Se utiliza el troyano bancario Kronos para entregar nuevo malware de punto de venta

Descripción general

Los troyanos bancarios continúan evolucionando y los actores de amenazas los utilizan de nuevas maneras, al mismo tiempo que las campañas masivas de Dridex de 2015 han dado paso al ransomware y a otras cargas dañinas. Últimamente hemos observado varias campañas de correo electrónico relativamente grandes que distribuyen el troyano bancario Kronos. Sin embargo, en esas campañas, Kronos ha hecho las veces de cargador con un nuevo malware de punto de venta (POS) denominado ScanPOS a modo de carga dañina secundaria.

Dichas campañas no solo representan un repunte en las instancias que hemos observado del troyano bancario Kronos, sino también en una nueva aplicación de malware que se introdujo por primera vez en junio de 2014 y que se describió recientemente con respecto a las campañas dirigidas hacia Canadá [1].

Campañas por correo electrónico

El 10 y el 14 de noviembre, Proofpoint observó varias campañas de correo electrónico grandes, cada uno con decenas de miles de mensajes cada una, dirigidas a una gama de mercados verticales, incluyendo hotelería, educación superior, servicios financieros y atención médica. Los volúmenes relativos según el mercado vertical se muestran en la figura 1.

Objetivos verticales en varias campañas

Figura 1: Objetivos verticales en varias campañas

Las campañas llegaron a audiencias globales, pero estaban principalmente dirigidas al Reino Unido y a Norteamérica.

Los mensajes de correo electrónico contenían un documento adjunto o un vínculo, tal como hxxp://intranet.excelsharepoint[.]com/profile/Employee[.]php?id=[dirección de correo electrónico codificada con base64]. El dominio está bajo el control del atacante, pero finge estar asociado con Microsoft SharePoint. Al hacer clic en el vínculo se ocasiona que el usuario atacado descargue un documento malintencionado (figura 2 y 3).

Mensaje que solamente contiene un archivo adjunto malintencionado

Figura 2: Mensaje que solamente contiene un archivo adjunto malintencionado

Mensaje que contiene un archivo adjunto malintencionado y un vínculo de un documento nefasto

Figura 3: Mensaje que contiene un archivo adjunto malintencionado y un vínculo de un documento nefasto

El documento que observamos contenía una macro que descargaba Kronos [2] a partir de una dirección URL, tal como hxxp://info.docs-sharepoint[.]com/officeup[.]exe. El comando y control (C&C) de la carga dañina de Kronos es hxxp://www.networkupdate[.]club/kbps/connect[.]php. Las cargas dañinas de Kronos recibían tareas de descarga de al menos tres distintas cargas dañinas procedentes de las direcciones de URL siguientes:

  • hxxp://networkupdate[.]online/kbps/upload/c1c06f7d[.]exe - Smoke Loader
  • hxxp://networkupdate[.]online/kbps/upload/1f80ff71[.]exe - Smoke Loader
  • hxxp://networkupdate[.]online/kbps/upload/a8b05325[.]exe - ScanPOS

Documento con macro malintencionada y con el señuelo “Habilitar contenido”

Figura 4: Documento con macro malintencionada y con el señuelo “Habilitar contenido”

Ambas cargas dañinas de Smoke Loader [3] se configuraron para utilizar hxxp://webfeed.updatesnetwork[.]com/feedweb/feed[.]php a modo de C&C. Hasta ahora no hemos observado ninguna carga dañina adicional relacionada con estos dos ejemplos de Smoke Loader. Sin embargo, como se mencionó en la sección anterior, hemos observado una carga dañina de la variante ZeuS, la cual es descargada por la instancia de Smoke Loader que utiliza el mismo C&C.

La tercera carga dañina que observamos consiste en un nuevo malware de punto de venta (POS) llamado ScanPOS que tiene la capacidad para la exfiltración de datos por medio de HTTP (figura 5) números de tarjeta de crédito que son descubiertos mediante la búsqueda de procesos que estén ejecutándose en la memoria. Esa nueva variante de POS tiene un solo C&C predefinido en el código: hxxp://invoicesharepoint[.]com/gateway[.]php. Al igual que muchos otros dominios descritos aquí, esos dominios fingen estar relacionados con Microsoft SharePoint, pero son independientes y están bajo el control del atacante.

Los datos exfiltrados se codifican con base64 e incluyen:

  • Los datos robados
  • El proceso en el cual se encontraron los datos
  • El nombre de usuario

Es recomendable que consulte el artículo escrito por nuestros colegas de Morphick, el cual contiene otros análisis técnicos en cuanto a esta nueva variante de POS [4].

ScanPOS exfiltra datos de CC a través de HTTP

Figura 5: ScanPOS exfiltra datos de CC a través de HTTP

Otra actividad

En la campaña del 8 de noviembre que precedió a esta actividad observamos mensajes de correo electrónico y direcciones URL similares que seguían el mismo patrón que se utilizaba para entregar Kronos. Sin embargo, en esta campaña observamos vínculos que conducían al kit de explotación (EK) denominado RIG-v, seguidos por un redireccionamiento hacia Smoke Loader y ZeuS en un archivo .pif comprimido a modo de ZIP. Los vínculos seguían un patrón que era muy parecido al de campañas más recientes: hxxp://invoice.docs-sharepoint[.]com/profile/profile[.]php?id=[dirección de correo electrónico codificada con base64]. Los vínculos utilizaban un iframe que redirigía a las posibles víctimas hacia una instancia de RIG-v localizada en add.souloventure[.]org, al igual que hacia /download.php en el mismo servidor donde se encontraba el vínculo original (figura 6).

Redireccionamiento de Iframe hacia RIG-v y descarga de la carga dañina

Figura 6: Redireccionamiento de Iframe hacia RIG-v y descarga de la carga dañina

Lamentablemente, no observamos ninguna carga dañina entregada mediante esa cadena de redireccionamiento. Lo que observamos fue que /download.php devolvía una carga dañina a modo de EmployeeID-47267.zip que contenía ya sea una variante de Smoke Loader que utilizaba hxxp://webfeed.updatesnetwork[.]com/feedweb/feed[.]php como C&C, o bien, una variante de ZeuS que utilizaba hxxps://feed.networksupdates[.]com/feed/webfeed[.]xml como C&C. En la instancia en la que observamos Smoke Loader, este descargaba una variante de ZeuS que era idéntica (con el mismo algoritmo hash).

Conclusión

Las campañas que distribuyen ScanPOS se dirigen principalmente al segmento vertical de hotelería en Norteamérica y el Reino Unido, entre otros países que celebran las festividades navideñas y del día de Acción de Gracias. Con la época festiva a las puertas y con el aumento en los viajes y las compras, las organizaciones deberían permanecer atentas a las posibles infecciones con malware de POS, troyanos bancarios y otro malware que podría utilizarse para explotar las tendencias de la temporada. Continuaremos observando las campañas de Kronos, la distribución de ScanPOS y otras amenazas a medida que surjan.

Referencias

  1. https://www.proofpoint.com/us/threat-insight/post/banking-trojans-dridex-vawtrak-others-increase-focus-on-canada
  2. https://securityintelligence.com/the-father-of-zeus-kronos-malware-discovered/
  3. https://blog.malwarebytes.com/threat-analysis/2016/08/smoke-loader-downloader-with-a-smokescreen-still-alive/
  4. http://www.morphick.com/resources/lab-blog/scanpos-new-pos-malware-being-distributed-kronos

Indicadores de compromiso (IOC)

IOC Tipo de IOC Descripción
hxxp://invoice.docs-sharepoint[.]com/profile/profile[.]php?id=[dirección de correo electrónico codificada con base64] URL Vínculo de phishing, 8 de noviembre
hxxp://invoice.docs-sharepoint[.]com/profile/download[.]php URL Redireccionamiento del vínculo de phishing, 8 de noviembre
4b5f4dbd93100bb7b87920f2f3066782a8449eb9e236efc02afe570c1ce70cf5 SHA256 EmployeeID-47267.zip que contiene SmokeLoader en /download.php, 8 de noviembre
90063c40cb94277f39ca1b3818b36b4fa41b3a3091d42dfc21586ad1c461daa0 SHA256 SmokeLoader EmployeeID-47267.pif
711431204071b1e6f5b5644e0f0b23464c6ef5c254d7a40c4e6fe7c8782cd55c SHA256 EmployeeID-47267.zip que contiene ZeuS en /download.php, 8 de noviembre
4ba3913d945a16c099f5796fdeef2fda5c6c2e60cb53d46a1bfae82808075d74 SHA256 ZeuS EmployeeID-47267.pif
hxxps://feed.networksupdates[.]com/feed/webfeed.xml URL C&C de ZeuS, 8 de noviembre
add.souloventure[.]org Dominio Dominio RIG-v, 8 de noviembre
hxxp://intranet.excelsharepoint[.]com/profile/Employee[.]php?id=[dirección de correo electrónico codificada con base64] URL Vínculo de phishing, 10 de noviembre
a78b93a11ce649be3ca91812769f95a40de9d78e97a627366917c4fcd747f156 SHA256 EmployeeID-847267.doc descargado por medio de vínculos de phishing, 10 de noviembre
hxxp://info.docs-sharepoint[.]com/officeup[.]exe URL EmployeeID-847267.doc que descarga carga dañina (Kronos), 10 de noviembre
e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 SHA256 Kronos, 10 de noviembre
hxxp://www.networkupdate[.]club/kbps/connect[.]php URL C&C de Kronos, 10 de noviembre
hxxp://networkupdate[.]online/kbps/upload/c1c06f7d[.]exe URL DL de carga dañina de Kronos, 10 de noviembre
hxxp://networkupdate[.]online/kbps/upload/1f80ff71[.]exe URL DL de carga dañina de Kronos, 10 de noviembre
hxxp://networkupdate[.]online/kbps/upload/a8b05325[.]exe URL DL de carga dañina de Kronos, 10 de noviembre
d0caf097ea0350dc92277aed73b0f44986d7d85b06d1d17b424dc172ce35a984 SHA256 c1c06f7d.exe - SmokeLoader
d9d1f02c8c4beee49f81093ea8162ce6adf405640ccacd5f03ce6c45e700ee98 SHA256 1f80ff71.exe - SmokeLoader
hxxp://webfeed.updatesnetwork[.]com/feedweb/feed[.]php URL C&C de SmokeLoader
093c81f0b234c2aa0363129fdaaaf57551f161915da3d23f43a792b5f3024c1e SHA256 a8b05325.exe - ScanPOS
hxxp://invoicesharepoint[.]com/gateway[.]php URL C&C de ScanPOS
hxxp://intranet.excel-sharepoint[.]com/doc/employee[.]php?id=[dirección de correo electrónico codificada con base64] URL Vínculo de phishing, 14 de noviembre
fd5412a7c71958ecdffa7064bf03c5f1931e561a1e71bc939551d5afb8bf7462 SHA256 descargado por medio de vínculos de phishing, 14 de noviembre
hxxp://profile.excel-sharepoint[.]com/doc/office[.]exe URL EmployeeID-6283.doc que descarga carga dañina (Kronos), 14 de noviembre
269f88cfa9e9e26f3761aedee5d0836b5b82f346128fe03da28a331f80a5fba3 SHA256 Kronos, 14 de noviembre (el mismo C&C que el anterior)

 

Cobertura de Suricata y Snort de ET y ETPRO

2018125          ET CURRENT_EVENTS ARCHIVO .PIF SOSPECHOSO en archivo Zip
2020077          ET TROJAN Reporte de Kronos con M2
2020080          ET TROJAN Reporte de Kronos
2022124          ET TROJAN Verificación de conectividad con Microsoft de Win32.Sharik
2022550          ET CURRENT_EVENTS Posible macro malintencionada en DL EXE, febrero de 2016
2023196          ET CURRENT_EVENTS Aterrizaje de RIG, 12 de septiembre de 2016 T2
2023401          ET CURRENT_EVENTS Estructura de URI de RIG EK, 24 de octubre de 2016 (RIG-v)
2816808          ETPRO CURRENT_EVENTS Explotación por Flash de RIG EK, 29 de marzo de 2016
2823254          ETPRO TROJAN ScanPOS exfiltra datos de CC
2823288          ETPRO TROJAN Certificado SSL de CnC de variante de Zeus