Netskope Threat Research Labs

Netskope Threat Research Labs descubrió ataque en Google Sites

Netskope Threat Research Labs descubrió que el actor de amenazas involucrado en este ataque inicialmente implementó un troyano bancario utilizando la plantilla de archivadores en los sitios de Google como un vehículo de entrega.

La investigación de Netskope Threat Research Labs descubrió que el malware denominado “LoadPCBanker” usaba SQL como un canal de exfiltración para enviar los datos de la víctima comprometidos al servidor.

Hay dos aspectos de este ataque que son notables:

  1. Primero, los usuarios depositan una confianza implícita en proveedores como Google.Como resultado, es más probable que sean víctimas de un ataque lanzado desde un servicio de Google.
  2. En segundo lugar, mientras que otros servicios como Gmail bloquean algunas cargas de archivos maliciosos, Google File Cabinet no parece tener tales protecciones.

Esta publicación describe nuestro descubrimiento y análisis del ataque y la carga útil del malware. También concluiremos con algunas recomendaciones para ayudar a proteger y remediar dichas amenazas.

Detección de Netskope

La protección avanzada contra amenazas de Netskope detecta el malware asociado con este ataque como Win32.LoadPCBanker.Gen.

Los clientes de Netskope también pueden crear una política para bloquear genéricamente todas las cargas y descargas de los sitios de Google como se muestra en la Figura 1.

Figura 1: Política de bloqueo para la actividad de carga y descarga en Google Sites

Revelación

Netskope informó a Google de los sitios asociados de Google que albergaban malware mediante la opción de abuso de informe el 12 de abril de 2019.

Malware alojado Google Sites

Originalmente encontramos que el malware se enviaba desde la siguiente URL de Google Sites: https: //sites.google [.] Com / site / detailsreservations / Reserva-Manoel_pdf.rar? Attredirects = 0 & d = 1.

Los archivos están siendo alojados usando el clásico de Google Sites.

Al usar la opción “Actividad del sitio reciente” en el sitio que contiene el archivo, descubrimos que había dos archivos residentes en el nivel superior, como se muestra en la Figura 2.

Figura 2: Reserva-Manoel_pdf.rar en el nivel superior en Google Sites

El actor de amenazas utilizó los sitios clásicos de Google para crear un sitio web, luego usó la plantilla de archivador para cargar la carga útil y finalmente envió la URL resultante a los posibles objetivos. Una representación visual de este proceso se muestra en la Figura 3.

Figura 3: Representación del mecanismo de entrega
del malware que utiliza los sitios de Google

Cadena Attack Kill

La descripción de la cadena de eliminación de ataques del malware LoadPCBanker se muestra en la Figura 4. Comienza con un descargador principal de primera etapa, que descarga las cargas útiles de la siguiente etapa desde un sitio web de alojamiento de archivos. La carga útil de la siguiente etapa recopila capturas de pantalla, datos del portapapeles y pulsaciones de teclas de la víctima. Finalmente, utiliza SQL, un canal de exfiltración para enviar los datos de la víctima al servidor.

Figura 4: Cadena Attack Kill de LoadPCBanker

Análisis de LoadPCBanker

El archivo RAR descargado “Reserva-Manoel_pdf.rar” contenía un archivo ejecutable “Detalles de reservaciones en PDF MANOEL CARVALHO hospedagem familiar detalhes PDF.exe”. El nombre del archivo se traduce en “Detalles de reservaciones en PDF MANOEL CARVALHO guesthouse details PDF.exe” de portugués a inglés, lo que indica que probablemente se dirigirá a usuarios de habla portuguesa o brasileña.

El ejecutable malicioso compilado en Delphi usa un disfraz de ícono de documento PDF como se muestra en la Figura 5.

Figura 5: icono de PDF utilizado en el ejecutable

Este ejemplo funciona principalmente como un descargador para descargar las cargas útiles de la siguiente etapa. En la ejecución, se crea una carpeta oculta llamada ‘clientpc’ en la unidad C. Luego, las cargas útiles de la siguiente etapa libmySQL50.DLL, otlook.exe y cliente.dll se descargan en esta misma ubicación desde un sitio web de alojamiento de archivos, kinghost [.] Net, usando la URL drivemailcompartilhamentoanexos [.] Kinghost.net, como se muestra en la figura 6.

Figura 6: Carga útil de la siguiente etapa descargada de drivemailcompartilhamentoanexos [.] Kinghost.net

Si bien Otlook.exe y cliente.dll son archivos maliciosos, libmySQL50.DL es una biblioteca de mysql. El actor de amenazas usó libmySQL50.DLL para enviar los datos de la víctima al servidor. A continuación, se ejecuta otlook.exe. El descargador elimina todas las URL de descarga de la memoria caché WinINet del sistema como se muestra en la Figura 7.

Figura 7: Eliminar caché de URL

Una vez hecho esto, el malware se conecta más a la URL alojada en zzz.com [.] Ua para notificar que la víctima se ha infectado con el malware, como se muestra en la Figura 8.

Figura 8: Conexión a zzz.com [.] Ua

Análisis de las cargas útiles de la siguiente etapa

Otlook.exe es un ejecutable compilado de Delphi que carga libmySQL50.DLL y cliente.dll durante la ejecución, como se muestra en la Figura 9.

Figura 9: Otlook.exe cargando libmySQL50.DLL
y cliente.dll durante la ejecución

Funciona principalmente como spyware, haciendo lo siguiente:

  • Registra capturas de pantalla y guarda como guarda el nombre del archivo como pantalla <número> .jpg en la ubicación “C: \ clientpc” (usando GetDesktopWindow, GetDC de API)
  • Registra los datos del portapapeles en la ubicación “C: \ clientpc \ capctrl.txt” (usando la API GetClipboardData)
  • Registra todas las pulsaciones de teclas en la ubicación “C: \ clientpc \ relatorio.log” (utilizando la API GetAsyncKeyState)
  • Similar al descargador de la primera etapa, elimina todas las URL de descarga de la caché de WinINet.

Otlook.exe descarga un archivo llamado “dblog.log” de la URL http://www.albumdepremios.com [.] Br / hostmeu con User-Agent: Otlook como se muestra en la Figura 10.

Figura 10: dblog.log descargado de
http://www.albumdepremios.com [.] Br / hostmeu

Contiene las credenciales del servidor de la base de datos SQL externa en un formato codificado. Esto se decodifica en el bucle de descifrado presente en otlook.exe como se muestra en la Figura 11.

Figura 11: Bucle de descifrado para dblog.log

Los valores decodificados contienen las credenciales del servidor, nombre de usuario, contraseña, puerto y base de datos para filtrar los detalles de la víctima al servidor SQL como se muestra en la Figura 12.

Figura 12: credenciales de la base de datos SQL

En la Figura 13 se muestra una exportación de la exfiltración de SQL C2.

Figura 13: Exfiltración de SQL

Otlook.exe también descargó dos archivos cfg llamados cliente.cfg y filtro.cfg de la URL http: //www.albumdepremios [.] Com.br/heisen a la ubicación “C: \ clientpc”. Los archivos cfg contenían los detalles de configuración como DNS, puerto, registro, ID y filtro para la conexión. También observamos que el atacante rotaba constantemente las credenciales de la base de datos actualizando el archivo dblog.log.

La base de datos SQL contenía una base de datos y dos tablas en el servidor, como se muestra en la Figura 14.

Figura 14: tablas y bases de datos del servidor SQL

Durante nuestro análisis, identificamos que el actor de amenazas estaba particularmente interesado en inspeccionar un conjunto específico de máquinas y capturar capturas de pantalla de las máquinas de las víctimas que se vieron comprometidas por este ataque.

Derivamos esto porque notamos muchas respuestas de máquinas infectadas, pero solo unas pocas estaban siendo vigiladas activamente. Al momento de escribir, el actor de amenazas estaba monitoreando activamente 20 hosts infectados.

Variedades similares – Lazos y conexiones

Utilizando VirusTotal Passive DNS, pudimos identificar muestras similares que se comunican con C2 – albumdepremios [.] Com.br, como se muestra en la Figura 15.

Figura 15: Registros DNS pasivos de albumdepremios [.] Com.br

Creemos que un malware similar ha existido desde principios de 2014, y esta última ola de ataques ha estado en curso desde febrero de 2019, en base a los resultados pasivos de DNS y nuestro marco interno de inteligencia de amenazas.

Es posible que el mismo actor de amenazas haya estado involucrado en estos ataques, o que el código fuente haya sido reutilizado por múltiples actores durante este período.

A medida que continuamos nuestro análisis sobre las tensiones, vínculos y conexiones similares, identificamos otra URL de sitios de Google creada por el actor de amenazas. La actividad del sitio se muestra en la Figura 16.

Figura 16: malware similar alojado en los sitios de Google

El modus operandi es el mismo, pero la URL del descargador de la primera etapa se ha actualizado como se muestra en la Figura 17.

Figura 17: Urls descargador de la primera etapa actualizado

El Registro Whois del C2, albumpremios [.] Com.br, se muestra en la Figura 18.

Figura 18: Registro de Whois de albumpremios [.] Com.br

El Registro Whois establece que el sitio web se creó en marzo de 2014 y se hospedó en Brasil. Sobre la base de los detalles recopilados, existe un alto grado de confianza de que el actor de la amenaza está atacando a personas de Brasil.

Conclusión

Identificamos el malware bancario denominado “LoadPcBanker” entregado a través de los sitios de Google, dirigido a personas de Brasil y utilizando SQL como un canal de exfiltración.

También descubrimos que el actor de amenazas utilizó la plantilla de archivadores de los sitios clásicos de Google para alojar malware, y que Google no bloquea las cargas. Si bien el uso de Google Sites parece nuevo, al utilizar nuestros sistemas internos, repositorios de muestra y Netskope Threat Intelligence Framework, pudimos rastrear los orígenes de este ataque hasta principios de 2014.

Netskope Threat Research Labs continuará monitoreando el mecanismo de entrega y los desarrollos del actor de amenazas. 

Recomendaciones del Netskope Threat Research Labs

Netskope recomienda lo siguiente para combatir campañas de malware:

  • Compruebe siempre el dominio del enlace. Conozca los dominios que se utilizan normalmente cuando inicia sesión en servicios confidenciales.Además, ser capaz de identificar dominios de almacén de objetos comunes.Este conocimiento lo ayudará a diferenciar entre sitios de phishing / malware bien diseñados y sitios oficiales.
  • Implemente una solución de control y visibilidad en tiempo real para monitorear las actividades en cuentas en la nube autorizadas y no autorizadas.
  • Obtenga amenazas completas y detección de malware para IaaS, SaaS, PaaS y la web con detección y remediación de amenazas en múltiples capas en tiempo real para evitar que su organización propague, sin saberlo, amenazas similares.
  • Realice un seguimiento activo del uso de aplicaciones en la nube no autorizadas y aplique políticas DLP para controlar el ingreso y el abandono de los archivos y datos de su entorno corporativo
  • Cree una política de seguridad para bloquear archivos PE con un tipo de contenido de archivo diferente “imagen / png” “imagen / jpg”
  • Cree una política de seguridad para bloquear agentes de usuarios desconocidos como “User-Agent: otlook”
  • Advierta a los usuarios contra la apertura de archivos adjuntos que no sean de confianza, independientemente de sus extensiones o nombres de archivos.
  • Advierta a los usuarios que eviten ejecutar cualquier archivo a menos que estén muy seguros de que son benignos, incluso si el archivo que se entrega parece ser algo legítimo, como sites.google.com
  • Pase el mouse sobre todos los hipervínculos para confirmarlos antes de hacer clic en el enlace.
  • Habilite la autenticación de dos factores para las cuentas de correo electrónico como medida de seguridad para evitar que los atacantes accedan a la cuenta de correo electrónico incluso si conocen la contraseña
  • Mantenga los sistemas y antivirus actualizados con las últimas versiones y parches.

Notas relacionadas

Waterbug: 3 campañas de espionaje gubernamental

Apagón Masivo, otro punto oscuro de 2019

Group-IB y NGN International se asocian en Bahrein para ayudar a enfrentar al cibercrimen

 

 

Netskope Threat Research Labs

Netskope Threat Research Labs

Netskope Threat Research Labs

Netskope Threat Research Labs

Netskope Threat Research Labs

Netskope Threat Research Labs

Netskope Threat Research Labs

Netskope Threat Research Labs

Netskope Threat Research Labs

Netskope Threat Research Labs

Netskope Threat Research Labs

Netskope Threat Research Labs

Netskope Threat Research Labs

Netskope Threat Research Labs

Netskope Threat Research Labs

Netskope Threat Research Labs

Netskope Threat Research Labs

Netskope Threat Research Labs

Netskope Threat Research Labs

Netskope Threat Research Labs

Netskope Threat Research Labs

Netskope Threat Research Labs

Netskope Threat Research Labs

Netskope Threat Research Labs

Netskope Threat Research Labs

Netskope Threat Research Labs

Netskope Threat Research Labs

Netskope Threat Research Labs

Netskope Threat Research Labs

Netskope Threat Research Labs

Netskope Threat Research Labs

Netskope Threat Research Labs

Netskope Threat Research Labs

Netskope Threat Research Labs

Netskope Threat Research Labs

Netskope Threat Research Labs

Netskope Threat Research Labs

Netskope Threat Research Labs

Netskope Threat Research Labs

85 / 100