Cabecera-v2-web.jpg

Nueva campaña de enví­o de troyano: Sharik


El método más habitual para la propagación de un troyano sigue siendo las campañas de enví­os masivos de correos con un adjunto. Como es frecuente, se suelen acompañar de un mensaje atractivo que mediante la ingenierí­a social incite al usuario a abrir el adjunto con el malware. Una nueva campaña de enví­os de este tipo está dando a luz, esta vez distribuye a "Sharik".

Sharik es un troyano que afecta a la plataforma Windows y aprovecha para inyectarse en procesos legí­timos y añade entradas al registro necesarias para mantener persistencia. Además, enví­a toda la información recolectada a un servidor remoto, incluso llega a aceptar comandos del atacante.

Nos llega en forma de e-mail a través de este correo, con un adjunto.




Este adjunto es el troyano que comience el proceso de descarga (dropper), y entre otras cosas creará una serie de carpetas en %APPDATA%.





Comienza conectándose al servidor remoto y aprovecha para descargarse los archivos necesarios para continuar con la infección. Entre ellos, un binario de php funcional (junto a su librerí­a), y un archivo .php que utilizará más adelante.



El archivo en PHP, que se lanza haciendo uso de dicho binario es el que mostramos a continuación:


Contenido del archivo .php utilizado en conjunto con el binario de PHP descargado.

En esta ocasión, logramos tener acceso al archivo PHP descifrado.



Basta comprobar el registro para descubrir las evidencias de la persistencia de este Malware:



Siguiendo el flujo de peticiones al dominio remoto, observamos como en una de las peticiones se obtiene un binario:



De esta forma, el flujo de funcionamiento del troyano tras su ejecución es inicialmntente se guarda en el registro, tras lo cual lanza el php y el binario oculto

Como es habitual para evitar este tipo de amenazas se recomienda no abrir los adjuntos que provengan de orí­genes desconocidos o no solicitados. La prevención es la mejor defensa.


Binario: https://www.virustotal.com/en/file/5eea0da8c31b48ce3e88fdd0f24192a4305a472f1f44f3740796d0622feb7f9b/analysis/1480321674/


Archivo php: http://pastebin.com/nUm4Sxt4


Fuente: hispasec.com


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11