Español | English
rss facebook linkedin Twitter

Another day in paradise







Durante los últimos días estamos viendo numerosas campañas de malware bancario vía e-mails con adjuntos maliciosos. Dichos adjuntos actúan como droppers para la descarga de malware bancario tipo Dridex, Neverquest, etc. 
Veamos uno de los casos más recientes que emplean Javascript para infectar a la víctima.

Recibimos un correo de una persona que no conocemos de una supuesta clínica veterinaria oftalmológica. Dicho correo contiene un fichero javascript adjunto. Se aprovecha de los usuarios que no tienen habilitado -en entornos Windows- la opción de mostrar las extensiones en los ficheros, por lo que el usuario final no ve que es un Javascript y trata de abrir el documento.


El fichero Javascript adjunto luce así:



Para poder entender que es lo que hace, procedemos a des-ofuscar línea a línea el fichero, quedándonos algo bastante más legible.

Ahora ya tenemos el código que ejecutará la victima una vez abra el fichero adjunto.


Analizando el Javascript limpio, a grandes rasgos hace lo siguiente:
  •  Realiza una conexión a la web maliciosa mediante  una petición ActiveXObject(MSXML2.XMLHTTP)
  • Se descarga el contenido de la web, en este caso un binario, almacenándolo en un objeto ADODB.Stream
  • El objeto ADODB.Stream escribe su contenido (el binario) en el disco de la víctima en la ruta %TEMP%/ezGbluDj.src (el contenido de la variable %TEMP% se extrae de las variables de entorno del sistema de la víctima)
  • Se llama a un intérprete (‘Wscript.Shell’) para la ejecución del binario que ha guardado previamente en disco

Probamos a conectarnos modificando el User Agent, y ver el binario



Y bingo!, tenemos un bonito Dridex 

Aquí podemos observar su análisis en VT
https://www.virustotal.com/es/file/9661fc6e668aa24dbf3b08c7508463a301fb524302a99a34e0f3a78a070629db/analysis/

¡Estad atentos, próximamente compartiremos muchas más lecturas!

David Conde















(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login