El método más habitual para la propagación de un troyano
sigue siendo las campañas de envíos masivos de correos con un adjunto. Como es
frecuente, se suelen acompañar de un mensaje atractivo que mediante la
ingeniería social incite al usuario a abrir el adjunto con el malware. Una
nueva campaña de envíos de este tipo está dando a luz, esta vez distribuye a
"Sharik".
Sharik es un troyano que afecta a la plataforma Windows y aprovecha para inyectarse en procesos legítimos y añade entradas al registro necesarias para mantener persistencia. Además, envía toda la información recolectada a un servidor remoto, incluso llega a aceptar comandos del atacante.
Nos llega en forma de e-mail a través de este correo, con
un adjunto.
Recibido por parte de mgXXXXoz@gmail.com
"Buenos
días,
Como
hemos comentado, te adjunto la escritura con las rectificaciones marcadas en
amarillo. He hablado con los compradores y esta mañana me mandan una copia del
cheque.
Un
saludo,"
Este adjunto es el troyano que comience el proceso de
descarga (dropper), y entre otras cosas creará una serie de carpetas en
%APPDATA%.
Comienza conectándose al servidor remoto y aprovecha para
descargarse los archivos necesarios para continuar con la infección. Entre
ellos, un binario de php funcional (junto a su librería), y un archivo .php que
utilizará más adelante.
El archivo en PHP, que se lanza haciendo uso de dicho
binario es el que mostramos a continuación:
- Contenido del archivo .php utilizado en conjunto con el binario de PHP descargado.
- En esta ocasión, logramos tener acceso al archivo PHP descifrado.
- Siguiendo el flujo de peticiones al dominio remoto, observamos como en una de las peticiones se obtiene un binario:
- De esta forma, el flujo de funcionamiento del troyano tras su ejecución es inicialmente se guarda en el registro, tras lo cual lanza el php y el binario oculto
- Binario:https://www.virustotal.com/en/file/5eea0da8c31b48ce3e88fdd0f24192a4305a472f1f44f3740796d0622feb7f9b/analysis/1480321674/
- Archivo php: http://pastebin.com/nUm4Sxt4