Troyanos Bancarios en Peru II

Hola.

Antes de leer esto, asegurate de leer la primera parte de este post aqui .

En la primera parte mostre la manera como el malware era descargado a la victima haciéndose pasar por una postal de amor. Ahora veremos el funcionamiento del malware una vez ejecutado por la victima. El escenario : la victima recibe el correo, confia en el titulo, descarga el archivo Postal.exe y lo ejecuta.

Antes de empezar, es importante recalcar que si reciben un archivo sospechoso NO LO EJECUTEN, apliquemos la politica del implicit deny. Todo lo que parece extraño, lo desechamos y solo leeremos y abriremos correos de contactos conocidos. Ademas tengan en cuenta tener siempre un antivirus actualizado. Por otro lado, si lo que quieren hacer es jugar con el malware para ver lo que hace, utilicen una maquina virtual para probarlo. Aunque algunos tipos de malware reconocen si estan corriendo sobre una maquina virtual y no ejecutan su payload, pero eso para otro dia.

Ok, una vez ejecutado el malware lo primero que notamos es trafico de red inusual. Utilizamos un analizador de paquetes como Wireshark para ver mas alla de lo evidente.

En los paquetes 1y2 se observa una resolución DNS de un dominio .com. Al revisar el host, vemos que es de una empresa de latinoamerica cuyo servidor probablemente ha sido vulnerado como parte de la campaña. En 3,4 y 5 vemos el establecimiento de una sesión TCP el famoso SYN - SYN-ACK - ACK hacia el puerto 80 del server mencionado. A partir del paquete numero 6 vemos lo mas interesante, un requerimiento HTTP con el metodo GET hacia un recurso localizado en /images/bg.jpg

Al ver el contenido de esta supuesta imagen las primeras lineas nos develan la naturaleza del ataque.  

Al final del archivo, vemos lo mas interesante.

En su totalidad, este es el famoso archivo hosts. Para los que no saben que es, una breve descripcion. Como sabemos, los equipos en internet utilizan su dirección IP para comunicarse entre ellos. Dado que seria imposible para un ser humano acordarse de los numeros IP de todos los dominios que visita, se invento el protocolo DNS para resolver una direccion IP a un nombre de dominio. Claro, es mas facil para un usuario acordarse de www.google.com que de 74.125.226.115.

Sin embargo, el sistema operativo, antes de mandar una consulta al servidor DNS, lo primero que hace es revisar el archivos hosts. Este es un simple fichero localizado en el sistema de archivos del equipo (en Windows: C:\Windows\System32\drivers\etc\hosts En linux: /etc/hosts ) que contiene entradas con la estructura Direccion IP : Dominio. En resumen, cuando escribes en tu navegador www.google.com lo que hace el sistema operativo primero es buscar en el archivo hosts si existe alguna entrada para ese dominio (www.google.com). De existir, toma la direccion IP del archivo e intenta conectarse al mismo. Es decir, ya no hace la consulta DNS y confia en el archivos hosts.

Este ataque es conocido como Pharming. Lo que hace el malware primero es descargar un archivo hosts modificado maliciosamente y sobreescribe el archivo original del equipo por el descargado, de manera que cuando el usuario intente conectarse a cualquiera de esos dominios (todos de ellos bancos peruanos) en realidad se estara conectando a la IP del atacante quien configura un servidor Web en el equipo para que a la victima se le presenta una Web idéntica a la de su banco y de esta forma podra obtener las credenciales para luego hacer transacciones fraudulentas.

Como vemos, una única direccion IP es utilizada para todos los dominios. Al analizar el registro de esa dirección IP en la base de datos Whois de ARIN podemos observar que le pertenece a la empresa Turnkey Internet Inc localizada en Norteamerica. Esta empresa brinda servicios de hosting y servidores dedicados. Luego de realizar un DNS reverso y un escaneo de puertos, concluimos que el atacante adquirió un VPS (Virtual Private Server) de la compañia que tiene un costo que varia entre 39 y 129 dolares al mes. Ya saben lo que dicen, para ganar dinero hay que gastarlo. Habrá comprado el atacante este servicio son su propia tarjeta de crédito o con una robada ? De ser lo primero entonces Turnkey Internet Inc tiene la identidad real de nuestro atacante en su base de datos...

Viendo el escaneo de puertos vemos una tipica instalacion por defecto de un VPS, con un CPanel y Plesk para su facil administracion. SMTP, POP3, POP3S, IMAP, IMAPS, DNS, muchos servicios innecesarios lo que nos muestra que el atacante no hizo un hardening de su servidor y que nos puede dar una luz respecto a su perfil. Lo mismo si ingresamos al servidor Web sin suplirle una cabecera HOST, vemos algunos archivos por defecto de una instalación de apache.

Jugando un poco con las aplicaciones Web falsas me asombra el nivel de detalle que el atacante le ha añadido (todo en php). Incluso implementa la tarjeta de coordenadas utilizadas por muchos bancos para que las victimas no sospechen. Probando algunas cosas, logro forzar un error PHP en el servidor lo que nos brinda un Full Path Disclosure y podemos averiguar el usuario con el que el atacante maneja su servidor: PEPITOCO. Al googlear este nick, vemos varios resultados pero no encontramos nada relevante.

Lamentablemente cuando quise darle mas tiempo para analizar esta campaña, el servidor del atacante habia sido dado de baja por el proveedor.

Con esto terminamos. Hemos visto a grandes rasgos el funcionamiento de un troyano bancario desde su propagación hasta su ejecución. Algo importante es que este malware apunta exclusivamente a bancos peruanos. Alrededor de 3 meses despues de iniciada la campaña el servidor del atacante fue dado de baja. En ese tiempo, cuántas victimas habrán ingresado sus credenciales en esos portales falsos ?

No lo olviden, desechar todo correo extraño. No está demas revisar si su archivo hosts no tiene algo extraño. Lo pueden encontrar en :
C:\Windows\System32\drivers\etc\hosts

Saludos.
MVelazco
http://twitter.com/mvelazco