Cita

"Those who are willing to pay a penny of security for a penny of usability will eventually have neither"

08 febrero 2015

Analizando un correo malicioso (II)

  
Estos días se han estado recibiendo correos falsos que fingen ser de la Seguridad Social, reclamando el pago de una deuda 169,11€ y amenazando con suspender la asistencia en hospitales si no se paga. El correo incluye adjunta la "factura" en un fichero comprimido y cifrado, con extensión .rar. En el propio correo viene la contraseña para poder abrirlo: 123. El adjunto es un malware que viene en ese formato para evadir los antivirus; ya que éstos no pueden examinar archivos cifrados (he intentado subirlo a sistemas multiAV, a ver si por fuerza bruta, con una contraseña tan floja, alguno era capaz, pero no).

La redacción es penosa ("teneis adjuntado la factura y porfavor pagarlo"); así es que, difícilmente alguien creería que en verdad se trata de un correo de la Seguridad Social. Pero los estafadores, extranjeros, sí que se tomaron la molestia de suplantar bien el dominio. Si examinamos las cabeceras del correo, del modo que comentamos en esta entrada, vemos que aparece el dominio correcto en:

Return-Path: <sede@seg-social.gob.es>

Sin embargo, un análisis cuidadoso revela que el servidor usado para enviarlo no es el de este organismo (el por qué ha sido posible la suplantación daría para otra entrada):

X-Source-Auth: suport@welcometoearth.tk 

X-Source-IP: 185.17.1.42

Tokelau es un país que ofrece la mayoría de dominios .tk como gratuitos. Un primera consulta situaba "welcometoearth.tk" en Texas (EE.UU.). Sin embargo, si miramos ahora, vemos que ya ha sido cancelado.

En cuanto a la IP de origen, situa al remitente en la Federación Rusa.

Abriendo el .rar con mucho cuidado, en una máquina virtual Windows, vemos que suelta algo que parece un pdf (por el icono). Sin embargo, al darle al botón derecho al archivo, vemos que en las propiedades dice que es un tipo de fichero exe, de aplicación. Y si lo miramos en Linux:

$ file *.exe

FACTURA  DEUDA CLIENTE 32002002 DEL 2014.exe: PE32 executable (GUI) Intel 80386, for MS Windows


Si tenemos un buen antivirus, debería de saltarnos un aviso al descomprimir el .rar, ya que el .exe incluido en él está identificado como troyano (Uztuby) por muchos de ellos. 

                                         

Sin embargo, también hay muchos que no lo detectan; lo que nos recuerda dos cosas:

- Los antivirus no son la panacea. Debemos usar el sentido común (no descargarnos ficheros raros que no hemos pedido) y no descansar toda nuestra seguridad en el uso de uno de ellos.

- Aún así, es mejor instalarse uno; pero que sea bueno.

El análisis con Malwr revela también algunas cosas interesantes:

- Yara dice que uno de los ficheros que se descargan (VDyAJf.txt)  posiblemente emplea técnicas de anti-virtualización para detectar si se está ejecutando en una máquina virtual. Normalmente, cuando un troyano detecta que está en una máquina virtual, no hace nada, para parecer inofensivo. ¿Es posible también que aprenda a salir de la máquina virtual para infectar al sistema anfitrión? Eso ya es más difícil. Pero, por si acaso, no me he atrevido (de momento) a probar el dropper en mi máquina virtual Windows, hasta tomar las debidas precauciones.


- El lenguaje empleado dentro de los archivos es el ruso, lo que cuadra con la IP origen del correo. 

Evidentemente, el atacante no es español: alguien que se toma las molestias de suplantar bien a un organismo público, de cifrar el "bicho" para que si los AV analizan el correo no lo detecten, y que, probablemente, emplea técnicas de antivirtualización, no va a ser luego tan chapuza de redactarlo tan mal y que se note que es falso. Por supuesto, lo han escrito así porque no sabían hacerlo de otra manera. 

¿Quiere decir eso que necesariamente es ruso? Bueno, hay ataques de falsa bandera y también es común el uso de botnets. Así es que, no se puede descartar que el atacante sea de otro país (no de habla hispana, desde luego) y se quiera hacer pasar por ruso. Pero, dado el negocio que hay montado en Rusia con troyanos, spam y demás, yo apostaría a que lo es.

Malwr es una buena herramienta para analizar "bichos" y que nos de el trabajo hecho, sin arriesgar nuestro sistema. Se puede sacar mucha más información del informe tan completo que hace. O atrevernos a lanzar el troyano en nuestra propia máquina virtual y analizar su comportamiento. Pero eso ya daría para otro post.