Seguridad

Malware Guloader utilizado en correos que suplantan a BBVA y Grupo Santander

Malware Guloader utilizado en correos que suplantan a BBVA y Grupo Santander Malware Guloader utilizado en correos que suplantan a BBVA y Grupo Santander

Hola a tod@s!

Me he encontrado con un par de email en Any.run en el que podemos ver como cierta familia de malware, concretamente Guloader (para protegerse de ciertos entornos), es utilizado en los mismos, además de palabras comunes y adjuntos similares. Pretenden hacer pensar a los usuarios que tienen que abrir un fichero comprimido con un ejecutable en su interior (donde se guarda el malware), ya sea para leer un aviso de pago, confirmar un contrato, etc. Bien, pues vamos a tratar de ver con información disponible en las diferentes sandboxes de qué se trata y si esconden algo más (vendrá al final del post ;-D).

Podemos verlo en los siguientes enlaces:

[ GRUPO SANTANDER ] Confirming – Aviso de pago (315 KB).msg (MD5: B82866EA1F8C54736E7D44F3FCE51454).

Malware Guloader utilizado en correos que suplantan a BBVA y Grupo Santander

[ BBVA ] BBVA-Confirming Contrato de Cesin de Crditos Sin Recurso (328 KB).msg (MD5: A1A0D9DDB4B30494A7D637A29D02835C).

Malware Guloader utilizado en correos que suplantan a BBVA y Grupo Santander

Podemos ver como afecta al banco BBVA y Grupo Santander o viceversa, según vemos en los correos en la siguiente captura. Que parezcan que proceden de direcciones de correos pertenecientes a los bancos, no quiere decir que sean legítimos, ni mucho menos, los atacantes utilizan servidores en los que se permite falsear el origen, así que no te fíes de todo lo que te llega.

Los bancos nunca te van a enviar un correo con un ejecutable como adjunto.

Malware Guloader utilizado en correos que suplantan a BBVA y Grupo Santander

Si nos fijamos en las cabeceras, vemos como los correos proceden del mismo sitio:

Provider from webmail.telardecoracion.com (localhost [IPv6:::1])
 by setentaynueve64.nsprimario.com (Postfix) with ESMTPSA id 56C96103BDA;
 Thu, 10 Nov 2022 08:49:24 +0100 (CET)

Concretamente desde webmail.telardecoracion.com y los ficheros adjuntos también coinciden (el contenido del zip):

$ md5sum “Contrato de Cesin de Crditos Sin Recurso.exe” 205822358-042601-sanlccjavap0004-4872.exe
a8406cd318ad09b65a6785ef149c89bc  Contrato de Cesin de Crditos Sin Recurso.exe
a8406cd318ad09b65a6785ef149c89bc  205822358-042601-sanlccjavap0004-4872.exe

Así que vamos a de qué se trata más detenidamente, utilizan un instalador conocido como NSIS.

Malware Guloader utilizado en correos que suplantan a BBVA y Grupo Santander

Podemos utilizar varias herramientas para identificar el script utilizado por la muestra. Con ciertas versiones antiguas de 7zip podemos acceder a su contenido y poder leerlo con un editor de texto:

Malware Guloader utilizado en correos que suplantan a BBVA y Grupo Santander

Ese fichero [NSIS].nsi contiene el script que se ejecutará, y tiene esta pinta:

Malware Guloader utilizado en correos que suplantan a BBVA y Grupo Santander

Estos scripts, a veces, son como una madeja interminable, tienes que ir a ver qué hace una función, que llama a otra y a otra y a otra y a otra… y a otras más.

Dentro del binario se encuentra una dll, parte del instalador NSIS, que seguro habéis visto muchas veces, llamada System.dll, encargada de ejecutar tanto binarios como shellcodes.

Malware Guloader utilizado en correos que suplantan a BBVA y Grupo Santander

Se hace referencia a ella desde el script de esta forma:

Malware Guloader utilizado en correos que suplantan a BBVA y Grupo Santander

Y después hay una serie de directorios en donde se puede encontrar tanto software legítimo (añadido a posta para que no se sospeche) como el malware, cifrado o sin cifrar.

Malware Guloader utilizado en correos que suplantan a BBVA y Grupo Santander

Any.run no nos dice de qué se trata, en caso de detectarlo lo añade al botón de Malconf si es que obtiene la configuración, o bien lo marca en el propio proceso:

Malware Guloader utilizado en correos que suplantan a BBVA y Grupo Santander

En este caso no lo podremos obtener aquí. Buscamos el hash del binario en otras sandboxes.

En Tria.ge parece que subieron el mismo correo, el del BBVA:

Malware Guloader utilizado en correos que suplantan a BBVA y Grupo Santander

Aunque lo detecta como malicioso, tampoco es capaz de identificar de qué se trata.

Malware Guloader utilizado en correos que suplantan a BBVA y Grupo Santander

Buscamos el hash en Joe Sandbox y vemos algo curioso:

Malware Guloader utilizado en correos que suplantan a BBVA y Grupo Santander

Hay un 100/100 en una máquina que nos dice que es física. Por lo tanto, ya sabemos que el malware se protege ante plataformas de este tipo.

Malware Guloader utilizado en correos que suplantan a BBVA y Grupo Santander

Nos dice que es Guloader, ¿pero será fiable esa detección? Las reglas Yara (de las que hemos hablado en otros artículos), suelen ser bastante fiables.

Malware Guloader utilizado en correos que suplantan a BBVA y Grupo Santander

Por lo tanto, podemos decir que ha dado en el clavo. Guloader descarga malware si se dan una serie de condiciones, entre otras, que no se esté ejecutando en una sandbox, máquina virtual, que se esté depurando el proceso, etc.

Estas detecciones que se ven a continuación son utilizadas por este malware, por lo que coincide en el comportamiento y no solamente en las reglas Yara.

Malware Guloader utilizado en correos que suplantan a BBVA y Grupo Santander

Esta también coincide, trata de medir los tiempos de ejecución de instrucciones, en un entorno donde está siendo depurado se disparará el resultado, sería mucho mayor y sería detectado:

Malware Guloader utilizado en correos que suplantan a BBVA y Grupo Santander

Estos son sólo unos ejemplos para comprobar si coincide el comportamiento, y en este caso, coincide. Otro es como continúa, inyectándose en otro proceso legítimo utilizando Process Hollowing, en este caso en CasPol.exe.

Malware Guloader utilizado en correos que suplantan a BBVA y Grupo Santander

Comenzando con la API CreateProcessInternalW como era de esperar en este malware:

Malware Guloader utilizado en correos que suplantan a BBVA y Grupo Santander

Podemos observar la url que se encuentra en la shellcode de Guloader, perteneciente a drive.google.com:

Malware Guloader utilizado en correos que suplantan a BBVA y Grupo Santander

Nos faltaría conocer lo siguiente que descargaría, en ninguno de ellos lo vemos. Hagamos un inciso en este punto y busquemos algún parecido razonable. Teníamos el fichero “NeroCmd.exe.manifest” que en condiciones normales, pertenecería al software Nero, pero no en este caso.

Encontramos un fichero muy parecido esta URL.

Malware Guloader utilizado en correos que suplantan a BBVA y Grupo Santander

Tenemos otro fichero (doble extensión), que tiene el mismo comportamiento, el mismo fichero “NeroCmd.exe.manifest”, el mismo icono, url similar, se parece mucho, mucho, en su aspecto, claro.

Malware Guloader utilizado en correos que suplantan a BBVA y Grupo Santander

Si comparamos los ficheros NSIS vemos como son muy parecidos, utilizaron el mismo fichero base y cambiaron algunas cosas.

Malware Guloader utilizado en correos que suplantan a BBVA y Grupo Santander

Aunque hay diferencias, no son significativas, pero sí en los ficheros existentes en el interior de los directorios:

Malware Guloader utilizado en correos que suplantan a BBVA y Grupo Santander

Según la detección de Joe Sandbox, descargó AgentTesla:

Malware Guloader utilizado en correos que suplantan a BBVA y Grupo Santander

Y es capaz de extraer la configuración del malware, ¿será lo mismo?:

Malware Guloader utilizado en correos que suplantan a BBVA y Grupo Santander

Pues veremos como NO son lo mismo, pero quería que vieráis como no solamente preparan un único malware, hay muchos parecidos (programados por el mismo grupo) destinados a diferentes objetivos, con cambios mínimos a la hora de empaquetarlos.

Volvemos al que nos atañe, al que se recibió de los bancos, vemos una petición a checkip.dyndns.com, esto es diferente al anterior (en donde se veía una dirección perteneciente al servidor de correo donde se exfiltraba la información). Entonces, aunque no se detecte en Joe Sandbox el malware como tal, funcionó y se descargó, ya que esa diferencia relacionada con la consulta de la ip externa pertenece al nuevo malware. Podemos ver las cadenas en memoria:

Malware Guloader utilizado en correos que suplantan a BBVA y Grupo Santander

Abrimos los ficheros y buscamos anomalías o cadenas pertenecientes que nos llamen la atención.

Malware Guloader utilizado en correos que suplantan a BBVA y Grupo Santander

En este caso en concreto, recordar que se había inyectado en él, tenemos unas cadenas muy sospechosas, así que buscamos ese dominio y aterrizaremos en la zona del malware:

Malware Guloader utilizado en correos que suplantan a BBVA y Grupo Santander

Bajamos hasta que veamos cadenas que nos suenen y esta, sin duda, nos suena muchísimo y aparece muchas veces.

Malware Guloader utilizado en correos que suplantan a BBVA y Grupo Santander

Lo hemos encontrado, se trata de Snake Keylogger, es lógico, al tratarse de correos suplantando bancos. Aunque no le haya puesto un nombre, sí que detectaba que se estaban buscando credenciales según la siguiente regla Yara.

Malware Guloader utilizado en correos que suplantan a BBVA y Grupo Santander

De nuevo nos encontramos con  Snake Keylogger, ya vimos como está aumentando su actividad en otro post.

Como resumen, podemos decir que nunca abráis un ejecutable procedente de un correo de un banco (el que sea), ellos no envían nunca estas cosas.

Espero que os haya gustado y nos vemos en el siguiente post!!

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.