El Centro de Ciberinteligencia de Entel descubrió un nuevo malware bancario, que abusa de archivos legítimos de Windows para lograr su objetivo, evadiendo los controles de seguridad. Funciona con la utilidad de línea de comandos wmic.exe, un programa que administra certificados de Windows. El malware ocupa este software para descargar otros archivos como parte de su funciones normales, lo que pueden ser utilizado con fines maliciosos. Después de un profundo análisis, se ha detectado que funciona con distintas variantes de malwares bancarios como KL-Banker, Razy, Symmi, Banbra, N40 entre otros.
El ataque comienza con malspam o correo electrónico, que aparentemente se hace pasar por distintas empresas, bancos e incluso instituciones gubernamentales notificando al destinatario que tiene una multa, una transferencia bancaria errónea, citación penal, pago pendiente, entre otros. Luego incita a la víctima a descargar dicho documento. Una vez que el destinatario hace click en el enlace, se abrirá una ventana del navegador que le solicitará descargar un archivo ZIP.
Comportamiento del malware:
- Al hacer doble click al ZIP, éste se aprovecha de la vulnerabilidad de WinRAR (CVE-2018-20250) de ejecución de código remoto (RCE), para el cmd.
- El código malicioso del ZIP ejecuta lo siguiente: "C:\Windows\System32\cmd.exe" /C "C:\Users\admin\Desktop\{NombreFacturaBoleta}.cmd"
- El archivo con nombre “{NombreFacturaBoleta}.cmd” ejecuta dos funciones: la primera es un “ping 127.0.0.1 -n 1” al localhost para saber la MAC address de la máquina y así verificar si es un SandBox o un entorno virtual. Si es así el malware detiene su funcionamiento. Y la segunda función crea un archivo llamado admin.vbs que viene ofuscado, que a su vez crea un wscript.exe que descarga un binario con nombre random. El cmd ejecuta la siguiente línea de comando: wscript //Nologo "C:\Users\admin\admin\admin.vbs"
- El malware luego utiliza la función de Windows wmic.exe aprovechándose de un "DLL hijacking" para descargar un binario. En el cmd ejecuta lo siguiente: ""C:\Windows\System32\wbem\WMIC.exe" process call create C:\Users\admin\zct_otb\zct_otb.exe".
- Una vez descargado el binario, éste genera la conexión con el Command and Control, para así poder recibir órdenes y enviar la información robada. Se ejecuta de la siguiente manera: ""C:\Windows\system32\cmd.exe" /c start C:\Users\admin\zct_otb\zct_otb.exe"
Después de llegar a su fase final, se ha detectado que el malware tiene las siguientes capacidades:
- Intercepta y registra los movimientos del mouse y teclado (lo que escribe o a qué link ingresa el usuario, entre otros)
- Crea un valor en el registro de autoejecución (persistencia)
- Consulta la información del kernel
- Lee el nombre del computador activo, entre otra información del equipo.
- Lee el GUID (identificador único global)
- Implementa técnicas de anti virtualización (evasión)
- En comportamiento de red, contiene dominios y hosts, donde procesa la información que roba para enviársela a un servidor externo (C&C).
Acciones inmediatas
- Generar regla personalizada en equipos de seguridad, bloqueando los IoC adjuntos
- Aislar los equipos que están generando comportamiento anómalo, siempre y cuando no afecte a la continuidad operativa
- Una vez que se encuentren aisladas, ejecutar un full scan on demand.
- Revisar los procesos de los equipos e identificar anomalías. Por ejemplo, que aparezcan aplicaciones que no están siendo ejecutadas por el usuario.
- Si se detecta un proceso con nombre “extraño” abrir la ubicación del archivo. Generalmente los llevará a “C:\Users\nombredeusuario\” o “C:\Windows\SySWOW64”. De ser así, se puede deducir que el equipo está infectado. Se debe aislar inmediatamente de la red.