Análisis de un dropper, que se disfraza como herramienta de hacking
Jesus rodriguez8 min read·Just now--
¿Y bueno gente como les va?, yo por mi lado estoy bastante bien y emocionado por contarles que encontré algo interesante para explicar, resulta que cierta persona en un grupo de Telegram, menciono haber sido infectado por un archivo que se descargó gracias a un conocido, resulta que era una herramienta parecida a lo que es openbullet, honestamente desconozco totalmente las diferencias, pero en este caso eso no es lo importante, lo importante es saber que el programa que esta persona ejecuto, no era más que un dropper, básicamente es un ejecutable que genera otros ejecutables, y esos ejecutables que genera son los programas maliciosos como tal, para ver esto mucho mejor procederemos a usar mi desensamblador de confianza IDA FREEWARE, y con este podremos ver mucho mejor esto que menciono.
PD: Si se preguntan cómo conseguir el pseudocodigo C, simplemente presionan F5, cuando ida genere el flujo del programa, e ida lo generara.
Una vez tenemos el pseudocodigo C del programa malicioso, podemos notar algo muy interesante, y es que el programa como mencionamos antes, crea varios .exe en la máquina de la víctima y una vez los crea, los ejecuta usando la función ShellExecuteW, la razón de mi interés por esta función, es que si nosotros quitamos esa función, podremos obtener los .exe maliciosos sin necesidad de infectarnos nosotros, para luego usar eso .exe, en una sandbox online (HybridAnalisis), y poder obtener mucha más información del malware, y para quitar esa función del programa, lo que haremos será nopear la llamada a esa función del programa, para eso usaremos el editor hexadecimal de ida, podríamos hacer esto mismo de una usando un depurador, pero honestamente prefiero no arriesgarme mucho y eliminar la llamada desde ida, sin necesidad de ejecutarlo de primeras.
Una vez hecho todo esto procederemos a guardar nuestro .exe modificado, y haremos un backup del original solo por si acaso.
Para verificar que he hecho el parche correctamente, simplemente lo abriré usando mi x64dbg, y buscare con intermodulars calls, llamadas a esa función.
Ahora simplemente ejecutaremos el programa paso por paso, hasta que genere los archivos, y una vez hagamos esto, cerramos nuestro depurador, y luego con una herramienta conocida como everything buscaremos en que parte de la computadora genera los archivos.
Pero además de esos archivos, al final también genera el .exe de la herramienta original, solo que el dropper lo oculta en la carpeta principal.
Así que ahora, lo que tendríamos que hacer es analizar cada uno de estos programas de acá, pero como no los quiero ejecutar en mi máquina virtual, usaremos la sandbox virtual que previamente mencione, para obtener mejor vista de los archivos.
Bueno resulta que hay muchos más archivos, pero esos tres son los más interesantes, así que me enfocare en esos, gracias a Hybrid-Analysis, pude obtener direcciones IP donde claramente se envían los datos robados, porque si esos tres archivos de ahí son stealers, para el que no sepa que es un stealer, es básicamente un programa que roba la información que el atacante quiera de una computadora infectada, estos datos suelen ser: Cookies, contraseñas, historial de búsqueda, wallets de criptomonedas, archivos de Word, tarjetas de crédito , entre otras cosas. El chiste es que básicamente te roban todo lo que puedan de tu computadora, para luego usarlos ellos o venderlos por ahí.
Cabe mencionar que esas tres capturas son de diferentes archivos, por ende los archivos mandan los datos a la misma IP en Alemania.
Por si se lo preguntan, a continuación mostrare los resultados que me dio la pagina web de shodan.
Como ambas direcciones IP, tienen el puerto 80 abierto decidí meterme con Tor Browser, a ver que contenía la pagina web de esas IPs.
Entonces empecé a analizar los textos de los programas con la página web de hybrid analysis, y encontré que uno de los archivos, más en concreto el llamado synconps.exe, contenía textos muy interesantes, a continuación, mostrare un par de ellos.
Esa ultima foto me pareció muy curiosa, muy probablemente detecte algunas herramientas de análisis, y al detectarla muy probablemente cierre el proceso.
Podemos ver también funciones de portapapeles, que suelen ser usados por malwares, para poder detectar cuando se copie un dirección de cualquier criptomoneda, y luego ellos remplazan esa wallet con una propia de ellos, y la final la victima termina depositando dinero a donde no es.
Podemos observar que incluso consigue información de la bios y de los antivirus que tenemos instalados, y por si fuera poco podemos ver que puede incluso ver nuestras descargas.
Entonces al final no perdí más tiempo y use IDA FREEWARE, para ver que más información podría obtener del malware.
Y gracias a IDA, pude conseguir las wallets de criptomonedas que usa el atacante para robar plata a sus víctimas, y gracias a cómo funcionan algunas blockchains de cripto, podemos ver cuando dinero tiene esa wallet, además de obtener información de transferencias, entre otras cosas.
Quisiera mostrar todas las wallets, pero honestamente me tomaría una eternidad, lo que queda claro es que nuestro amigo, ha robado un montón de dinero gracias a lo que mencione arriba de los malwares que verifican si tienes una wallet en tu portapapeles.
Y ya no solo roban eth, si se fijan hay un montón de wallets de diferentes criptomonedas, se han de robar bastante con esa madre.
Además, gracias a IDA, pude notar que este malware ofusca las llamadas a las funciones, esto puede saberlo gracias a el siguiente código, y es que GetProccAddress y LoadLibrary y GetModuleHandle, suele ser usado cuando se quiere ofuscar o llamar indirectamente a una función de la winapi, y cómo podemos observar este malware las usa en esta parte de acá.
Igualmente dejo el nombre de las funciones que llama en texto plano, así que muy avanzado tampoco es este truco.
Y bueno gente, dejaremos este análisis de malware por acá, ¿La razón?, además de que me dio flojera seguir analizando que más tiene el programa, siento que ya tengo la información suficiente para determinar que hace el programa, y cuál es su propósito, obviamente el propósito inicial del programa, es simplemente dropear diferentes malwares con diferentes propósitos, la razón de usar tantos es probablemente para que sea más difícil eliminarlos, y además de que cada uno cumpla un propósito distinto, ya que los otros por más que efectivamente hagan conexión a la IP que vimos antes, cada uno hace algo diferente en la computadora, la razón de no mostrarlos, es que simplemente el archivo que mostré, me pareció el más interesante que el resto de los que analice.
Y bueno por mi parte seguiré analizando el archivo más adelante, si consigo algo digno de mencionar, hare una segunda parte de este articulo mostrando ese descubrimiento, por ahora espero que les haya gustado este artículo, y a lo mejor hayan aprendido algo del funcionamiento de esta clase de programas maliciosos.
Así que eso es todo, por favor cuídense y no anden descargando vainas raras en sus computadoras, y si lo harán pues verifiquen que no vengan con sorpresas inesperadas, bueno eso sería todo.
