Falso mensaje de voz se propaga por correo electrónico

 

El Equipo de Respuesta a Incidentes de Seguridad en Cómputo de la UNAM, recibió el reporte sobre un correo electrónico que contenía adjunto un supuesto mensaje de voz con el nombre "VoiceMassage.zip", el cual contenía el archivo ejecutable "VoiceMessage.exe" con un icono que hacía referencia a un archivo de audio, por lo cual el equipo de análisis de software malicioso procedió a investigar el archivo sospechoso. A continuación se muestra en Process Explorer que el programa en ejecución "VoiceMessage.exe" inicia un subproceso con el nombre "budha.exe":

 

 

 

Con ayuda de la herramienta "Resource Hacker" se pudo obtener información del archivo ejecutable con la cual fue compilado originalmente y donde muchos autores de malware usurpan la identidad de compañías que desarrollan software, con la finalidad de hacer creer al usuario que se trata de un programa legítimo que controla alguno de sus dispositivos externos.

 

 

 

Las acciones realizadas al ejecutar "VoiceMessage.exe" sin salida a Internet en el Sistema de Archivos, es la creación del binario "budha.exe" y la eliminación de "VoiceMessage.exe".

 

 

 

En la siguiente imagen se muestra la ubicación del archivo "budha.exe" que también tiene un icono que hace referencia a un archivo de audio:

 

 

 

Con la herramienta "Process Monitor" se pueden observar las llamadas al sistema de cuando "VoiceMessage.exe" crea el archivo "budha.exe":

 

 

 

También, es posible observar que "VoiceMessage.exe" no se borra a sí mismo, sino que es "budha.exe" el proceso encargado de realizar dicha acción:

 

 

 

Al comparar las firmas md5 de ambos archivos fueron diferentes, lo que significa que el binario "VoiceMessage.exe" no se replica, sino que crea un nuevo archivo.

 

 

 

En el tráfico de red se pudieron observar peticiones DNS para resolver los dominios:

ex***e.com

web****live.com

 

 

 

En el archivo "hosts" se agregaron los dominios que solicitaba la muestra para redirigir las peticiones hacia otro equipo de análisis en el mismo segmento de red y así obtener un poco más de información antes de dejarla interactuar con Internet.

 

 

 

En la herramienta "TCPView" se observaron peticiones de sincronización al puerto 443/tcp, que está asociado al protocolo de transferencia de hipertexto seguro (https) de páginas web.

 

 

 

Los cambios realizados al ejecutar la muestra con salida a Internet fueron: la creación de una llave de registro para garantizar la ejecución del binario "seumco.exe" en cada inicio del sistema, la creación de las carpetas "TVM274A", "UPPB137" y "Taja", además de los archivos "budha.exe", "hbt.exe", "update.exe" y "seumco.exe" y finalmente la eliminación de "VoiceMessage.exe".

 

 

 

El proceso "budha.exe" establece dos conexiones de red a distintos sitios web, la primera es para solicitar una página por el puerto 443, que para el momento del análisis no resultaba ser maliciosa y a un segundo sitio consultado fue al puerto 80. También, se inicia un subproceso con el nombre "kilf.exe".

 

 

 

Para la conexión establecida al puerto 80 del servidor remoto se registraron dos descargas, la primera se trataba del archivo en texto plano "authrootseq.txt". A continuación se muestra el tráfico de red capturado con Wireshark en donde el archivo es transferido en texto plano:

 

 

 

En la siguiente imagen se muestra el archivo "authrootseq.txt" consultado desde un navegador web y que con la ayuda del complemento para Firefox "Domain Details" se sabe que está alojado en un servidor web Microsoft IIS 7.5.

 

 

 

La segunda descarga corresponde al archivo "authrootstl.cab". Los archivos CAB son un formato propio de compresión utilizado por Microsoft. A continuación se muestra el tráfico de red de la descarga del archivo comprimido y en las cadenas se aprecia el archivo "authroot.stl".

 

 

 

Cuando se consulta un sitio web que no puede ser validado, los equipos Windows realizan la gestión dinámica de los certificados conectándose a la dirección:

hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/a..., y se descargan la lista de certificados raíz para actualizar su repositorio.

 

 

 

A continuación se muestra el archivo que contiene la lista de certificados actualizada al momento de la descarga por parte de los sistemas Windows:

 

 

 

Posteriormente, la muestra troyaniza el proceso "explorer.exe" y se intenta conectar a un servidor remoto al puerto 7062, el cual no está asociado a un servicio conocido, pero no se logró la conexión debido a que el servidor no se encontraba activo.

 

 

 

La muestra establece dos conexiones de red a los puertos 3285 y 9163, los cuales no están asociados a un servicio conocido.

 

 

 

A continuación se muestra el tráfico cifrado de la conexión establecida al puerto 3285:

 

 

 

A continuación se muestra el tráfico cifrado de la conexión establecida al puerto 9163:

 

 

 

Con la herramienta "NetworkMiner" es posible extraer los archivos descargados del tráfico de red de manera automática, con la información se que presenta es posible corroborar los hallazgos que se hacen manualmente en la inspección de las tramas de red:

 

 

 

A continuación se muestra un filtro en Wireshark para visualizar las peticiones http realizadas por método GET:

 

 

 

En la ruta de la variable de entorno %temp%, se encuentran las dos carpetas creadas y el archivo "budha.exe", dicha información se obtuvo con la herramienta "Regshot":

 

 

 

Dentro de la carpeta "TVM274A" se encuentra el archivo "hbt.exe", que al verificar con la herramienta "file" el tipo de archivo, indica que se trata de un documento HTML.

 

 

 

A continuación se muestra el contenido del archivo "hbt.exe":

 

 

 

En la misma ruta de la variable de entorno %temp% se encuentra la carpeta "update.exe" y de la misma forma se identificó que el archivo es un documento HTML.

 

 

 

A continuación se muestra el contenido del archivo "update.exe":

 

 

 

Finalmente en "Datos de programa" se encuentra la carpeta "Taja", la cual aloja el archivo ejecutable "seumco.exe", el cual será ejecutado en cada inicio del sistema por la llave creada en el registro de Windows con el nombre: "Seumco"

 

 

 

El proceso "seumco.exe" depende de "kilf.exe" y "budha.exe" como se muestra a continuación:

 

 

 

El binario "seumco.exe" cuando es ejecutado sin salida a Internet intenta resolver dominios generados aleatoriamente. En la siguiente imagen se muestran algunas de las peticiones DNS:

 

 

 

A continuación se muestran algunos de los dominios generados por el proceso "seumco.exe":

 

 

 

Para el momento del análisis de la muestra "VoiceMessage.exe", el reporte de VirusTotal arroja que 40 de 48 motores antivirus la detectan como maliciosa. A continuación el reporte: