PDF de programación - Análisis de un malware brasileño - ¿Qué tienen en común un troyano bancario, Google Chrome y un servidor de gobierno?

Análisis de un malware brasileño
¿Qué tienen en común un troyano bancario, Google
Chrome y un servidor de gobierno?



Índice

Autor: ............................................................................................................................................................................................................ 2

Co-autores: .................................................................................................................................................................................................... 2

Introducción .................................................................................................................................................................................................. 3

Instalación: Ingeniería Social y dropper ......................................................................................................................................................... 4

Archivo ejecutable ..................................................................................................................................................................................... 4

Método Tempo_Tick ................................................................................................................................................................................. 6

Método GetResourceFile ........................................................................................................................................................................... 7

Manifest.json: permisos del plugin .......................................................................................................................................................... 9

Service.js: el inicio del payload ............................................................................................................................................................... 10

Método beforeNavigate ......................................................................................................................................................................... 11

Método navigationCompleted ............................................................................................................................................................... 12

Robo de información del usuario ........................................................................................................................................................... 13

Servidor brasileño comprometido ............................................................................................................................................................... 15

Reportes ...................................................................................................................................................................................................... 17

Conclusión ................................................................................................................................................................................................... 18

Muestras analizadas .................................................................................................................................................................................... 19



Autor:

Fernando Catoira – Security Analyst de ESET Latinoamérica

Co-autores:

Pablo Ramos – Security Researcher de ESET Latinoamérica

Sebastian Bortnik – Gerente de Educación y Servicios de ESET Latinoamérica



Robo de datos bancarios involucra dominio gov.br - Comprometiendo la seguridad de tu navegador



Introducción

El malware ha evolucionado y, en la actualidad, busca robar información de la víctima con el mayor sigilo posible, de tal modo
que el usuario no advierta que su equipo está infectado. En esta investigación, hemos identificado una amenaza particular que
apela a tácticas combinadas de spam para su propagación, y la utilización de navegadores y plugins correspondientes para llevar
a cabo las acciones maliciosas (metodología ya conocida en amenazas como Theola). Finalmente, el malware bajo análisis
aprovecha un servidor benigno y legítimo para enviar la información robada.

A principios de mayo, el Laboratorio de Investigación de ESET Latinoamérica recibió una muestra que llamó la atención de
nuestros investigadores, debido a que se estaba propagando a través de spam con una característica muy particular: utilizaba un
servidor gubernamental de Brasil para enviar la información robada.

Anteriormente, hemos destacado que una tendencia para 2013 iba a ser la utilización de servidores web legítimos para alojar
códigos maliciosos. En este caso, se utiliza un servidor sin la necesidad de comprometerlo, tomando un servicio que no posee los
controles adecuados para que no sea manipulado por un tercero. De esta forma, el ciberdelincuente busca el anonimato e
intenta disponer de todas las funcionalidades posibles a través de servidores legítimos, con el fin de disipar cualquier tipo de
sospecha a partir de la buena reputación de los mismos.

El presente artículo es el resultado de la investigación de esta amenaza. En las siguientes páginas podrán conocer toda la
información que hemos adquirido en el análisis, lo que posibilitó detectar una segunda característica de valor: la amenaza utiliza
como método de ejecución las extensiones del navegador, una característica que probablemente veamos con mayor frecuencia
en los códigos maliciosos.

Además, se detallará cómo se instala la amenaza, a qué navegadores afecta y cómo utiliza un servidor gubernamental para su
ejecución, entre otras cuestiones.



Robo de datos bancarios involucra dominio gov.br - Comprometiendo la seguridad de tu navegador



Instalación: Ingeniería Social y dropper

El código malicioso se propaga a través de un archivo ejecutable utilizando técnicas de Ingeniería Social para infectar a la mayor
cantidad de usuarios posibles. Dicho ejecutable es un dropper, es decir, un archivo que instala otros archivos en el sistema para
lograr el funcionamiento completo del código malicioso. La muestra recibida por el Laboratorio de Investigación de ESET
Latinoamérica, cuyo nombre es “MulheresPerdidas.exe”, está desarrollado en .NET, el popular framework de desarrollo de
Microsoft. Para su análisis, inicialmente se procedió al desensamblado a fin de identificar las acciones de la amenaza.

Archivo ejecutable

Durante la carga de este archivo, se ejecuta el código correspondiente al evento Load. Este proceso analiza los permisos de
administrador, y en caso de que se esté corriendo con los máximos privilegios del sistema, se verifica que el sistema operativo
sea Microsoft Windows Vista o superior (esto debe verificarlo para que pueda ejecutarse el framework anteriormente
mencionado). Si ambas comprobaciones resultan exitosas, se procede a la infección del sistema. Para poder realizar la elevación
de privilegios, el código malicioso utiliza el comando “runas” (ejecutar como).


Imágen 1 – Código fuente del archivo ejecutable



Robo de datos bancarios involucra dominio gov.br - Comprometiendo la seguridad de tu navegador



Además, en el caso de que no exista una copia del código malicioso sobre la carpeta temporal, se copia a sí mismo en el mencionado
directorio con el nombre “svmb60.exe”.


Imágen 2 – Contenido de la carpeta temporal



Asimismo, dentro del archivo existen diversos métodos que llevan a cabo tareas específicas. Estos métodos y sus funcionalidades serán
tratados en detalle en las próximas secciones.



Robo de datos bancarios involucra dominio gov.br - Comprometiendo la seguridad de tu navegador



Método Tempo_Tick

Este método se encarga de modificar diversas claves de registro para permitir la correcta ejecución del código malicioso. Además,
también deshabilita ciertas protecciones del sistema operativo y chequea errores con la finalidad de lograr la ejecución del
malware sin problemas.

En el registro, ingresa una nueva entrada correspondiente a una DLL nombrada “Vaio.dll”, otra técnica de Ingeniería Social para
pasar inadvertido y simular ser una librería legítima. El código malicioso utiliza también nombres correspondientes a otros
productos o marcas, a fin de confundir a la víctima. Específicamente, existen archivos con el nombre de Skype o Microsoft, entre
otros.

Finalmente, copia todos los archivos que proveen las diversas funcionalidades del código malicioso en la carpeta “Google” dentro
de la carpeta temporal del sistema, luego de validar la existencia de Google Chrome en la entrada de registro “App Paths”.


Imágen 3 – Entrada del registro de App Paths



Otro dato relevante, es la creación de una entrada para la ejecución de la amenaza ante el reinicio del sistema. Básicamente,
luego de realizar un reinicio, se instalan las extensiones que utilizarán Google Chrome para robar la información de la víctima. En
la siguiente imagen, se visualiza la entrada en el registro correspondiente a la extensión maliciosa en la carpeta Google:


Imágen 4 – Entrada del registro de Windows



Robo de datos bancarios involucra dominio gov.br - Comprometiendo la seguridad de tu navegador



Si el archivo se ejecuta nuevamente y hay una instancia en memoria del mismo, se despliega una ventana que engaña a la víctima
para que crea que se trata de un error en el extractor de WinZip, como se puede apreciar en la imagen a continuación:


Imágen 5 – Falsa ventana de error de WinZip



En el análisis del código desensamblado se