Español | English
rss facebook linkedin Twitter

#torrentlocker


Resumen 
Desde S21sec, durante el día de ayer, 31 de Mayo 2016 nuestro equipo de investigación detectó una campaña de Spam, relacionada con un ataque de Ransomware, que afirma ser CryptoLocker. Ésta campaña que comenzó difundiendo facturas falsas y extraordinariamente altas por servicios de electricidad.

Esta campaña de Spam, suplantaba la identidad de la compañía de electricidad Endesa,  e inducía al usuario a descargarse un archivo en el que supuestamente se encontraba la factura, haciendo un reclamo en la misma  de una alta cantidad en el total  por los servicios prestados.

Aquí puede verse un ejemplo del ataque de spam:




Endesa, a su vez, emitió un comunicado alertando a sus clientes del fraude que estaba circulando bajo su nombre de marca. 

Ciclo de vida de la infección de este malware:

Este ciclo se separa en tres etapas: redirección , script de descarga con nombre falso,  y ejecución del malware. Este ciclo está siendo ampliamente usado con un alto grado de éxito como alternativa a los Exploit kits por parte de multitud de amenazas.

Primera etapa. Redirección: 
Una vez la víctima pulsa el botón para consultar su factura conectará contra la siguiente URL con el siguiente patrón: hxxp://domain/([a-z]|[A-z]|[\d])+/([a-z]|[A-z]|[\d])+.php?id=[mail] para a continuación redirigir a la víctima hacia hxxp://domain/([a-z]|[A-z]|[\d])+.php?id=uuid== (la lista completa de dominios observados durante la campaña puede encontrarse en el apéndice I). En la investigación, comprobamos  que se produce un filtrado basado en los rangos de las direcciones IP: si la conexión proviene de una línea ADSL doméstica, será redirigida a la página de descarga, de lo contrario será redirigida a Google.

Segunda etapa. El archivo descargado:
La segunda etapa comienza con la descarga el archivo ENDESA_FACTURA.zip que una vez descomprimido nos da el fichero ENDESA_FACTURA.js , el cual, como su extensión indica es un fichero javascript fuertemente ofuscado. Windows vincula automáticamente la extensión .js con el intérprete de scripts de Microsoft con lo que su funcionalidad resulta análoga a la de un archivo .exe.

*Entre las características destacables de este archivo se encuentra un interesante método, el cual, no puede ser ejecutado desde sanboxes y navegadores (donde no resultaría efectivo). Si todas las condiciones son satisfechas el script a descargar a hxxp://faam.com/1.exe de donde descarga el malware y posteriormente lo lanza a ejecución.

Como nota a este apartado cabe destacar que no se ha realizado ningún esfuerzo para ocultar la extensión del archivo o alterar la miniatura a mostrar.

Tercera etapa. Ejecución del malware
El malware que se ha descargado,  se trata del malware  ransomware conocido como TorrentLocker, el primer síntoma de una infección por parte de esta amenaza es la actualización por parte del equipo de las entidades raíz de terceros para la librería crypt32.

Posteriormente intentará contactar con el panel, que a diferencia de otras cepas más virulentas debe de contactar con su panel de control antes de proceder con el cifrado de los archivos. El troyano intenta contactar con una lista de dominios los cuales presentan una componente fija y otra dinámica como se puede observar a continuación en las peticiones DNS:


Una vez contacta con el panel de control y  el intercambio de claves es realizado, se procede a cifrar todas las unidades mapeadas en el equipo. Y  una vez finalizado, se muestra el siguiente mensaje de extorsión:


Es importante destacar que una infección podría estar activa y no presentar el mensaje de extorsión debido a que no haya sido capaz de contactar con sus paneles de control por lo que si se ha recibido el correo mostrado al comienzo de esta alerta se debe, además de comprobar la actividad de red y las conexiones DNS salientes,  examinar las ubicaciones contenidas en el punto destinado a la persistencia dentro de la sección de IOCs

IOCs
Persistencia en el sistema:
•    C:\WINDOWS\[a-z]{8}.exe
•    C:\Program Data\[a-z]{8}.exe
•    C:\Documents and Settings\admin\Local Settings\Temporary Internet Files\Content.IE5\1XO6I7GR\1[1].exe
•    C:\Documents and Settings\admin\Local Settings\Temp\rad250CE.tmp
 Dominios relacionados:
•    hxxp://endesa-clientes .com
•    hxxp://yamg.endesa-clientes .com
•    hxxp://www.endesa-clientes. net
•    hxxp://ojj.endesa-clientes .com
•    hxxp://wtde.endesa-clientes. com
•    hxxp://y2l6.endesa-clientes. com
•    hxxp://ideamix-yar. ru
•    hxxp://rogaska-crystal. com
•    hxxp://itlearning. ma
•    hxxp://nrmac. org
•    hxxp://craferscottages. com. au
•    hxxp://sigortaci .net
•    hxxp://quality-managers. org
•    hxxp://tendearteplast. com
•    hxxp://gettingmarried .ie
•    hxxp://reigjofre.com
•    hxxp://tl6q.procura-italia. net
•    hxxp://qln.myenel24. net
•    hxxp://qln.myenel24. org
•    hxxp://swisshalley-sale. ru
•    hxxp://alianzasdeaprendizajo. org
•    hxxp://heroes-of-the-middle-ages. ru
•    hxxp://y2l6.endesa-clientes. com
•    hxxp://securitysolutionshow. it
•    hxxp://gov.endesa-clientes.com
•    hxxp://asge .ru
•    hxxp://autotranz.com. au
•    hxxp://clubyar .ru
•    hxxp://discoalcala. es
•    hxxp://ecoland. pro
•    hxxp://ensarkarot. com
•    hxxp://faam. com
•    hxxp://hapcanny. com
•    hxxp://hogaresherso. mx
•    hxxp://houseofcolours.co. uk
•    hxxp://injazattrading. com
•    hxxp://ipecho. net
•    hxxp://j25.dis-odense. dk
•    hxxp://joelmeble. pl
•    hxxp://juventudrevolucion. net
•    hxxp://klimat24. com
•    hxxp://mate. ma
•    hxxp://minicars. nl
•    hxxp://myenel24. net
•    hxxp://myenel24. org
•    hxxp://online-kotel. ru
•    hxxp://ovidiuanton. com
•    hxxp://p1v.endesa-clientes24. com
•    hxxp://p1v.endesa-clientes24. net
•    hxxp://procura-italia. net
•    hxxp://salzburg-web. com
•    hxxp://ubk-markets. ru
•    hxxp://ultimchem. com
•    hxxp://urojay31. ru
•    hxxp://volunteerabroadnicaragua. com
•    hxxp://waresme. com
•    hxxp://zagool. se
•    hxxp://gbfjetobtqi.billmassanger.com
•    hxxp://ezum.billmassanger.com
•    hxxp://de2nuvwegoo32oqv.torking.li hxxp://ifapeqoj.billmassanger.com
•    hxxp://jimat4u.com

Hashes
•    c6a4d3d3ea72fa27b0a568e2c07a32fc
•    2dfbd71991fd06b36148fe06539df3f0
•    ec11c3a1be57b62e7fbede4b01b79836
•    945fbb95784d1ae9760fbe7099f93468
•    e553b8ccc10890e1e64ad816cbdbc925
•    a83ddf5fd7db13627674b5701c8fc07e
•    50400e6fa866b326f6a67300848ad529



Ecrime Departament




(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login