Los actores de amenazas aprovechan y crean continuamente una gran cantidad de tácticas para eludir las puertas de enlace de correo electrónico seguras (SEG). Estos incluyen codificar URL maliciosas con otras herramientas de protección SEG, ofuscar el contenido de los archivos y aprovecharse del tratamiento SEG de archivos “legítimos”.
Recientemente, los actores de amenazas parecen estar abusando de la forma en que los SEG escanean el contenido de los archivos adjuntos de tipo comprimido. Los actores de la amenaza utilizaron un archivo adjunto .zip y cuando el SEG escaneó el contenido del archivo, se detectó que el archivo contenía un archivo de video .Mpeg y no fue bloqueado ni filtrado. Cuando se abrió este archivo adjunto con herramientas de cuna de archivos comunes/populares como 7zip o Power ISO, incluso parecía contener un archivo de vídeo .Mpeg, pero no se reproducía. Sin incautación, cuando el archivo se abrió en un cliente Outlook o mediante el administrador de archivos del Explorador de Windows, el archivo .Mpeg se detecta (correctamente) como .html y las víctimas pudieron cascar el .html y, finalmente, ejecutar el malware FormBook integrado.
Correos electrónicos
Los correos electrónicos específicos que Cofense Intelligence identificó estaban dirigidos a empleados de acento hispana de una firma financiera internacional y afirmaban entregar una ejecución adjunta. Los correos electrónicos tienen todas las funciones, incluido un cuerpo completo y una firma, un paso más allá de los correos electrónicos de phishing más comunes. Los correos electrónicos se enviaron con el agente de usufructuario “Roundcube Webmail/1.4.8” y omitieron Cisco IronPort, pero según este disección, es muy probable que incluso omitieran otros SEG.
Figura 1: Correo electrónico con archivo adjunto que contiene contenido ofuscado.
Derivación SEG
Según este disección y las pruebas relacionadas, parece que los archivos adjuntos maliciosos pudieron evitar la detección oportuno a la forma en que los SEG analizaron el archivo en el interior de los archivos comprimidos. Si la SEG hubiera recibido y escaneado un correo electrónico con el HTML ladino identificado adjunto, lo habría bloqueado. Incluso si se tratara de un archivo adjunto .zip con contenido claramente ladino, la mayoría de los SEG habrían escaneado el contenido del archivo y detectado su naturaleza maliciosa.
Aquí, en la Figura 2, se muestra un ejemplo de cómo Cisco IronPort normalmente ve el contenido de un archivo .zip. Esto indica que se extrajo el contenido de un archivo .zip adjunto que contenía un gif y un archivo HTML.
Figura 2: Ejemplo de escaneo de Cisco IronPort de un archivo adjunto peculiar .zip.
En la Figura 3 a continuación, vemos el encabezado de Cisco IronPort para el correo electrónico en la Figura 1 que contiene un archivo HTML disfrazado con la extensión de archivo .Mpeg en el interior de un archivo .zip adjunto.
Figura 3: Observación de Cisco IronPort de un archivo .zip ofuscado.
Como se ilustra en la Figura 3, Cisco IronPort determinó que el archivo en el interior del archivo era un .Mpeg y no un HTML. Aunque otros SEG no son tan detallados en los encabezados de los correos electrónicos cuando se comercio de escanear archivos adjuntos, es muy probable que arrojen resultados similares al escanear este archivo .zip. De hecho, como se verá en la próximo sección, muchas herramientas comunes de cuna de archivos incluso ven el archivo contenido como .Mpeg a pesar de que los indicadores indiquen lo contrario.
Archivos adjuntos
El archivo .zip adjunto a este correo electrónico parece inofensivo tanto para los SEG como para una investigación superficial realizada por un analista que utiliza herramientas de disección arrobado normalizado. El contenido del archivo .zip parecería ser un .Mpeg para muchas herramientas comunes utilizadas por analistas e investigadores de seguridad, como Power ISO y 7zip.
Figura 4: Contenido del archivo comprimido conocido en múltiples programas.
- En la ventana superior se muestra el archivo extenso directamente en el Explorador de Windows, iniciado desde el cliente de escritorio Outlook. Esto muestra claramente el contenido del archivo como un archivo .html.
- La ventana del medio es el archivo comprimido extenso utilizando el extractor de archivos global Power ISO.
- La ventana inferior es el archivo comprimido conocido con la popular aplicación 7zip.
Como se puede ver en la ventana inferior y central, incluso los extractores de archivos más comunes y utilizados identifican incorrectamente el archivo adjunto como .Mpeg. Usando la opción “prueba” de 7zip en Windows incluso podemos ver una advertencia normal sobre los encabezados del archivo en la Figura 5. Sin incautación, la advertencia suficiente sucinta no proporciona suficiente información para sacar conclusiones.
Figura 5: Prueba 7zip de archivo ofuscado.
Cuando la aparejo de descomprimir en Ubuntu se utiliza en el archivo, proporciona la información más relevante arreglado hasta el momento, como se puede identificar en la Figura 6.
Figura 6: Observación del archivo mediante la aparejo de descompresión de Ubuntu.
Comenzando con la sugerencia de que hay una discrepancia en el nombre del archivo “lugar”, podemos ver el archivo .zip en un editor de texto como se ve en las Figuras 7 y 8. El inicio, o “encabezado”, del archivo que se muestra en la Figura 7 nos muestra que el actor de amenazas ha personalizado el archivo .zip para que el encabezado del archivo llame a su contenido .Mpeg.
Figura 7: Encabezado del archivo .zip.
El final del archivo, o “pie de página”, que se muestra en la Figura 8 nos muestra que el archivo contenido en el archivo .zip en efectividad debe tratarse como un .html.
Figura 8: Pie de página del archivo .zip.
Esto demuestra que muchos extractores de archivos y SEG comunes leen la información del encabezado del archivo e ignoran el pie de página del archivo que puede contener información más precisa.
Infección
Cuando se reconocía correctamente como un archivo .html y se abría, el archivo HTML entregaba otro archivo .zip, que parecía proporcionar el archivo como una descarga desde una fuente externa cuando en efectividad es un archivo decodificado incrustado en el archivo HTML innovador.
Este segundo archivo .zip contenía un archivo .cmd que en efectividad era un archivo .cab. En el interior de este archivo .cab estaba el ejecutable ladino. El ejecutable era una muestra de DBat Loader. Cuando se ejecutó, el ejecutable descargó una carga útil, descifró su contenido y ejecutó FormBook en la memoria. Esta traducción de FormBook contactó con varios C2 diferentes con diferentes rutas, a diferencia del FormBook normalizado que contacta con 16 dominios diferentes con la misma ruta.
FormBook es un caco de información y se encuentra constantemente entre los 10 programas maliciosos más comúnmente vistos por Cofense. Es capaz de registrar teclas, mandar archivos, mandar portapapeles, tomar capturas de pantalla, registrar el tráfico de red y recuperar contraseñas, cookies y formularios de los navegadores. Puede descargar y ejecutar malware adicional, lo que pone a los usuarios infectados en peligro de sufrir otros tipos de malware, incluido el ransomware.
Todas las marcas comerciales de terceros a las que Cofense hace narración, ya sea en forma de logotipo, nombre o producto, o de otro modo, siguen siendo propiedad de sus respectivos titulares, y el uso de estas marcas comerciales de ninguna guisa indica ninguna relación entre Cofense y los titulares de las marcas comerciales. Cualquier observación contenida en este documento con respecto a la elusión de protecciones de puntos finales se cimiento en observaciones en un momento determinado basado en un conjunto específico de configuraciones del sistema. Las actualizaciones posteriores o diferentes configuraciones pueden ser efectivas para detener estas u otras amenazas similares. El rendimiento pasado no es indicativo de resultados futuros.
Los nombres y logotipos de Cofense®, así como cualquier otro nombre o logotipo de producto o servicio de Cofense que se muestra aquí son marcas comerciales registradas o marcas comerciales de Cofense Inc.