En nuestro día a día, es posible que en nuestro correo recibamos bastante spam, hay veces que se queda en un simple anuncio molesto y otras veces puede venir acompañado de sorpresas inesperadas como phishing o malware. Este es el caso que os venimos a contar, una historia real en la que se produce una infección por malware a través de un correo electrónico.
Antes de comenzar queremos decir que la entidad afectada se trata de una entidad universidad/escuela de negocios/centro de estudios que por motivos obvios no vamos a especificar, igualmente se han llevado a cabo las notificaciones pertinentes a las autoridades.
Hoy venimos con historias verídicas y a cacharrear un poco entre medias, que al final es lo que nos mola ¿no? así que sin más tardar y con premura vamos a comenzar.
Era un día normal, entre semana, una tarde lluviosa de invierno. Serían las cuatro de la tarde, Celia (nombre inventado para proteger su identidad) ya había comido y justo iba a aprovechar esta hora de la siesta para comprobar el correo.
Enciende su ordenador como suele hacer normalmente y abre su correo electrónico. Es en ese momento en el que se encuentra un correo de una profesora de la universidad contestando sobre un hilo anterior en el que intercambiaban una actividad.
Lee el correo, mmm, está en Inglés, pero parece algo urgente e importante y además viene de la profesora, viene con un adjunto, así que decide bajarlo. El adjunto parece ser un excel, lo abre pero no la deja continuar si no habilita las macros. Celia pulsa sobre el botón y se da cuenta de que se ha infectado.
Es ese el preciso instante en el que piensa, me infecté, decide ponerse en contacto con el centro en el que estudia. Llama por teléfono, explica su situación y la respuesta es: “ah, sí, eso es un virus, no lo abras” y nada más.
El análisis del malware
Gracias a nuestra compañera Marta Violat que nos ha facilitado el caso y el correo de la víctima. Hemos tenido acceso al bicho y hemos decidido hacer un pequeño análisis del mismo (análisis de noob 😉).
Lo primero que hacemos cuando llega a nosotros es pasarle el antivirus. El que tenemos, al menos en mi caso, es uno de pago con muy buena reputación, pero no detecta nada malicioso.
Lo siguiente que hacemos es pasarlo a la máquina virtual. Una vez lo tenemos en esta le lanzamos el comando “cat” de Linux que nos dice el contenido del fichero.
Aquí con esto ya tenemos mucha chicha, pero mucha, vamos a verlo.
Aquí podemos ver el típico mensaje en el que el atacante nos está intentando engañar para que pulsemos sobre el botón. Una vez hemos pulsado sobre el mismo (como víctimas) hace una conexión a un servidor y baja e instala una serie de ficheros. Unas líneas más abajo vemos dónde hace la conexión:
Tras esto, no necesitábamos mucho más para corroborar que era malicioso.
Vamos a ver que tiene el dominio:
Parece que se trata de un WordPress con supuesto contenido legítimo y la plantilla por defecto. No obstante no podemos descartar que sea vulnerado.
Pero, aún así, decidimos pasarlo por una SandBox, para ver si sacábamos algo más. Os dejamos con todo el proceso.
En primer lugar se abriría el fichero:
Una vez se ha abierto el mismo, nos encontramos con el texto que hemos visto antes:
Y una vez se le da a permitir la edición, se ejecuta la macro.
Desde la SandBox se detectan los siguiente ejecutables, el segundo de ellos es el que vimos ya con el comando cat de Linux.
Y posteriormente, en conexiones encontramos también más información:
Una vez tenemos estos datos, vamos a ver en VirusTotal a ver si conseguimos sacar algún tipo de información.
Los hashes del fichero son:
Pero, en este caso no tenemos nada:
Pausa para poner en orden las evidencias
Analizamos el fichero, comprobamos que realiza conexiones, que accedemos al servidor y tiene un WordPress, que buscamos los hashes y no hay nada… en definitiva, no sabemos nada. Solo que es muy sospechoso.
Continuamos mirando
Empezamos a buscar un poco por fuentes abiertas, a ver si encontrásemos información sobre campañas de éste malware o incluso, por qué no, algún informe de algún analista que sepa de verdad analizar malware 😜.
Buscando llegamos a un SandBox online, que resulta que lo tiene categorizado como malicioso:
Y nos dice también los modos de actuación alineados con Mitre:
Conclusiones
Tras las evidencias aportadas con anterioridad podemos determinar que muy posiblemente es malicioso, recomendando tomar acciones para su completa eliminación de los sistemas, no solo de este fichero sino de todos los demás que han sido modificados o añadidos tras la ejecución del mismo. Por ello es muy importante tener copias de seguridad.
Sobre el antivirus, en este caso no lo ha detectado, no son infalibles, pero, imaginad no tener ninguno… entonces muy probablemente seríamos un coladero de bichos.
Respecto al correo electrónico aparentemente legítimo podemos pensar qué o bien es un email spoofing, o una mala configuración del servidor o que la profesora sufrió un ataque de ingeniería social que reveló sus claves de acceso de forma exitosa. No podemos saberlo con seguridad pues, entre otras cosas, no tenemos las cabeceras del correo original.
Tools
Herramientas que hemos usado para todo esto, SandBoxes online, etc.
- https://app.any.run/
- https://www.joesandbox.com/
- Máquina Virtual con base Unix
Notificación a las autoridades
Antes de acabar queríamos recordaros que si os encontráis con un caso de este tipo se debería hacer un correcto reporte a las autoridades pertinentes, ya sea Policía Nacional, Guardia Civil, INCIBE o incluso el CERT.
Un saludo y nos vemos en la próxima!!
CTI Product Owner Telefónica Tech | De la comunidad para la comunidad, hagamos de la ciberseguridad española un referente | Ciberseguridad, inteligencia, defensa…
[…] artículo de la semana pasada, el anterior domingo de cacharreo, sobre la campaña de malspam, tuvo mucho apoyo. Por ello hoy damos un paso […]