English
Español
Supuesta actualización de Flash Player descarga troyano que se hace pasar por Java
El Equipo de Respuesta a Incidentes de Seguridad en Cómputo de la UNAM, recibió el reporte sobre un sitio web que alojaba una supuesta actualización de Adobe Flash Player, pero una vez que se descargaba la aplicación tenía el nombre "Java.exe", por lo cual se procedió a realizar la investigación correspondiente.
A continuación se muestra el mensaje de alerta indicando que la página no se puede mostrar debido a que no se tiene instalada la última versión de Flash Player:
El archivo "update.php" define la alerta al inicio del código:
Una vez que el usuario selecciona el botón "OK" de la alerta, se carga el contenido de la página que promociona la supuesta versión 11.9.900.152 de Adobe Flash Player. Las ligas que descargan el binario sospechoso son "Descargar ahora" y "(cambiar)". A continuación se muestra la página principal del sitio web falso:
En el código fuente de la página se puede observar que las ligas de las etiquetas "Descargar ahora" y "(cambiar)" tienen la referencia hacia el archivo "FlashPlayer.php".
Una vez que se consulta el archivo "FlashPlayer.php" se inicia la descarga del ejecutable "Java.exe":
En el código de "FlashPlayer.php" se utiliza la etiqueta "meta" para redireccionar inmediatamente hacia el archivo "CtlLI2Yz" que es el encargado de solicitar la descarga al servidor hxxp://***.allfiles***.com.
A continuación se muestra la descarga de "Java.exe" a través del archivo "CtlLI2Yz":
Una vez que la muestra "Java.exe" fue ejecutada en un entorno controlado sin salida a Internet, se inicia el proceso "kwtosedsbxzzm.exe", dicho proceso muestra la cadena "zfsdxnnydljsa" en la sección "Description" de la herramienta "Process Explorer".
Durante la ejecución, se muestra una ventana con la barra de carga y unos segundos después aparece un mensaje de texto avisando al usuario que se perdió la conexión, lo que hasta este punto nos hace suponer que el archivo ejecutable validó que el equipo de infectado tuviera conexión a Internet.
Los cambios realizados por "Java.exe" son la creación de la carpeta "de3fdfa2-4d3f-42b8-8905-d9f55237b8aa0" y los archivos "111.txt", "bin.dmc", "config.dmc", "parent.txt", "kwtosedsbxzzm.exe", "kwtosedsbxzzm.exe.config" y nuevamente "parent.txt".
A continuación se muestra la carpeta y los archivos creados en el directorio "Temp":
Con la herramienta "file" fue posible determinar el tipo al que pertenecen los archivos creados. La salida del comando muestra un archivo tipo "data", dos archivos ejecutables y un documento XML.
El archivo "111.txt" de tipo "data" o formato en crudo se muestra a continuación:
Con el programa "Resource Hacker" fue posible identificar que el archivo "Java.exe" contenía tres archivos embebidos, uno de ellos es el archivo "111.txt", lo que puede comprobarse fácilmente usando un editor hexadecimal.
El archivo ejecutable "kwtosedsbxzzm.exe" se muestra a continuación:
El segundo archivo embebido en el binario "Java.exe" es "kwtosedsbxzzm.exe".
El documento XML "kwtosedsbxzzm.exe.config" se muestra a continuación:
El tercer archivo embebido en el binario "Java.exe" corresponde a "kwtosedsbxzzm.exe.config".
El archivo ejecutable "parent.txt" se muestra a continuación:
Dentro de la carpeta "de3fdfa2-4d3f-42b8-8905-d9f55237b8aa0" se crearon los archivos "bin.dmc", "config.dmc" y "parent.txt".
La salida del comando "file" arroja dos archivos de texto ASCII y un archivo ejecutable.
El contenido del archivo "bin.dmc" se encuentra codificado en base64, como se muestran a continuación:
El archivo con las cadenas decodificadas es el siguiente:
En el archivo decodificado se muestra una lista de verificación donde destacan los siguientes puntos:
· La muestra corre con permisos de administrador.
· Se detectó estar en una máquina virtual.
· Se generó el documento XML interno.
· El dominio api.******dls.com no se pudo resolver.
El contenido del archivo "config.dmc" también se encuentra codificado en base64.
El archivo con la cadena decodificada se muestra a continuación:
El archivo anterior muestra algunos dominios como: ***.allfiles***.com que era el sitio de donde se descargó el binario "Java.exe" y api.******dls.com que apareció en la lista de verificación para comprobar que el equipo infectado tuviera conexión a Internet. Además, muestra información sobre el equipo que fue infectado como: el sistema operativo y la dirección IP pública.
El archivo ejecutable "parent.txt" que se encuentra en la carpeta "kwtosedsbxzzm.exe" se muestra a continuación:
De los tres archivos ejecutables que se crearon, dos de ellos son réplicas del binario "Java.exe", solo "kwtosedsbxzzm.exe" es distinto y tiene por firma md5: 18273656e630231b23cf470a454e6514.
La muestra "Java.exe" no se encuentra empaquetada y fue programada en lenguaje C++, de acurdo con la información proporcionada por Exeinfo PE.
En la inspección de cadenas con la herramienta "BinText" al archivo "Java.exe" se encontraron indicios de los archivos que crea durante su ejecución.
A continuación se muestra parte de la sección ".rdata" que contiene los nombres de los archivos creados:
También existen cadenas en el archivo binario que están codificadas en base64.
Al decodificar las cadenas se muestran los mensajes:
· rowser>ff</browser></data>
· </AquiEmpiezaElPayload>
Algunos parámetros adicionales que se encontraron en "Java.exe" son:
· Descripción de archivo: zfsdxnnydljsa (mostrado también en Process Explorer)
· Versión del archivo: 4.0.6.397
· Nombre original del archivo: setup.exe
El archivo embebido "kwtosedsbxzzm.exe" fue desarrollado en C# de acuerdo con la información proporcionada por Exeinfo PE:
En cuanto a la actividad de red, la muestra intenta resolver tres dominios. A continuación se muestran las peticiones DNS:
Los dominios le fueron proporcionados a la muestra mediante la modificación del archivo "hosts", los cuales redireccionaban a otro equipo del laboratorio de análisis en el mismo segmento de red.
Una vez que la muestra pudo resolver los dominios, el proceso "kwtosedsbxzzm.exe" realiza intentos de sincronización al puerto 80 asociado al servicio web.
También se le proporcionó el servicio solicitado mediante la aplicación Apache 2:
Con las configuraciones anteriores, en el tráfico de red se pudieron apreciar peticiones GET para solicitar los archivos "Start", "713.html" y "WW.xml".
Consultando de forma manual en Internet el archivo "WW.xml", fue posible identificar que se trata de un archivo de configuración para descargar más archivos maliciosos.
De la misma forma, fue consultado el archivo "box.html", el cual muestra una imagen que hace alusión a un instalador.
Dejando interactuar a la muestra con Internet, se pueden apreciar varias conexiones a servicios web. A continuación se muestran las conexiones de red:
Unos segundos después de haber ejecutado la pieza de malware con salida a Internet, se muestran las ventanas de una instalación, supuestamente se está configurando Java, pero recordemos que el sitio web ofrecía la actualización de Adobe Flash Player.
En Process Explorer se pueden apreciar distintos arboles de procesos que se generaron a partir de la ejecución de "Java.exe" y en TCPView se muestran conexiones de red establecidas con el proceso "Kdotub.exe", que fue descargado y ejecutado por "Feven 1.8-chromeinstaller.exe".
Después de varios minutos, termina la supuesta instalación de Java. Dicha acción hace creer al usuario que efectivamente se instaló la aplicación requerida para visualizar de forma correcta ciertos sitios web. Sin embargo, las conexiones de red que estableció el malware, comprometieron aún más el equipo infectado.
A continuación se muestran parte del tráfico de red que se genera al establecer conexión con servidores que alojan piezas de malware y archivos de configuración para las muestras:
Para el momento del análisis de la muestra "Java.exe", no se encontraron registros de análisis en ninguna sandbox en línea, solo se encontró en VirusTotal el reporte de la muestra "kwtosedsbxzzm.exe" donde únicamente 6 de 48 motores antivirus la detectan como maliciosa. A continuación el reporte:
