UPS Malware

el

El tema del correo sigue siendo una vía de infección. Los ciber criminales se encargan de mandar correos simulando ser una empresa, o un servicio de cualquier tipo para que al final abras un enlace de un servidor donde te descargues un malware. Este malware puede actuar de dropper o bien ser la pieza de malware en si misma.

Uno de los casos que recibí antes de navidades era de UPS

Es raro, porque yo no esperaba ningún paquete de UPS.. un poco raro ¿No?En la imagen había un link que te llevaba a un HTML, como ya conozco las cosas que pasan, me descargué el HTML aparte primero.
darkmac:Downloads marc$ more BEMDDFHOHH.html<html><body><script language=”JavaScript”><!–window.location=”Shipping_Label_USPS.zip”;//–></script></body></html>
Parece que el HTML hace que te descargues un archivo ZIP, me lo descargo igualmente.Antes de abrir el ZIp, miro las cabeceras del correo.Vaya… parece que los japoneses están involucrados…Si descomprimimos el ZIP hay un icono de PDF. Aunque está claro que es un exe lo que hay dentro del ZIP y que simula ser un PDF.
darkmac:Downloads marc$ file Shipping_Label_USPS.exeShipping_Label_USPS.exe: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
El usar ingeniería social para cambiar los iconos también es un práctica habitual.Si ejecutamos la muestra en un entorno controlado, vemos que el supuesto PDF se conecta a muchos sitiosVaya, me sorprendieron la cantidad de hosts a los que se conectaba la muestra.Todos los hosts estaban blacklisted, por lo que se sabe que no hay nada bueno si se conectan ahí.Si miramos las características del binario
File Name:    Shipping_Label_USPS.exeFile Size:    82944 byteCompile Time:    1992-06-20 00:22:17DLL:        FalseSections:    8MD5   hash:    1b5c32dd2c13a49a055b47b0cc0f5d66SHA-1 hash:    f3da4ebf27a10d873e8c827ee00880f18608981dPacker:        Borland Delphi 3.0 (???)Anti Debug:    YesAnti VM:    NoneFile and URL:FILE:        kernel32.dllFILE:        kernel32.dllFILE:        kernel32.dllFILE:        user32.dllFILE:        advapi32.dllFILE:        oleaut32.dllFILE:        kernel32.dllFILE:        kernel32.dllFILE:        user32.dllFILE:        Windows.ComURL:        NoneSuspicious API Functions:Func. Name:    VirtualAllocFunc. Name:    LoadLibraryExAFunc. Name:    GetStartupInfoAFunc. Name:    GetProcAddressFunc. Name:    GetModuleHandleAFunc. Name:    GetModuleFileNameAFunc. Name:    GetCommandLineAFunc. Name:    FindFirstFileAFunc. Name:    WriteFileFunc. Name:    UnhandledExceptionFilterFunc. Name:    RegOpenKeyExAFunc. Name:    RegCloseKeyFunc. Name:    GetModuleHandleAFunc. Name:    WriteFileFunc. Name:    GetVersionExAFunc. Name:    GetProcAddressFunc. Name:    GetModuleHandleAFunc. Name:    GetModuleFileNameASuspicious API Anti-Debug:Anti Debug:    UnhandledExceptionFilterSuspicious Sections:Sect. Name:    BSSMD5   hash:    d41d8cd98f00b204e9800998ecf8427eSHA-1 hash:    da39a3ee5e6b4b0d3255bfef95601890afd80709Sect. Name:    .tlsMD5   hash:    d41d8cd98f00b204e9800998ecf8427eSHA-1 hash:    da39a3ee5e6b4b0d3255bfef95601890afd80709Sect. Name:    .rdataMD5   hash:    35d8e15c75a6ddb8444fd827d3c39abbSHA-1 hash:    bda56a11898e99a2c6f33dd25f8007a15c36fe41
Está desarrollado el Delphi y contiene funciones antidebug.Sin duda, otra pieza de malware que llega a través de los correos electrónicos.. por suerte, este no paso el filtro :D