[ Extrayendo Macro malicioso de un documento de Word ]

En esta ocasión se realizará el análisis estático a un documento de Word del cual se sospecha que puede contener código malicioso. A continuación los principales hallazgos:

El documento de Word es enviado como anexo por medio de un correo electrónico que pretende engañar al usuario haciéndole creer que ha recibido su estado de cuenta o factura relacionado al servicio que brindado por la  Comisión Federal de Electricidad (CFE).

Se puede observar que el campo del remitente ha sido manipulado de tal manera que da la impresión de que el correo ha sido generado legítimamente por la CFE (servicioalcliente [at] cfe.gob.mx). Esto se puede apreciar en la siguiente imagen.

1-Encabezado_de_correo

El contenido del correo es una imagen que incita al usuario a descargar y abrir el archivo de Word (CFE_Factura.doc) que viene anexo. Se muestra contenido del correo.

3_Resumen_de_archivo_anexo

2-Contenido_de_correo

Windows muestra las propiedades del archivo.

3-1_Propiedades del archivo

Adicionalmente se obtienen los siguientes hash:

  • MD5: 528e11a867fdd78f6550c664d8465a30
  • SHA1: 7352bab19f209ff2ed897049d85c3f2f3af04c91

Se procede a revisar si el documento cuenta con Macros.

4-OfficeScanner

Se confirma la existencia de Macro dentro de documento de Word. El contenido del Macro ha sido extraído en un archivo sin extensión.

5-Archivo_Extraido

A continuación se muestra un extracto mostrando lo mas relevante del Macro.

6-Extracto_de_Macro

El Macro incluye instrucciones para descargar un archivo de Internet, por lo tanto al documento de Word se le clasifica en la familia de los “downloader“, ya que su función es descargar el malware que realizará las acciones en el sistema. El uso de los “downloader” es funcional para los delincuentes informáticos ya que generalmente son de tamaña muy reducido.

Las instrucciones mas relevantes se puede observar entre las líneas 42 y 52, ya que indican que el archivo descargado debe ser colocado en la siguiente ruta:

C:\Users\USUARIO\AppData\Local\Temp\hhggff.exe

Es en estas mismas líneas en donde se indica la URL y nombre del archivo a descargar. No se observa claramente la URL ya que el código esta escrito de tal manera que complique la identificación, sin en cambio, bastará acomodar el texto para observar que se refiere a la siguiente URL (elimina los espacios y accede bajo tu propio riesgo):

http:// purelove. info/ phone/ cfe/ CFE_Factura.exe

Así mismo, fue posible identificar que cuando el usuario abriera el archivo, se mostraría el siguiente mensaje (línea 37).

“Este documento no es compatible con este equipo. Por favor intente desde otro equipo.”

Hasta este punto se ha llegado a los límites del análisis estático, es decir, sin tener que abrir el documento.

Para conocer mas sobre las acciones que realiza el archivo CFE_Factura.exe y el momento en el que se mostraría el mensaje arriba referido, es requerido un análisis dinámico o por comportamiento.

El análisis dinámico contempla la identificación de los cambios realizados en un sistema, es decir, se prepara especialmente un equipo (ya sea virtual o tipo Sandbox) para que sea infectado al mismo tiempo que se registran los cambios que ocurren. Lamentablemente por cuestiones de tiempo, en esta ocasión no podré realizar el análisis dinámico.

Información adicional:

Al momento de escribir estas líneas se observa que:

  • Solo 13 de 57 antivirus detectan como malicioso al documento de Word

8-vt1

  • 4 de 63 servicios de reputación clasifican la URL como sitio de Malware.

9-vt2

  • El sitio Web malicioso esta activo y distribuyendo activamente el malware.

7_Malware

Recuerda que si la información fue de tu agrado, no olvides compartirla. Si deseas estar al tanto de noticias similares, súmate a mis redes y regalame un Like en Facebook (http://bit.ly/GF0SSec) o sígueme en Twitter (http://twitter.com/oblituary).

| ‪#‎Infosec‬ | ‪#‎Malware‬ | ‪#CFE_Factura.exe | ‪#Phishing‬ |

 

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s