• Saltar al contenido
  • Saltar a la barra lateral principal
  • Saltar al pie de página
  • Inicio
  • Auditoría
  • Eventos
  • Formación
  • General
  • Malware
  • Vulnerabilidades
  • Un blog de

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / Malware / Nueva campaña de envío de troyano: Sharik

Nueva campaña de envío de troyano: Sharik

28 noviembre, 2016 Por Hispasec Deja un comentario

El método más habitual para la propagación de un troyano sigue siendo las campañas de envíos masivos de correos con un adjunto. Como es frecuente, se suelen acompañar de un mensaje atractivo que mediante la ingeniería social incite al usuario a abrir el adjunto con el malware. Una nueva campaña de envíos de este tipo está dando a luz, esta vez distribuye a “Sharik“.
Sharik es un troyano que afecta a la plataforma Windows y aprovecha para inyectarse en procesos legítimos y añade entradas al registro necesarias para mantener persistencia. Además, envía toda la información recolectada a un servidor remoto, incluso llega a aceptar comandos del atacante.
Nos llega en forma de e-mail a través de este correo, con un adjunto.
Recibido por parte de mgXXXXoz@gmail.com

“Buenos días,

 Como hemos comentado, te adjunto la escritura con las rectificaciones marcadas en amarillo. He hablado con los compradores y esta mañana me mandan una copia del cheque. 

Un saludo,“

Este adjunto es el troyano que comience el proceso de descarga (dropper), y entre otras cosas creará una serie de carpetas en %APPDATA%.
Comienza conectándose al servidor remoto y aprovecha para descargarse los archivos necesarios para continuar con la infección. Entre ellos, un binario de php funcional (junto a su librería), y un archivo .php que utilizará más adelante.
El archivo en PHP, que se lanza haciendo uso de dicho binario es el que mostramos a continuación:
Contenido del archivo .php utilizado en conjunto con el binario de PHP descargado.
En esta ocasión, logramos tener acceso al archivo PHP descifrado.
Basta comprobar el registro para descubrir las evidencias de la persistencia de este Malware:
Siguiendo el flujo de peticiones al dominio remoto, observamos como en una de las peticiones se obtiene un binario:

De esta forma, el flujo de funcionamiento del troyano tras su ejecución es inicialmntente se guarda en el registro, tras lo cual lanza el php y el binario oculto

Como es habitual para evitar este tipo de amenazas se recomienda no abrir los adjuntos que provengan de orígenes desconocidos o no solicitados. La prevención es la mejor defensa.

Binario: https://www.virustotal.com/en/file/5eea0da8c31b48ce3e88fdd0f24192a4305a472f1f44f3740796d0622feb7f9b/analysis/1480321674/
Archivo php: http://pastebin.com/nUm4Sxt4

Actualización (29/11/2016):

El Laboratorio Técnico de Hispasec sigue investigando este malware y detectamos una nueva campaña de envío. El correro cambia, aunque el malware se mantiene:

@unaaldia Actualización con nuevo correo, mismo malware. pic.twitter.com/xaxsEU4s5a

— Fernando (@entdark_) 29 de noviembre de 2016

//platform.twitter.com/widgets.js

Fernando Díaz
fdiaz@hispasec.com

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Archivado en: Malware

Interacciones del lector

Deja un comentario Cancelar respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral primaria

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

  • E-mail
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Populares de UAD

  • 2,7 millones de grabaciones de pacientes suecos expuestas en un servidor web sin contraseña
  • Fuga masiva de datos personales en India: 6.7 millones de usuarios afectados.
  • Una nueva familia de malware para MacOs pasa desapercibida al disfrazarse de un ejecutable de Windows
  • Un fallo de seguridad en Facebook permite ver fotos privadas de otros usuarios
  • Vulnerabilidad crítica en Wordpress pasa desapercibida durante más de 6 años

Entradas recientes

  • Vulnerabilidad crítica en WordPress pasa desapercibida durante más de 6 años
  • 2,7 millones de grabaciones de pacientes suecos expuestas en un servidor web sin contraseña
  • Fuga masiva de datos personales en India: 6.7 millones de usuarios afectados.
  • Una nueva familia de malware para MacOs pasa desapercibida al disfrazarse de un ejecutable de Windows
  • Nueva campaña de Phishing contra Facebook
  • Un fallo de seguridad en Facebook permite ver fotos privadas de otros usuarios
  • Secuestro de cuenta en Facebook

Footer

Una al Día

Una-al-día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Vulnerabilidad crítica en WordPress pasa desapercibida durante más de 6 años
  • 2,7 millones de grabaciones de pacientes suecos expuestas en un servidor web sin contraseña
  • Fuga masiva de datos personales en India: 6.7 millones de usuarios afectados.
  • Una nueva familia de malware para MacOs pasa desapercibida al disfrazarse de un ejecutable de Windows
  • Nueva campaña de Phishing contra Facebook

Etiquetas

Android Apple D-Link Facebook Filtración Google iOS Koodous linux malware Microsoft Microsoft Edge MongoDB Moodle Mozilla mySQL Nagios Netgear NetWeaver NVIDIA ONTSI OpenOffice OpenSSH OpenSSL Opera Oracle OS X Pharming Phishing Photoshop PHP PostgreSQL Pwn2Own QuickTime ransomware RAT Red Hat safari Squid vulnerabilidad vulnerabilidades vulnerability Windows WordPress XSS

Copyright © 2019 · Hispasec

Utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestra web. Si sigues utilizando este sitio asumiremos que estás de acuerdo.Vale