La campaña del troyano bancario Ursnif se refuerza con nuevas técnicas de evasión de espacios aislados

Share with your network!

En esta semana, los investigadores de Proofpoint observaron varios cambios notables en las macros utilizadas por un actor al cual llamaremos TA530 y a quien habíamos examinado anteriormente en relación con campañas de malware personalizado a gran escala [4][5]. Esta nueva campaña incluye nuevas macros evasivas y demuestra la continua evolución en las herramientas y técnicas, para dar a conocer la adaptación que realizan los atacantes ante las defensas en evolución y el uso general de espacios aislados.

Previamente, hemos descrito la forma en que la macro que se encuentra en el documento adjunto busca la dirección IP pública de la máquina infectada mediante MaxMind [3] y verifica la cantidad de archivos de Microsoft Word a los que se haya accedido recientemente. El 19 de septiembre, observamos varias adiciones hechas en las verificaciones de evasión de espacios aislados. Con esas verificaciones, la macro:

  1. Verifica el nombre de archivo para ver si contiene solamente caracteres hexadecimales antes de la extensión
  2. Se asegura de que haya al menos 50 procesos en ejecución con una interfaz gráfica mediante Application.Tasks.Count [1]
  3. Incluye una lista negra de procesos por medio de Application.Tasks [2]
  4. Amplía la lista de cadenas que verifica con MaxMind

Otro cambio notable es que se ha observado el uso de un control de evento pintado [3] como Img_Painted para la ejecución de macros cuando se abre el documento. Se trata de un control ActiveX bajo las opciones más amplias de 'Microsoft Inkpicture Control'.  Este método es distinto a las opciones de autoejecución habituales para la ejecución de macros como Document_Open(). A fines de agosto, Joe Security describió una macro similar que utilizaba una técnica similar.

Campaña de correo electrónico

Continuando con su comportamiento usual [2], el 19 de septiembre TA530 envió mensajes personalizados (figura 1) haciendo uso de nombres de empresas, nombres personales, títulos, etc. para entregar documentos de Word (figura 2). Los señuelos de los documentos emplean una manera bastante genérica pero común de seducir al usuario para que habilite las macros con el mensaje: “Este documento está protegido contra el uso no autorizado. Habilite la edición y habilite el contenido para leer el documento”. En esa campaña, la carga dañina entregada es el identificador de Ursnif “30030”, que se dirige a sitios bancarios de Australia con sus inyecciones [6].

fig-1_1.png

Figura 1: Mensaje de correo electrónico que entrega el documento malintencionado

fig-2_0.png

Figura 2: Documento malintencionado con macros

Análisis de macro

La primera de una serie de nuevas verificaciones de la macro analiza el nombre del archivo de Microsoft Word mismo. Verifica el nombre de archivo para ver si contiene solamente caracteres hexadecimales (del conjunto “0123456789ABCDEFabcdef”) antes de la extensión y si es así, la macro no procede a infectar a la víctima. Eso sucede comúnmente con archivos enviados a espacios aislados, los cuales a menudo utilizan los algoritmos hash SHA256 o MD5 como el nombre de archivo, el cual solamente contiene caracteres hexadecimales. Si está presente algún otro carácter, tales como otras letras posteriores a la “f”, caracteres de subrayado o espacios, se pasa la verificación y la macro continúa. Además, los nombres de archivo necesitan tener un “.”, seguido por cualquier extensión.

fig-3_1.png

Figura 3: Búsqueda de caracteres hexadecimales en el nombre de archivo

La segunda nueva verificación de la macro se asegura de que haya 50 o más procesos en ejecución con una interfaz gráfica mediante Application.Tasks.Count [1] propiedad de Microsoft Word. Una rápida verificación de un sistema real muestra que es común tener más de 50 tareas, mientras que los sistemas de espacios aislados se optimizan a fin de que tengan la menor cantidad posible.

fig-4_0.png

Figura 4: Verificación de la cantidad de procesos en ejecución

A continuación, la macro realiza una verificación que no hace distinción de mayúsculas y minúsculas haciendo uso de una lista negra de procesos que pudieran estar ejecutándose en el sistema host, por medio de Application.Tasks propiedad de Microsoft Word [2]. Los nombres de los procesos que están en la lista negra actualmente incluyen herramientas de análisis comunes y otros procesos que pudieran encontrarse en ejecución en espacios aislados: "fiddler", "vxstream", "vbox", "tcpview", "vmware", "process explorer", "vmtools", "autoit", "wireshark", "visual basic" y "process monitor".

fig-5_0.png

Figura 5: Verificación con la lista negra de procesos

En un artículo previo, mostramos que esta macro consulta MaxMind, que es un conocido servicio de localización geográfica y analiza los resultados enviados por el servicio. Esta campaña en particular se está dirigiendo a Australia, de modo que la macro actualizada realiza una verificación para cerciorarse de que se esté ejecutando en la región correcta. De manera específica, la macro verifica que los resultados incluyan “OCEANIA”, la cual es una región centrada en las islas tropicales del océano Pacífico y que incluye a Australia.

fig-6_0.png

Figura 6: Consulta de MaxMind y verificación para ver si la consulta devuelve la cadena “OCEANIA”

Por último, se verifican los resultados de la consulta de MaxMind (sin distinción de mayúsculas y minúsculas) haciendo uso de una lista negra de redes ampliada. Si el resultado de MaxMind indica que el documento se ha abierto en una red que pertenezca a algunos de esos proveedores, no se infecta la máquina. De manera lógica, se incluyen muchos proveedores en la lista. Sin embargo, de manera interesante, tampoco se infectan las redes que sean de "hospital", "universidad", "escuela", "ciencias", "ejército", "veteranos", "gobierno" y "nuclear". Aunque no sabemos con certeza los verdaderos motivos, resulta plausible que se trate de un intento de minimizar la exposición a los investigadores y a las entidades militares o gubernamentales.

fig-7_0.png

Figure 7: Lista negra de entidades de red

Conclusión

TA530, quien es el actor detrás de una gran cantidad de ataques personalizados a gran escala, continúa elaborando nuevas técnicas de evasión en las macros malintencionadas utilizadas en campañas recientes. Las últimas técnicas que hemos observado tienen que ver principalmente con impedir la ejecución en sistemas de espacios aislados, con la localización geográfica y con evitar las redes relacionadas con proveedores de seguridad (al igual que las instituciones académicas, médicas y gubernamentales). En años recientes, los espacios aislados de malware se han convertido en el componente más común de las defensas que las organizaciones y las empresas implementan a fin de proteger a sus usuarios y sus datos. Tal como lo demuestran los ejemplos de este análisis, los actores de amenazas están concentrando sus investigaciones e innovaciones en la evasión de espacios aislados de malware con el afán de mantenerse a la delantera de las defensas de sus víctimas.

Indicadores de compromiso (IOC)

IOC

Tipo de IOC

Descripción

6464cf93832a5188d102cce498b4f3be0525ea1b080fec9c4e12fae912984057

SHA256

Documento adjunto

hxxp://deekayallday[.]com/data/office

URL

Carga dañina descargada

0b05fb5b97bfc3c82f46b8259a88ae656b1ad294e4c1324d8e8ffd59219005ac

SHA256

Cargador de Ursnif/Dreambot (descargado por el documento)

hxxp://62.138.9[.]11/30030u

URL

Actualización de Ursnif

hxxp://62.138.9[.]11/vnc32.dll

URL

VNC de Ursnif

hxxp://62.138.9[.]11/vnc64.dll

URL

VNC de Ursnif

62.138.9[.]9

IP

Cargador de Ursnif C2

62.75.195[.]103

IP

Ursnif C2

62.75.195[.]117

IP

Ursnif C2

ca-tda[.]com

Dominio

Ursnif Webinjects C2

au-tdc[.]com

Dominio

Ursnif Webinjects C2

au-tda[.]com

Dominio

Ursnif Webinjects C2

109.236.87[.]82:443

IP

Ursnif Socks

Referencias

[1] https://msdn.microsoft.com/en-us/library/office/ff198203.aspx
[2] https://msdn.microsoft.com/en-us/library/office/ff839740.aspx
[3] https://msdn.microsoft.com/en-us/library/aa510893.aspx
[4] https://www.proofpoint.com/us/threat-insight/post/phish-scales-malicious-actor-target-execs
[5] https://www.proofpoint.com/us/threat-insight/post/malicious-macros-add-to-sandbox-evasion-techniques-to-distribute-new-dridex
[6] https://www.proofpoint.com/es/threat-insight/post/ursnif-variant-dreambot-adds-tor-functionality