El atentado del maratón de Boston, RedKit y un zoo de malware

Sólo unas horas después del atentado del maratón de Boston ya se veían las primeras campañas de spam usando este tema con el objetivo de infectar a los usuarios. Parece que los cibercriminales no respetan nada, aunque era de esperar, ¿verdad? :p
 
El pasado miércoles llegaron a mi bandeja de entrada cuatro emails sobre el incidente de Boston. Eran bastante sospechosos, ya que únicamente se incluía una URL en el cuerpo del mensaje, y, además, esta URL ni siquiera tenía dominio, sino que se veía directamente una IP. Me parece que alguien tenía prisa por aprovechar este boom mediático antes de que se dejara de hablar de ello...

 

 
Los asuntos de los correos eran los siguientes:
 

BREAKING - Boston Marathon Explosion 
Explosion at the Boston Marathon
Aftermath to explosion at Boston Marathon
Explosions at the Boston Marathon

 
Y éstas las URL que se encontraban en el cuerpo de los mensajes:
 

hxxp://94.28.49 .130/boston.html 
hxxp://78.90.133 .133/boston.html
hxxp://118.141.37 .122/news.html
hxxp://110.92.80 .47/news.html

 
Estas URLs llevaban a una página con seis iframes. Cinco de ellos enlazaban con vídeos verídicos de los acontecimientos de Boston, y el restante redirigía al visitante hacia un exploit kit, RedKit concretamente. En la página del exploit kit se intentaba explotar la vulnerabilidad de Java CVE-2012-1723 (podéis echar un vistazo a la explicación de la vulnerabilidad para entender cómo identificarla). Además de este iframe, en la paǵina de los vídeos se utilizaba también un tag Meta Refresh para redigir al usuario a la siguiente URL:
 

hxxp://188.2.164 .112/boston.avi_______.exe

 
Las URLs relacionadas con el exploit kit eran las siguientes:
 

hxxp://chartspmsasia .com/weir.html 
hxxp://chartspmsasia .com/oug.jar (477ce8dba54e76017755a85e1de66eb8)
hxxp://chartspmsasia .com/82.html

 

 

 

 
Después de la explotación de la vulnerabilidad de Java, el loader de RedKit hacía de las suyas descargando y ejecutando varios binarios. Estas son algunas de las URLs que usaba el loader para descargar más código malicioso:
 

hxxp://kaelenaliyah .com/e.htm?NiDAIBYwuUxEEmUYpPYvc1XDkbhYDyBkui 
hxxp://tayrenaminah .com/y.htm?TD9w3AtYBNTHiqs4WSD2d9xikD3YsjYuXe
hxxp://inlandroofing .com/r.htm?CdEJ868sNFAFzc7WsCGizDK3pwFR3gkFR
hxxp://chesneyandgreen .com.au/o.htm?P4hIzghmJGiD1AgnVCyywGZmT3Ds

 

 Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

 
Y con estos sencillos pasos ya tenemos nuestro zoo de malware ;)
 

Se trata de un malware de robo de credenciales que envía la información robada mediante una petición HTTP POST cifrada (una respuesta típica del servidor es “STATUS-IMPORT-OK”). Las URLs usadas son las siguientes:
 

hxxp://koizone .com/default.php?HWoWQckkzRqFVl3BOoZslqMYjONykqG1vSfXB6JT 
hxxp://largebonsai .com/default.php?o2kwyp3RwjDPqudAO3bifhTvBmthWavxJjg2
hxxp://linuxforever .com/default.php?E6d5AsmoudUrwjiIaFosK4q5DNlbQH9VRas
hxxp://miniwatergarden .com/default.php?IaonWreTn5eIB2giAWYOC93UFptgfP4a
hxxp://navigationpage .com/default.php?qeeymYgEs31tBuH26jTIsJECCmZyW8bGN

 
La cabecera User-Agent usada es fija en todas las peticiones y llama bastante la atención:
 

Mozilla/4.0 (compatible; MSIE 5.0; Windows 98)

  

 

Esta muestra de Kelihos se descargaba de la siguiente URL:
 

hxxp://ymvuchyq .ru/newbos3.exe

 
Para asegurar su ejecución creaba la siguiente clave en el registro de Windows:
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SonyAgent

 
Se trataba de un binario pesado (más de 700Kb), ya que contenía tres archivos para poder monitorizar el tráfico de la máquina infectada:
 

%SysDir%\drivers\npf.sys 
%SysDir%\Packet.dll
%SysDir%\wpcap.dll

 
Uno de los objetivos de este troyano es también el robo de credenciales (FTP / Mail / Mozilla / Chrome / ...):
 

 
En este caso el User-Agent cambiaba en cada petición. Esta es la lista que se veía en la memoria del proceso:
 

Mozilla/5.0 (Windows; U; Windows NT 6.1; ja; rv:1.9.2a1pre) Gecko/20090403 Firefox/3.6a1pre 
Mozilla/5.0 (X11; U; Linux x86_64; cy; rv:1.9.1b3) Gecko/20090327 Fedora/3.1-0.11.beta3.fc11 Firefox/3.1b3
Mozilla/5.0 (Windows; U; Windows NT 5.1; es-AR; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11
Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_5_6 ; nl; rv:1.9) Gecko/2008051206 Firefox/3.0
Mozilla/5.0 (Windows; U; Windows NT 6.1; es-AR; rv:1.9) Gecko/2008051206 Firefox/3.0
Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.8.1.15) Gecko/20080623 Firefox/2.0.0.15
Mozilla/5.0 (Windows; U; Windows NT 6.0; zh-HK; rv:1.8.1.7) Gecko Firefox/2.0
Mozilla/5.0 (Windows; U; Win95; it; rv:1.8.1) Gecko/20061010 Firefox/2.0
Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.8.0.7) Gecko/20060909 Firefox/1.5.0.7
Mozilla/5.0 (ZX-81; U; CP/M86; en-US; rv:1.8.0.1) Gecko/20060111 Firefox/1.5.0.1
Mozilla/5.0 (X11; U; NetBSD alpha; en-US; rv:1.8) Gecko/20060107 Firefox/1.5
Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.8b5) Gecko/20051006 Firefox/1.4.1
Mozilla/5.0 (X11; I; SunOS sun4u; en-GB; rv:1.7.8) Gecko/20050713 Firefox/1.0.4
Mozilla/5.0 (X11; U; Linux i686; de-AT; rv:1.7.5) Gecko/20041222 Firefox/1.0 (Debian package 1.0-4)
Mozilla/5.0 (Windows; U; Win 9x 4.90; rv:1.7) Gecko/20041103 Firefox/0.9.3
Mozilla/5.0 (Macintosh; U; PPC Mac OS X Mach-O; fr; rv:1.7) Gecko/20040624 Firefox/0.9
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; FDM; .NET CLR 2.0.50727; InfoPath.2; .NET CLR 1.1.4322)
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET CLR 1.1.4322; Tablet PC 2.0; OfficeLiveConnector.1.3; OfficeLivePatch.1.3; MS-RTC LM 8; InfoPath.3)
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506; .NET CLR 1.1.4322; InfoPath.2; .NET CLR 3.5.21022)
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; .NET CLR 1.1.4322)
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; Win64; x64; SV1)
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
Mozilla/4.0 (compatible; MSIE 5.5; Windows 95)
Mozilla/4.0 (compatible; MSIE 4.01; Windows NT 5.0)
Mozilla/2.0 (compatible; MSIE 3.0; Windows 3.1)
Mozilla/1.22 (compatible; MSIE 1.5; Windows NT) Microsoft Internet Explorer/1.0 (Windows 95)

 
Las URLs se creaban usando las siguiente palabras (por ejemplo, hxxp://1.2.3.4/file.htm):
 

file 
online
main
start
install
login
setup
welcome
search
home
default
index

 
Además, al ejecutar el binario intentaba realizar una denegación de servicio a los puertos TCP/80 y UDP/80 de algunas IPs "privilegiadas":
 

190.93.254.46 
108.162.193.131
50.62.238.103
186.2.175.13
90.156.201.13
186.2.166.44
199.245.52.128

  

Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-PT; rv:1.9.2.17) Gecko/20110420 Firefox/3.6.17

  

 

El último en unirse a la fiesta era un Ransomware de la policía (diferente al de hace un tiempo), pidiendo dinero y asustando a los usuarios, como de costumbre. No había que dar muchas vueltas para saber que se trataba de este tipo de malware...;)
 

 
Después de lanzarse aseguraba su ejecución después de cada reinicio añadiendo una shell de usuario personalizada:
 

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon 
Shell = explorer.exe,c:\Documents and Settings\$USER\Application Data\skype.dat

 
Esta versión se comunicaba con el panel mediante tráfico cifrado, tanto para mostrar al usuario la página correcta dependiendo de su ubicación como para enviar el código de Paysafecard o Ukash para recuperar el control del sistema:
 

hxxp://varjx .org/ht-twwpwbjgnfwfmr-kqcgfy-glza-hcjums-cjac-gtcr-snzm_mvfzrchekkuauksi-mxpr-yxpr-qutf-akdu_kqvq-ifqs-.php 
hxxp://varjx .org/yj-bqricoarzm-frqs-jzcohcyjqrcd_qsnfuu-bqblbwkodaglpi-abxqgntsxl-wbca_ihdfprbisunb-dinm-fcfm-ns.php
hxxp://varjx .org/vnvy-vlcu_opvk-dgksnhstvpea-oyjv-rziq-cejhoubffvzoigvayevannbl_ramrtm-fyakxscnusgxcbbqkbwpnn.php

 

Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11

 

Un día después de recibir estos correos ya tenía en mi buzón otros más actuales hablando de la explosión de la planta de Texas, usando exactemente la misma plantilla de correo y demás características:
 

 
En este caso era más que evidente que no se trataba de nada bueno, pero hay que tener cuidado de dónde pinchamos, a no ser que queramos hacer colección de troyanos...;)

Enviar un comentario nuevo

El contenido de este campo se mantiene privado y no se mostrará públicamente.
  • Las direcciones de las páginas web y las de correo se convierten en enlaces automáticamente.
  • Etiquetas HTML permitidas: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Saltos automáticos de líneas y de párrafos.

Más información sobre opciones de formato

Type the characters you see in this picture. (verify using audio)
Type the characters you see in the picture above; if you can't read them, submit the form and a new image will be generated. Not case sensitive.