El método más habitual para la propagación de un troyano sigue siendo las campañas de envíos masivos de correos con un adjunto. Como es frecuente, se suelen acompañar de un mensaje atractivo que mediante la ingeniería social incite al usuario a abrir el adjunto con el malware. Una nueva campaña de envíos de este tipo está dando a luz, esta vez distribuye a «Sharik«.
Sharik es un troyano que afecta a la plataforma Windows y aprovecha para inyectarse en procesos legítimos y añade entradas al registro necesarias para mantener persistencia. Además, envía toda la información recolectada a un servidor remoto, incluso llega a aceptar comandos del atacante.
Nos llega en forma de e-mail a través de este correo, con un adjunto.
 |
| Recibido por parte de mgXXXXoz@gmail.com |
«Buenos días,
Como hemos comentado, te adjunto la escritura con las rectificaciones marcadas en amarillo. He hablado con los compradores y esta mañana me mandan una copia del cheque.
Un saludo,«
Este adjunto es el troyano que comience el proceso de descarga (dropper), y entre otras cosas creará una serie de carpetas en %APPDATA%.
Comienza conectándose al servidor remoto y aprovecha para descargarse los archivos necesarios para continuar con la infección. Entre ellos, un binario de php funcional (junto a su librería), y un archivo .php que utilizará más adelante.
El archivo en PHP, que se lanza haciendo uso de dicho binario es el que mostramos a continuación:
 |
| Contenido del archivo .php utilizado en conjunto con el binario de PHP descargado. |
En esta ocasión, logramos tener acceso al archivo PHP descifrado.
Basta comprobar el registro para descubrir las evidencias de la persistencia de este Malware:
Siguiendo el flujo de peticiones al dominio remoto, observamos como en una de las peticiones se obtiene un binario:
De esta forma, el flujo de funcionamiento del troyano tras su ejecución es inicialmntente se guarda en el registro, tras lo cual lanza el php y el binario oculto
Como es habitual para evitar este tipo de amenazas se recomienda no abrir los adjuntos que provengan de orígenes desconocidos o no solicitados. La prevención es la mejor defensa.
Archivo php: http://pastebin.com/nUm4Sxt4
Actualización (29/11/2016):
El Laboratorio Técnico de Hispasec sigue investigando este malware y detectamos una nueva campaña de envío. El correro cambia, aunque el malware se mantiene:
@unaaldia Actualización con nuevo correo, mismo malware. pic.twitter.com/xaxsEU4s5a
— Fernando (@entdark_) 29 de noviembre de 2016
Fernando Díaz
Deja un comentario