Investigadores de ESET analizan una campaña de spam que distribuye malware y que apunta principalmente a usuarios de Francia
En mayo de 2019, investigadores de ESET observaron en los datos de telemetría de ESET un aumento en la actividad de malware dirigido a Francia. Después de posteriores investigaciones, identificaron la presencia de malware distribuyendo diferentes tipos de spam. Uno de estas campañas de spam está llevando a las personas a una encuesta que redirige a una promoción de smartphones poco creíble, mientras que la otra está llevando adelante una campaña de sextorsión. El spam está dirigido a usuarios de Orange SA, un ISP francés al cual notificaron antes del lanzamiento del informe.
Creen que este spambot está bajo un fuerte desarrollo y ha cambiado mucho desde la primera vez que lo detectaron. Si bien AnyRun hizo una mención en Twitter sobre esta amenaza; hasta donde ellos saben, nadie publicó un análisis detallado de la misma.
Resulta interesante de este spambot su capacidad para robar contraseñas, espiar la pantalla de sus víctimas utilizando FFmpeg cuando ven contenido pornográfico en línea, y el hecho que su comunicación con el servidor de C&C se realice a través de Tor; mientras que el spam se envía como tráfico regular de Internet. En este artículo describiremos las funcionalidades de este malware.
Blancos de ataque y distribución
Distribución
Varenyky fue visto por primera vez a principios de mayo de 2019. Lamentablemente, no podemos decir cómo fue que se distribuyó en ese momento, pero la forma de distribución más reciente a través de correos de phishing, sumado al contexto, sugieren que el operador ha estado utilizando esta técnica desde el principio.
Un mes después, en junio de 2019, ESET observó el primer documento malicioso que inicia la infección de la computadora de la víctima, adjunto a un mensaje de correo electrónico (Figura 1).
El correo que se puede observar en la Figura 1 indica que hay una factura disponible y adjunta de 491,27 euros. El nombre de archivo del documento de Microsoft Word contiene la palabra “facture”, término en francés que significa “factura”. Por otra parte, cuando la víctima abre el documento se indica que el mismo está protegido por Microsoft Word y “requiere verificación humana”.
El contenido del documento (Figura 2) explica cómo habilitar la “verificación humana”, lo cual en realidad quiere decir cómo habilitar macros. Por motivos de seguridad, las macros en Word no están habilitadas de forma predeterminada y necesitan la interacción del usuario para ejecutarse.
En general, el contenido del mensaje del correo, el nombre del archivo del documento y el contenido “protegido” del documento enfatizan a los destinatarios que están tratando con una factura real y que deben abrirla. Por otra parte, el nivel del francés es muy bueno, por lo que el documento en general resulta convincente.
Blancos de ataque
Varenyky apunta a usuarios franceses. La macro (Figura 3) contenida en el documento de Word tiene dos propósitos: el primero es filtrar a las víctimas no francesas en función de la ubicación de sus computadoras y el segundo es descargar y ejecutar el malware.
La macro utiliza la función Application.LanguageSettings.LanguageID () para obtener el ID de idioma de la computadora de la víctima. Esta ID contiene el país y el idioma establecido por el usuario. El script verifica si el valor devuelto es 1036 en decimal (o 0x40C en hexadecimal) y, según la documentación de Microsoft, este valor corresponde a Francia y al idioma francés.
Este es un buen truco para engañar a los analizadores de muestras automáticos y evitar llamar la atención debido a la cantidad limitada de configuraciones de computadora en las que se instalará este malware.
Vale la pena señalar que al utilizar este identificador de configuración regional específico el malware excluye a los países de habla francesa que no sean Francia, como es el caso de Bélgica y Canadá, que tienen sus propios identificadores.
También hay una verificación adicional del idioma en el ejecutable descargado en función a la distribución del teclado. Esta verificación la realiza el ejecutable que la macro descarga y ejecuta al principio (Figura 5).
Describamos la funcionalidad del malware una vez que se ejecuta en uno de los sistemas blanco de su ataque.
Análisis técnico y funcionalidad de Varenyky
Las anteriores variantes de Varenyky utilizaban el empaquetador UPX, pero las muestras más recientes utilizan un empaquetador personalizado. El desempaquetador personalizado primero aplica XOR a su payload con una cadena alfanumérica de 32 caracteres y luego lo descomprime utilizando el algoritmo LZNT1, que es una variante de LZ77. El malware desempaquetado nunca se escribe en el disco.
Si el malware aún no se instaló, creará un directorio en % APPDATA% con un nombre específico. Es un hash en mayúsculas compuesto por el GUID de la máquina, el nombre de usuario, el nombre de la computadora y el nombre de la CPU. Crea un mutex que es nombrado con este mismo hash para evitar que se ejecuten dos instancias al mismo tiempo.
El payload malicioso extraerá múltiples librerías y el ejecutable Tor, las cuales están embebidos dentro de sí mismo, en el directorio que acaba de crear. Estas librerías incluyen zlib y dependencias para programas compilados con MinGW. El ejecutable del malware es finalmente copiado en este directorio y el original es eliminado del directorio temporal donde se descargó a través de la macro.
También se hace persistente al agregar una entrada a HKLM\Software\Microsoft\Windows\ CurrentVersion\Run en el Registro de Windows. El mutex es liberado y el malware se reinicia desde su directorio en % AppData%.
En la segunda ejecución, el malware se da cuenta de que ya está instalado. Por lo tanto, ejecutará Tor y recuperará su dirección IP externa utilizando el servicio checkip.amazonaws.com de AWS.
Comenzará dos hilos: uno que se encarga de enviar spam y otro que puede ejecutar comandos provenientes de su servidor C&C. Aquí es donde las versiones del malware difieren. Algunas variantes envían spam al mismo tiempo y algunas tienen diferentes funcionalidades en lo que respecta a los comandos que el servidor de C&C puede ejecutar. Toda la comunicación con el servidor C&C se realiza a través de Tor en jg4rli4xoagvvmw47fr2bnnfu7t2epj6owrgyoee7daoh4gxvbt3bhyd.onion usando el protocolo HTTP.
Las primeras versiones del malware podían recibir un comando para descargar y ejecutar un archivo. Estas versiones eran capaces de manipular archivos ejecutables, archivos por lotes y scripts de PowerShell, aunque el soporte para esta última capacidad fue eliminado más tarde. El malware también podía recibir instrucciones para actualizarse con un ejecutable que debía descargarse de una URL específica. Hay otro comando que desinstalará el malware de la computadora, aunque no elimina el cambio que realizó en el registro.
Un nuevo comando fue añadido más tarde, el cual permite al malware desplegar dos herramientas de NirSoft: WebBrowserPassView y Mail PassView. Se trata de herramientas de recuperación de contraseña, la primera para el navegador web y la segunda para clientes de correo electrónico. El malware abusa de forma rutinaria de estas herramientas, por lo que ESET las detecta como aplicaciones potencialmente inseguras. En ambos casos son embebidas dentro del malware como archivos ejecutables comprimidos con el algoritmo LZNT1. Se extraen, se inyectan en otro ejecutable y se ejecutan para robar las contraseñas de la víctima, que luego se extraen al servidor de C&C.
El comando agregado más recientemente creará un escritorio oculto en la computadora de la víctima. En este sentido, el malware puede ser utilizado para iniciar varias aplicaciones que tienen una interfaz gráfica, como los navegadores web y el cuadro de diálogo Ejecutar (Run) de Windows en este escritorio invisible. Por otra parte, tiene la capacidad de realizar diversas tareas, como navegar por los menús, leer texto, tomar capturas de pantalla, hacer clic en la pantalla y también minimizar, restaurar y maximizar ventanas.
Una característica que apareció pero que luego se modificó en versiones posteriores hasta ser finalmente eliminada fue una función que hizo que el malware escaneara el título de las ventanas abiertas en la computadora. A través de dicha función, si el malware encontraba una palabra relacionada a pornografía en francés o la palabra “bitcoin” en el título de una ventana, enviaba el título de la ventana a su servidor C&C.
Esta característica se modificó más tarde para que, al encontrar la palabra “sexe”, el malware grabara la pantalla de la computadora utilizando un ejecutable FFmpeg que previamente habría descargado a través de la red Tor. Una vez realizada la grabación, el video se subió al servidor de C&C.
Estos videos podrían haber sido utilizados para realizar un chantaje sexual; práctica conocida como sextorsión. Se desconoce si estos videos fueron grabados por curiosidad del autor/autores del spambot o con la intención de monetizarlos a través de la sextorsión. Las diferentes versiones de este malware utilizaron diferentes strings para identificarse frente al servidor de C&C. Uno de ellos era “Bataysk“, que es una ciudad rusa conocida por tener un “monumento que muestra la mano de un hombre agarrando un seno femenino”. Otra muestra identificada como “PH”, que probablemente representa las iniciales de un popular sitio web de pornografía. Y otra versión identificada con el string “Gamiani_MON”; donde Gamiani es el título de una novela erótica francesa y “MON” probablemente esté relacionado con “monitoreo”.
“Tienes un nuevo correo”: concurso por un Smartphone y campaña de sextorsión
Este spambot enviará correos electrónicos utilizando el protocolo SMTP a través del puerto 25 y solo se dirige a los clientes del ISP francés Orange. Cada bot recibe instrucciones del servidor de C&C para elaborar un correo electrónico, incluido el cuerpo del mensaje, una lista de direcciones de correo electrónico y el servidor que se utilizará para enviar los correos electrónicos. Los servidores de correo utilizados para llevar a cabo el spam no parecen pertenecer a los actores maliciosos; más bien parecen servidores que no se han protegido correctamente y no requieren autenticación.
Los mensajes de spam enviados por este spambot son tan simples como “Si este mensaje no se visualiza correctamente, haga clic aquí” o “Siga el enlace: <URL>”. También hay correos electrónicos con archivos adjuntos. Estos enlaces conducen a una estafa, que es una encuesta donde la víctima siempre “gana” una promoción para un modelo de smartphone reciente.
El enlace lleva a las víctimas a un sitio donde aparentemente tienen la oportunidad de “ganar” un premio como un iPhone X, un Galaxy S9 o S10 + por 2 euros o menos. Para ganar, “solo” necesitan ingresar su información personal; nombre, dirección, ciudad, correo electrónico y número de teléfono. Es posible que la dirección de correo ingresada no funcione si no es lo que la página web espera, pero si tiene éxito, se le pedirá a la víctima que ingrese la información de su tarjeta de crédito, incluidos sus números de validación.
Las personas deberían evitar proporcionar la información de su tarjeta de crédito a sitios web que no conocen ante ofertas que son demasiado buenas para ser verdad.
Tales ofertas son a menudo un esquema de engaño para obtener información de la tarjeta de crédito de un usuario con el fin de cobrarle tarifas mensuales, que el usuario a veces puede detectar al examinar la letra pequeña. Los concursos legítimos no cobran una tarifa a los ganadores para que puedan reclamar su premio.
Conclusión
Este spambot no está muy avanzado, pero el contexto y la historia a su alrededor lo hacen interesante. Podemos suponer que el hecho de que se dirija a Francia podría indicar que el operador entiende algo de francés, lee o habla el idioma, o tal vez ambos. Sin embargo, el documento de Word nos mostró una falta de atención por parte del operador. En la macro, el operador olvidó cambiar el valor de la variable test_debug, lo que significa que el malware se descargará sea cual sea el ID de idioma (francés o no francés).
Varias funciones de Varenyky están relacionadas a posibles extorsiones o chantajes dirigidas a víctimas que miran contenido pornográfico, y a pesar de haber también enviado correos no relacionados con la campaña de sextorsión, hasta donde nosotros sabemos los operadores no han aprovechado esto. Se han agregado muchas funciones y luego se eliminaron rápidamente en muchas versiones diferentes en un corto período de tiempo (dos meses). Esto muestra que los operadores están trabajando activamente en su botnet y están inclinados a experimentar con nuevas características que podrían generar una mejor monetización de su trabajo.
Recomendamos a las personas que tengan mucho cuidado a la hora de abrir archivos adjuntos de fuentes desconocidas. Mantenga actualizado el sistema y el software de seguridad.