29 oct 2012

Infección de malware por correo electrónico por la entrega de un paquete

El título es bastante extenso pero básicamente se basa en eso, he recibido un correo electrónico el cual me comentan que me van a entregar un paquete, el correo tiene el siguiente aspecto:

Vaya, parece que me tienen que entregar un paquete.

Además viene con un fichero adjunto, al extraerlo, nos encontramos con un .exe. Si es que… los malos siempre haciendo estas cosas :P

Si le pegamos un vistazo al exe, obtenemos la siguiente información:

seifreed@darkmac:~/Desktop:python /Users/seifreed/tools/malware/peframe/peframe.py –auto FedEx_Label_ID_Order_83-27-4534US.exeFile Name: FedEx_Label_ID_Order_83-27-4534US.exeFile Size: 372736 byteCompile Time: 2012-06-13 21:41:18DLL: FalseSections: 4MD5 hash: 725ed35f2581eb3b07cb3d2846c46dd6SHA-1 hash: f44b5b3bc5705c508db1af48ace2bf19528a4cf4NoneAnti Debug: YesFile and URL:FILE: user32.dllFILE: KERNEL32.dllFILE: USER32.dllFILE: WINMM.dllURL: NoneSuspicious API Functions:Func. Name: GetModuleHandleAFunc. Name: VirtualAllocFunc. Name: GetProcAddressFunc. Name: GetStartupInfoAFunc. Name: GetCommandLineAFunc. Name: TerminateProcessFunc. Name: UnhandledExceptionFilterFunc. Name: GetModuleFileNameAFunc. Name: WriteFileFunc. Name: LoadLibraryAFunc. Name: LoadLibraryASuspicious API Anti-Debug:Anti Debug: TerminateProcessAnti Debug: UnhandledExceptionFilterSuspicious Sections:Sect. Name: .dataMD5 hash: 65a101d4156dd08f4e97f722d7439573SHA-1 hash: 489c6863ae751bb6f02769ae3841497b6be7d74e

Parece que el archivo se ha creado hace relativamente poco, además contiene funciones anti-debug.

Ejecuté el binario en máquina virtual con vmware fusion y empecé a capturar las conexiones con el cutre script :P

Se podía ver como el malware intenta conectarse a otro servidor:

Como no es tan cómodo como verlo en Wireshark, lo abriremos con él, después de revisar, vamos a ver a donde se conecta:

También se pueden extraer las URL guardadas del pcap con el parser de pcap:

seifreed@darkmac:~/Desktop:sudo python /Users/seifreed/tools/utils/Parse-pcap/parse_pcap.py malware.pcapPassword:Wed, Sep 19, 11:44:46 PMhttp://java.sun.com/update/1.5.0/map-1.5.0.xmlWed, Sep 19, 11:44:46 PMhttp://javadl-esd.sun.com/update/1.5.0/map-1.5.0.xmlWed, Sep 19, 11:44:47 PMhttp://java.sun.com/update/1.5.0/map-1.5.0.xmlWed, Sep 19, 11:44:47 PMhttp://javadl-esd.sun.com/update/1.5.0/map-1.5.0.xmlWed, Sep 19, 11:44:47 PMhttp://javadl-esd.sun.com/update/1.6.0/au-descriptor-1.6.0_35-b10.xmlWed, Sep 19, 11:45:30 PMhttp://116.255.235.9/api/urls/?ts=94d1a74c&affid=14433

En este caso no se ha podido seguir con el análisis de la muestra ya que el panel de control donde se conecta la muestra está caído.

Como tengo la IP donde se conecta, quise comprobar si esa IP estaba blacklisted:

La IP se encuentra en 5 listas blacklisted.

He subido el binario a Virus Total, así tenemos mas info sobre él:

Vaya, parece que también tiene un packer… interesante binario para realizar el análisis estático de la muestra mas tarde.

Por último el ratio de detección por parte de los antivirus han sido:

Es un ratio de detección muy alto.

Como véis de una manera muy rápida se ha podido hacer un análisis inicial de la muestra ;)

4 comentarios:

  1. [...] El título es bastante extenso pero básicamente se basa en eso, he recibido un correo electrónico el cual me comentan que me van a entregar un paquete, el correo tiene el siguiente aspecto: Vaya, parece que me tienen que entregar un paquete.  [...]

    ResponderEliminar
  2. Excelente analisis, a mi tb me han llegado alguno de estos mails para recoger un paquete, aunque en español, tela, ponia hasta un domicilio que no existe, directamente lo denuncio al GDT y aunque se q no van a hacer nada por lo menos q quede constancia... aun asi, si tienes el av actualizado es muy dificil q te infecten aunq la gente ya se sabe como tiene el pc... gracias por tu analisis, esta genial, saludos

    ResponderEliminar
  3. Muy interesante, una pregunta directamente descargaba el .exe o era un pdf modficado?

    ResponderEliminar
  4. [...] Marc arranca la semana hablándonos sobre Infección de malware por correo electrónico por la entrega de un paquete [...]

    ResponderEliminar