Ataque con archivos Word protegidos que llegan mediante Spam

Ataque con archivos Word protegidos que llegan mediante Spam

El spam es conocido y, hasta cierto punto, una amenaza más molesta que otra cosa, pero nunca hay que confiarse porque trae sorpresas muy variadas. Lawrence Abrams, investigador de seguridad y colaborador de la web bleepingcomputer.com ha publicado recientemente un análisis de una nueva amenaza distribuida de esta forma, con un archivo de Word que está además protegido por contraseña.

El asunto del email es algo similar a:

Información importante de <nombre del sujeto>

Esto se trata más o menos de lo de siempre, se nos pone los dientes largos con una supuesta suma de dinero que podríamos estar recibiendo pronto si hacemos lo que se nos dice. Alguno pensará que quizá me estoy volviendo loco hablando de esto, que es algo superado y controlado, pero con los datos de tasas de infección en mano os digo: no está superado, al menos no del todo.

Spam conteniendo un archivo word protegido por contraseña

El nombre de los archivos adjuntos se parece a esto:

l_%74kk03ca52q_Troy Watt.docx

Captura del mensaje completo:

Good morning
This contact details ([recipient_email]) was specified as the recipient of the payment. The Transaction should appear in 1 days.

The Passwd is 0qArccIMK. You need to paste it to be able to open the document.

Troy Watt

Es decir, el sujeto usa un anzuelo que pica en la curiosidad humana, se nos dice que debemos introducir la contraseña adjunta en el archivo para ver su contenido. Una burda sensación de seguridad nos invade 😛

Correo basura + Microsoft Word + contraseña

Ante la curiosidad que le provocó dicho correo cuando se lo hicieron llegar, Lawrence lo puso en marcha en un entorno virtualizado para analizarlo.

Petición de contraseña en Word

Tras introducir la contraseña, nada de dinero. Solamente aparecieron 4 documentos embebidos esperando a ser abiertos. Uno de ellos podría ser el ansiado pago, después de todo…

Ciberataques mediante word

Aquí la cosa se vuelve algo chapucera, porque el tal Troy pretende que demos nuestro permiso para ejecutar un archivo JS (sencuencia de comandos JavaScript). De nuevo, seguimos adelante (hay gente que seguro no sabe aún del peligro de estos archivos para el sistema).

open-js-warning

En seguida se ve como aparece un archivo Javascript “ofuscado” en la carpeta %Temp% del sistema, que es ejecutado por el complemento wscript.exe. Cuando se ofusca el código de un programa lo que se busca es ensuciar el código para que no pueda someterse a análisis certeros y así no ser identificado como amenaza.

Archivo Javascript ofuscado

El archivo anteriormente citado a su vez descarga una DLL (Dynamic Linc Library) desde una de las siguientes direcciones, para luego guardarlo en %AppData%.

46.17.40.142/45.txt
www.afripaper.co.za/Readme.txt
vreken.co.za/php.txt

Después, la DLL es procesada por la herramienta regsrv32.exe (parte del sistema) y aparece un mensaje de tipo “debugger” que informa de que una librería se ha instalado en SysWOW64, que no es más que una copia del directorio de Windows, que forma parte de la instalación de Windows por defecto y sobre la que se guardan las variantes de archivos de 32 bits.

debug-data

Detalles de este ataque mediante Spam

Este malware no tuvo durante el análisis un comportamiento invasivo, pero posteriores estudios han demostrado que se dedica a instalar un keylogger de forma silenciosa.

small-strings

Análisis de VirusTotal

IOC – Indicadores de compromiso

JS: https://www.virustotal.com/en/file/f1bf6cb221a30f1bd960ccdd98b53844a5c8032769f208ea40258f9ce562a3f2/analysis/
DLL: https://www.virustotal.com/en/file/4271e0ea664064acc651bf463c41ec5818e00776323e67971634e27c99d91b46/analysis/
Docx: https://www.virustotal.com/en/file/319c106ada3e496a31ecf6d86606c7564d4efaeee34a8074b94d71d2d141020b/analysis/1499883911/

Conexiones de red

46.17.40.142/45.txt
 www.afripaper.co.za/Readme.txt
 vreken.co.za/php.txt

Archivos

%AppData%[random].ogg

Deja tu comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s