Campaña de infección por el downloader Upatre y el troyano Dyre a través de correos electrónicos

Resumen

En este reporte se muestra el análisis de una variante de Upatre, que es un troyano de tipo downloader, cuya función principal es descargar otros archivos desde servidores remotos, entre ellos una muestra de la familia Dyre. Estas variantes son enviadas a través de correos spam como archivos adjuntos.

 

Introducción

En los últimos días nos han reportado varios correos electrónicos, tanto en español como en inglés, donde se le indica al usuario que descargue el archivo adjunto con extensión “zip”. El contenido de los mensajes varía pero los que se han observado están relacionados con:

·         Pagos recibidos

·         Mensajes seguros o “cifrados”

·         Actualización de información

·         Fax recibidos

 

El correo con el que se envió la muestra analizada se puede observar en imagen del inicio.

Una vez que el usuario descarga y descomprime el archivo adjunto, se puede observar que la muestra tiene un ícono similar al de los archivos PDF y extensión “exe” o “scr”.

 

 

A continuación se muestra el análisis detallado de la “details.exe”, que venía como archivo adjunto en el correo electrónico mostrado anteriormente.  

En sus propiedades se indica que la versión del ejecutable es 1.0.5.2 y que su idioma es polaco, aunque esto no necesariamente da indicios del origen de la muestra. El hash MD5 del ejecutable malicioso es 9d1d9c866ee1c3d4124980dc772a64eb y el reporte de VirusTotal se encuentra en este enlace.

 

El análisis de cadenas con BinText mostró las siguientes líneas, que parecen ser un mensaje del desarrollador de la muestra:

 

Utilizando Resource Hacker se encontraron algunos recursos, como un cuadro de diálogo con un fragmento del cuento “Eveline” escrito por James Joyce.

 

Y detalles del ejecutable que no se pueden ver en las propiedades del archivo, como el nombre original de la muestra.

 

 

Actividad de Red

La muestra revisa constantemente su conectividad a Internet haciendo peticiones a sitios como google.com y checkip.dyndns.org, el cual regresa la IP pública del equipo. Si obtiene respuesta de “checkip.dyndns.org”, envía una petición GET a la dirección IP 94.41.208.125, que es suC&C, con el nombre del equipo infectado. La cadena “0902uk12” es el identificador de la campaña, en este caso se refiere a la novena campaña en el Reino Unido, como se menciona en estos reportes:   [1]     [2].

 

Esta IP es de origen ruso y, como se muestra en el reporte de VirusTotal, está relacionada con actividad maliciosa proveniente de otras variantes de la familia Upatre.

 

Descarga de archivos

Después, intenta descargar el archivo arrowb.jpg desde los dominios sxxxphael.org.uk y canxxxake.com.mx. El comando file indica que el archivo “arrowb.jpg” es de tipo “data” y, como se puede observar en la siguiente imagen, no contiene un identificador o número mágico conocido.

 

Las direcciones IP de los dominios mencionados se muestran a continuación:

65.xx.205.xx                      canxxxake.com.mx

91.xx.216.xx                      sxxxphael.org.uk

 

Servidor C&C

Una vez que este archivo es descargado la muestra envía otra petición GET a su C&C. El User-Agent “Mazilla/5.0” es otro indicador de infecciones por Upatre, por lo que se puede utilizar esta cadena para crear reglas que se utilicen en un IPS.

 

 

Servidores STUN (Session Traversal Utilities for NAT)

Posteriormente comienza a hacer peticiones STUN (Session Traversal Utilities for NAT), que es un protocolo de red que permite determinar la IP pública del equipo infectado dentro de una red interna que emplee NAT. En caso de que las peticiones STUN no regresen la respuesta esperada, la muestra trata de obtener la IP pública por medio de icanhazip.com, como se muestra en la siguiente imagen:

 

Si no recibe respuesta de un servidor STUN, la muestra prueba con otros. Algunos de los servidores STUN que se observaron en el tráfico de red, que no se muestran en la imagen anterior, son los siguientes:

-        S2.taraba.net

 

 -        numb.viagenie.ca

-        stun.sipgate.net

-        stun.iptel.org

-        stun.phonepower.com

-        stun.2talk.co.nz 

 

 

 

Se habilitó el servicio STUN en el laboratorio para observar el comportamiento de la muestra una vez que recibe respuesta a sus peticiones.

 

La URL “vovida.org” pertenece a otro servidor STUN. Como se observa en la imagen, el equipo infectado hace peticiones UDP de tipo “Binding Request” al servidor vovida.org para determinar la dirección IP pública del equipo infectado. En la siguiente imagen se observan detalles de la petición realizada por el equipo infectado al servidor STUN.

 

 

Uso de la red anónima I2P (Proyecto de Internet Invisible)

También se observaron peticiones a URLs de la red anónima I2P, que es similar a TOR y proporciona anonimato al servidor malicioso, dificultando que sea identificado y dado de baja. Sin embargo, para acceder a una dirección I2P es necesario tener el servicio instalado.

 

 

 

Otros archivos descargados

En el tráfico de red capturado por Wireshark se puede observar una petición GET para descargar el archivo ml1from1.tar desde el sitio tdyxxx.com.

 

Al revisar este sitio web se encontraron los archivos ml1from1.tar y ml1from2.tar.

 

ml1from1.tar     414f51cfa7a773fcc0e71bcf4a886c99

ml1from2.tar     1a4f795ee3fe1bf5f6fc51b7a7f3e368

 

 

Actividad en el Sistema de Archivos

Cuando la muestra es ejecutada, crea una copia del ejecutable “details.exe” en C:\Users\<usuario>\AppData\Local\Temp, con el nombre “planeris.exe”. Al terminar su ejecución, el proceso borra el archivo original. El reporte de RegShot indica que se crearon los siguientes archivos:

 

 

Sus hashes MD5 se muestran a continuación:

arrowb[1].jpg                      3385c28c67450ee85a99a853d7f3a672

sep6547.jpg                       3385c28c67450ee85a99a853d7f3a672

CvCLfXqT.exe                     a8e5daab6fcefcdca82e03418d438394

 

También se observó la creación del archivo D5B7.tmp en el directorio C:\Windows. El archivo D5B7.tmp es en realidad un ejecutable cuyo nombre es generado aleatoriamente.

D5B7.tmp                           b7d0e5130c130b40b5c5695d782c4b15  

 

Los archivos sep6547.tmp y planeris.exe son creados por el proceso details.exe. Poco después se crea el proceso planeris.exe, details.exe es terminado y su ejecutable borrado del sistema. El archivo en C:\Windows es creado a partir de una muestra creada en C:\Users\<usuario>\AppData\Local\Temp. Después de que esta nueva copia es ejecutada, borra el archivo que la creó, es decir, el que se encontraba en los archivos temporales del usuario.

 

Cada vez que se ejecuta el archivo “details.exe” se crean más ejecutables con nombres aleatorios en el directorio C:\Windows.

 

 

Persistencia

Una vez que la muestra descarga estos archivos se inicia un proceso llamado “Google Update Service”.

 

El ejecutable que lo genera es almacenado en el directorio C:\Windows con nombre aleatorio.

 

El método de persistencia que emplea es el de crear las llaves de registro necesarias para hacer pasar el ejecutable malicioso como un servicio, de tal forma que sea ejecutado automáticamente al iniciar el sistema. La llave HKLM\SYSTEM\CurrentControlSet\Services contiene una subllave para cada uno de los servicios instalados en el equipo.

En este caso, el tipo “Own Process” indica que el servicio se ejecuta en su propio proceso, es decir, no comparte un archivo ejecutable con otros servicios. El campo “Start Type” indica que el servicio es iniciado por el sistema automáticamente, aún si ningún usuario inicia sesión, y no bajo demanda.

La llave HKLM\SYSTEM\ControlSet001\Services contiene una copia de la base de datos de servicios almacenada en HKLM\SYSTEM\CurrentControlSet\Services, con la última configuración aceptable conocida, de tal forma que si un cambio a la base de datos de servicios activa provoca que el sistema falle al iniciar, esta copia es restaurada.

 

 

Al volver a ejecutar la muestra se mostró un mensaje indicando que el servicio “Google Update Service” se había borrado.

 

 

Detalles Adicionales

Mientras el proceso planeris.exe se encontraba en ejecución, se realizó un volcado de memoria para obtener más información sobre la muestra. En las cadenas obtenidas a partir del volcado de memoria, se encontraron varias que hacen referencia a software antivirus como ESET, Avg, Avira y Malwarebytes.

 

También se encontró una lista larga de URLs, entre las que se encuentran las siguientes: