

Atacantes abusan de la herramienta de automatización AutoIT

 

AutoIT es una herramienta legal, la cual es utilizada para la automatización de tareas administrativas. Para ello, esta proporciona su propio lenguaje de script basado en VBA. La herramienta está disponible gratuitamente y lamentablemente ha sido utilizada frecuentemente por criminales para la instalación de malware, por lo que en ocasiones ha sido clasificada erróneamente como peligrosa.

 

El script de AutoIT en el fichero “stt=dsr” proveniente del archivo ZIP, tiene una técnica AntiAV incorporada la cual paraliza su ejecución en caso que el proceso “avastui.exe” esté corriendo en el sistema. Este lee diferente valores en el fichero de configuración “qoa.docx” en el área de “Settings”. Posteriormente se crea un fichero con un nombre aleatorio en el que se escribe uno de los strings de lectura. Este fichero es igualmente un script AutoIT ofuscado de 272K con el nombre, en nuestro caso, “DIENU”. En este fichero se renombra el string “Settings File Name” con el nombre del fichero de configuración “qoa.docx”. Finalmente el script cambia los atributos de los ficheros extraidos a “hidden” y “read only”, para pasar por desapercibido. AutoIT se inicia y se pasa al script creado “DIENU”, que utiliza el fichero de configuración “qoa.docx”.

 

Comprobación inteligente del sistema antes de la instalación de NanoCore

 

El script “DIENU” realiza algunos cambios en el sistema, como por ejemplo el cambio de la configuración del sistema y entradas de registro. Este busca identificar si está corriendo un VMware o un Virtualbox Sandbox – en este caso, el script se detiene con el fin de evitar un posible análisis. Posteriormente se instala el troyano de acceso remoto, inyectando el código malicioso “RegSvcs.exe” en la memoria de procesos, una herramienta .NET utilizada para la instalación de servicios. Esta técnica se utiliza comúnmente para esconder malware en programas legítimos.

 

Funktionsablauf des NanoCore-Angriffes

Secuencia funcional del ataque NanoCore

 

Flexibilidad de NanoCore gracias a su estructura modular

 

NanoCore está construido de forma modular. Cada uno de los plugins, los cuales se dejan activar y desactivar independientemente el uno del otro, han sido descritos detalladamente por DigiTrust en un artículo. En este caso fueron utilizados dos plugins: el Client Plugin versión 1.2.0.0 y el plugin Surveillance con el numero de versión de producción 1.0.1.7.

 

Los plugins “ClientPlugin.dll” y “SurveillanceExClientPlugin.dll” fueron escritos como ficheros de biblioteca para .NET y velados con la herramienta “Eazfuscator.NET 3.3”. Para dificultar el análisis con el depurador, los métodos cuentan con los atributos “DebuggerHiddenAttribute” y “DebuggerNonUserCode”. Con ello, se le impide la depuración de estos métodos y la configuración de puntos de interrupción (breakpoints).

 

Client-Plugin

 

El Client-Plugin es el elemento básico que se ocupa de la comunicación entre el servidor Command-and-control y la administración de la información recopilada en una colección Key/Value. Opcionalmente, la información puede ser enviada de forma comprimida a través del Pipe al servidor C2. El cliente cuenta con opciones adicionales para cambiar la configuración, plugins, para desinstalarse y para controlar la computadora host, por ejemplo, para apagarla, reiniciarla o para desactivar los mecanismos de seguridad.

 

Surveillance-Plugin

 

El Surveillance-Plugin contiene todas las características necesarias para el monitoreo de la víctima. Así, puede el atacante recopilar contraseñas, logs y registros DNS. La computadora host se puede controlar a través de un Remote-Desktop, y puede grabar entradas clave usando el micrófono o la cámara web.

 

El Surveillance Plugin puede recibir cuatro comandos:

 

  1. Contraseñas: SendTools, EmailClient, InternetBrowser
  2. Logging: (KeyboardLogging, ApplicationLogging, DNSLogging, GetLogs, DeleteLogs, ExportLogs, ViewLogs)
  3. Keyboard: Write, Download, LogToServer
  4. Dns: GetRecords

 

En resumen, se dispone de un conjunto de herramientas muy completo para controlar y monitorear en su totalidad computadoras infectadas.

 

Sin posibilidad de acceso gracias al ATP de Hornetsecurity

 

A pesar de lo sofisticado que son los métodos de ofuscación del ataque NanoCore, la verdadera intención de la herramienta es reconocida por el análisis de comportamiento de Hornetsecurity ATP Sandbox. Este reconoce tanto el desempaquetado y la creación de nuevos ficheros, el proceso de inyección de las DLL de NanoCore en un proceso legítimo, la modificación de las entradas de registro y la comunicación de red.

 

Analysetätigkeiten von Hornetsecurity ATP

Actividades de análisis del ATP de Hornetsecurity

 

Indicadores de compromiso

 

Los siguientes ficheros con los valores hash sha256 fueron utilizados en el ataque. Ya que AutoIT es un software legitimo, no incluimos la herramienta aquí.

 

  • inquiry.pdf** 9c5d693e7c86f8f0c05af495d95a9d6f998ec93bec5c6f8d560d54f8a945f866
  • inquiry.zip** e0d88bab6749297eb1c03ec1e86bb0d9b7e53d10de8c05dcde032e5f040d03a2
  • inquiry.scr** 4a71602852c7a1a2b3c3c9690af9a96b57c622b459e4fff4f34d43c698b034b8
  • DIENU** 5612ac210a8df891f9ed07c5a472beb0d78f1f714f9f37e31320ec1edbc41d9c
  • SurveillanceExClientPlugin.dll** 01e3b18bd63981decb384f558f0321346c3334bb6e6f97c31c6c95c4ab2fe354
  • ClientPlugin.dll** 61e9d5c0727665e9ef3f328141397be47c65ed11ab621c644b5bbf1d67138403
  • qoa.docx** f36603bf7558384d57a9f53dfcd1e727bd6f56d4a664671f06fd5ca1383413d0
  • stt=dsr** 6236beb6702dd8396339fdad8c4539d7e177733a0f7cff1ded06f060895feac1

 

Dominio, desde el cual se descargó el archivo Zip: htXp://ibeitou.com/inquiry.zip

 

Hornetsecurity ATP reporta a Valyria