Centro Estatal de Estadística Criminal Dirección de Información Delictiva Procesal
Caso: Correo bancario – “Retención de cuenta” A través de una serie de denuncias, se ha logrado identificar correos electrónicos de supuestas entidades bancarias, en los cuales se adjunta un documento mismo que contiene una serie de instrucciones para su “visualización”, por lo cual se efectuará un análisis de dicho correo electrónico para determinar el fin de esta campaña fraudulenta, así como el análisis de dichos archivos que nos permitan entender el funcionamiento de dicha amenaza que ha estado muy activa en las últimas semanas. Correo falso:
Km. 3.5 Carrt. Cd. Aldama Tel. 429-73-00 Ext. 10035 C.P. 31313 Chihuahua, Chih. www.chihuahua.gob.mx
http://fiscalia.chihuahua. gob.mx
“2013 Años del centenario del Sacrificio de Don Abraham González Casavantes”
Centro Estatal de Estadística Criminal Dirección de Información Delictiva Procesal
Propiedades del archivo: MD5: 7c0c98b9c4aba1c11f2130d4f4ba2eef SHA256: 0ff9062246c9c65f6a73dc7d7a2ce7b45b934c605656d5303e0c99ea15c1d47a
Km. 3.5 Carrt. Cd. Aldama Tel. 429-73-00 Ext. 10035 C.P. 31313 Chihuahua, Chih. www.chihuahua.gob.mx
http://fiscalia.chihuahua. gob.mx
“2013 Años del centenario del Sacrificio de Don Abraham González Casavantes”
Centro Estatal de Estadística Criminal Dirección de Información Delictiva Procesal
Se efectuó el análisis dinámico sobre un entorno virtual controlado con las siguientes características:
Windows 7 Home Basic con Service Pack 1 Microsoft Word 2007 Conexión restringida a Red
Resultados: Al intentar abrir el archivo, automáticamente nos lleva a una serie de instrucciones para que sea posible la visualización del archivo, y en el cual si el usuario sigue dichos pasos, ejecutará instrucciones con código oculto mismas que efectuarán una serie de comportamientos anormales en Red y en el Registro de Windows.
“Pasos” para abrir documento
Km. 3.5 Carrt. Cd. Aldama Tel. 429-73-00 Ext. 10035 C.P. 31313 Chihuahua, Chih. www.chihuahua.gob.mx
http://fiscalia.chihuahua. gob.mx
“2013 Años del centenario del Sacrificio de Don Abraham González Casavantes”
Centro Estatal de Estadística Criminal Dirección de Información Delictiva Procesal
Se inspeccionó el archivo RetencionCuenta_HSBC.doc con OfficeMalScanner v0.61 para buscar cualquier archivo sospechoso.
la
herramienta
Extracción de Macro
Se detectó código en Visual Basic adjunto y oculto en el documento, con el nombre ThisDocument.
Km. 3.5 Carrt. Cd. Aldama Tel. 429-73-00 Ext. 10035 C.P. 31313 Chihuahua, Chih. www.chihuahua.gob.mx
http://fiscalia.chihuahua. gob.mx
“2013 Años del centenario del Sacrificio de Don Abraham González Casavantes”
Centro Estatal de Estadística Criminal Dirección de Información Delictiva Procesal
Contenido del archivo
1. Se declaran algunas variables, tales como nombre, locación y atributos 2. Se llama a 5 subrutinas a. Auto_Open() b. Sub_Workbook_Open() c. Sub_Autoexec() d. Sub_AutoOpen() e. Sub_Document_Open() 3. Se utiliza la función de StrReverse1 para poder hacer más difícil la detección por
parte de antivirus y suites de seguridad.
1
StrReverse (Función, VisualBasic) Devuelve una cadena en la que se invierte el orden de los caracteres de la cadena especificada. Km. 3.5 Carrt. Cd. Aldama Tel. 429-73-00 Ext. 10035 C.P. 31313 Chihuahua, Chih. www.chihuahua.gob.mx
http://fiscalia.chihuahua. gob.mx
“2013 Años del centenario del Sacrificio de Don Abraham González Casavantes”
Centro Estatal de Estadística Criminal Dirección de Información Delictiva Procesal
a. Un ejemplo sería: i. StrReverse(“moc.elgoog//:ptth”) – Resultado: http://google.com 4. Se declaran los nombres de los archivos descargados: 4b646n46.exe | rsd54tgs.exe | ds8fydsa89f7.exe | fsfsfsdsd.exe | hjhhjhjhjhj.exe
Km. 3.5 Carrt. Cd. Aldama Tel. 429-73-00 Ext. 10035 C.P. 31313 Chihuahua, Chih. www.chihuahua.gob.mx
http://fiscalia.chihuahua. gob.mx
“2013 Años del centenario del Sacrificio de Don Abraham González Casavantes”
Centro Estatal de Estadística Criminal Dirección de Información Delictiva Procesal
Km. 3.5 Carrt. Cd. Aldama Tel. 429-73-00 Ext. 10035 C.P. 31313 Chihuahua, Chih. www.chihuahua.gob.mx
http://fiscalia.chihuahua. gob.mx
“2013 Años del centenario del Sacrificio de Don Abraham González Casavantes”
Centro Estatal de Estadística Criminal Dirección de Información Delictiva Procesal
Al realizar una búsqueda por la URL que aloja dicho archivo sospechoso, se detecta lo siguiente:
Km. 3.5 Carrt. Cd. Aldama Tel. 429-73-00 Ext. 10035 C.P. 31313 Chihuahua, Chih. www.chihuahua.gob.mx
http://fiscalia.chihuahua. gob.mx
“2013 Años del centenario del Sacrificio de Don Abraham González Casavantes”
Centro Estatal de Estadística Criminal Dirección de Información Delictiva Procesal
Index de página REAL:
Km. 3.5 Carrt. Cd. Aldama Tel. 429-73-00 Ext. 10035 C.P. 31313 Chihuahua, Chih. www.chihuahua.gob.mx
http://fiscalia.chihuahua. gob.mx
“2013 Años del centenario del Sacrificio de Don Abraham González Casavantes”
Centro Estatal de Estadística Criminal Dirección de Información Delictiva Procesal
Se efectuó un análisis de tráfico con la herramienta Wireshark para determinar las peticiones a dicho servidor y la manera que está conformada:
Km. 3.5 Carrt. Cd. Aldama Tel. 429-73-00 Ext. 10035 C.P. 31313 Chihuahua, Chih. www.chihuahua.gob.mx
http://fiscalia.chihuahua. gob.mx
“2013 Años del centenario del Sacrificio de Don Abraham González Casavantes”
Centro Estatal de Estadística Criminal Dirección de Información Delictiva Procesal
Nota: Aún y cuando se efectuó la ejecución del archivo, la petición no fue exitosa, por lo que se procede a realizarla de manera manual:
Archivo sospechoso:
Km. 3.5 Carrt. Cd. Aldama Tel. 429-73-00 Ext. 10035 C.P. 31313 Chihuahua, Chih. www.chihuahua.gob.mx
http://fiscalia.chihuahua. gob.mx
“2013 Años del centenario del Sacrificio de Don Abraham González Casavantes”
Centro Estatal de Estadística Criminal Dirección de Información Delictiva Procesal
MD5: 168f18c09baf50df0f3d051b1be19866 SHA256: bb578feeb6c2aa4b6ba603e6e47d6964f0c6cc9b61e99d7a5dc86a11c8afb03e Cadenas interesantes en el archivo:
C:\Windows\system32\MSVBVM60 RtlMoveMemory ecryptByte EncryptString ecryptString EncryptByte .CreateProcessA WriteProcessMemory "utputDebugStringA user32 CallWindowProcA Scripting.FileSystemObject GetFile ITDUCZMZTWNPESGKMGXQGMHVXJISIFBHQMMNKYVRDVWOMLPDVYHQOFQOHJRKXXKGZLCMARERLOFNCKFCEYPI A$^0{< VS_VERSION_IN StringFileInfo VarFileInfo
Km. 3.5 Carrt. Cd. Aldama Tel. 429-73-00 Ext. 10035 C.P. 31313 Chihuahua, Chih. www.chihuahua.gob.mx
http://fiscalia.chihuahua. gob.mx
“2013 Años del centenario del Sacrificio de Don Abraham González Casavantes”
Centro Estatal de Estadística Criminal Dirección de Información Delictiva Procesal
[=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=] Valores del Registro leídos: [=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=] Llave: [ HKLM\SOFTWARE\CLASSES\CLSID\{0D43FE01-F093-11CF-894000A0C9054228}\INPROCSERVER32 ], Nombre del valor: [ ], Valor: [ C:\WINDOWS\system32\scrrun.dll ], 1 veces Llave: [ HKLM\SOFTWARE\CLASSES\CLSID\{0D43FE01-F093-11CF-894000A0C9054228}\INPROCSERVER32 ], Nombre del valor: [ ThreadingModel ], Valor: [ Ambos ], 1 veces Llave: [ HKLM\SOFTWARE\CLASSES\SCRIPTING.FILESYSTEMOBJECT\CLSID ], Nombre del valor: [ ], Valor: [ {0D43FE01-F093-11CF-894000A0C9054228} ], 1 veces Llave: [ HKLM\SOFTWARE\CLASSES\TYPELIB\{420B2830-E718-11CF-893D00A0C9054228}\1.0\0\WIN32 ], Nombre del valor: [ ], Valor: [ C:\WINDOWS\system32\scrrun.dll ], 1 veces Llave: [ HKLM\SYSTEM\CurrentControlSet\Control\Session Manager ], Nombre del valor: [ CriticalSectionvecesout ], Valor: [ 2592000 ], 1 veces Llave: [ HKLM\Software\Microsoft\COM3 ], Nombre del valor: [ Com+Enabled ], Valor: [ 1 ], 2 veces Llave: [ HKLM\Software\Microsoft\COM3 ], Nombre del valor: [ REGDBVersion ], Valor: [ 0x0b00000000000000 ], 5 veces Llave: [ HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows ], Nombre del valor: [ AppInit_DLLs ], Valor: [ ], 1 veces Llave: [ HKLM\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers ], Nombre del valor: [ TransparentEnabled ], Valor: [ 1 ], 1 veces Llave: [ HKLM\System\CurrentControlSet\Control\Nls\Codepage ], Nombre del valor: [ 932 ], Valor: [ c_932.nls ], 1 veces Llave: [ HKLM\System\CurrentControlSet\Control\Nls\Codepage ], Nombre del valor: [ 936 ], Valor: [ c_936.nls ], 1 veces Llave: [ HKLM\System\CurrentControlSet\Control\Nls\Codepage ], Nombre del valor: [ 949 ], Valor: [ c_949.nls ], 1 veces Llave: [ HKLM\System\CurrentControlSet\Control\Nls\Codepage ], Nombre del valor: [ 950 ], Valor: [ c_950.nls ], 1 veces Llave: [ HKLM\System\CurrentControlSet\Control\Terminal Server ], Nombre del valor: [ TSAppCompat ], Valor: [ 0 ], 3 veces Llave: [ HKLM\System\CurrentControlSet\Control\Terminal Server ], Nombre del valor: [ TSUserEnabled ], Valor: [ 0 ], 1 veces
Km. 3.5 Carrt. Cd. Aldama Tel. 429-73-00 Ext. 10035 C.P. 31313 Chihuahua, Chih. www.chihuahua.gob.mx
http://fiscalia.chihuahua. gob.mx
“2013 Años del centenario del Sacrificio de Don Abraham González Casavantes”
Centro Estatal de Estadística Criminal Dirección de Información Delictiva Procesal
Se detecta un segundo archivo sospechoso, con el nombre m.c, que hace referencia a código en lenguaje C++, mismo que es ejecutado una vez que el archivo es abierto:
Localiza el identificador de proceso de sistema, permite conexiones DCC y especifica contraseña del servidor
Ruta del servidor donde se aloja la Red Zombie2, especifica canal a unirse al momento de la conexión y declara descripción del usuario
Declaración de “modos” de usuario, nombre de sesión así como reglas para ignorar usuarios.
2
Zombie, es la denominación que se asigna a computadoras personales que tras haber sido infectados por algún tipo de malware, pueden ser usados por una tercera persona para ejecutar actividades hostiles. Este uso se produce sin la autorización o el conocimiento del usuario del equipo. Km. 3.5 Carrt. Cd. Aldama Tel. 429-73-00 Ext. 10035 C.P. 31313 Chihuahua, Chih. www.chihuahua.gob.mx
http://fiscalia.chihuahua. gob.mx
“2013 Años del centenario del Sacrificio de Don Abraham González Casavantes”
Centro Estatal de Estadística Criminal Dirección de Información Delictiva Procesal
“Créditos” a los creadores del archivo malicioso, password de entrada al canal privado, correos de administradores y máximo de subidas.
Km. 3.5 Carrt. Cd. Aldama Tel. 429-73-00 Ext. 10035 C.P. 31313 Chihuahua, Chih. www.chihuahua.gob.mx
http://fiscalia.chihuahua. gob.mx
“2013 Años del centenario del Sacrificio de Don Abraham González Casavantes”
Centro Estatal de Estadística Criminal Dirección de Información Delictiva Procesal
Conclusiones: El aumento en el uso de la Banca Electrónica, así como la masificación de los medios digitales han traído consigo una fuente enorme para fraudes y engaños como este tipo, en el que se busca utilizar tanto los recursos de Red del usuario que caiga en este engaño, así como la posibilidad de sufrir una potencial pérdida de la información, por lo que esta amenaza se considera CRÍTICA. Al realizar el análisis se pudo llegar a las siguientes conclusiones: -
Se utiliza el equipo infectado para configurar “servidores” para compartir todo tipo de archivos vía IRC3 y que mayormente son puestos en marcha para la distribución de material ilegal, con contenidos maliciosos, copias no autorizadas de software, todo tipo de pornografía, ficheros de música y video.
-
Al mantener comunicación con el equipo zombie, se asume que sería posible tanto descargar archivos al sistema infectado, como descargar archivos de él, teniendo una puerta trasera que si no es detectada a tiempo y mitigada, abre el campo a una serie de potenciales riesgos tanto económicos y/o legales al no tener conocimientos que su equipo informático está siendo utilizado para medios ilegales
-
Se busca que si el archivo malicioso es encontrado, tenga diferentes locaciones y nombres para seguir manteniendo la infección activa
Recomendaciones: -
-
No abrir archivos sospechosos y/o no solicitados, ya que pueden contener instrucciones que nuestro equipo ejecutarán y obedecerá al creador de la amenaza. Mantener antivirus actualizado y realizar búsquedas de amenazas por lo menos 1 vez a la semana. Conocer la manera en la que nuestra Institución Financiera se comunica vía Internet con sus clientes así como localizar los números de reporte para realizarlos y aclarar cualquier duda. Si sospecha de alguna infección, acuda con su Especialista en Informática de confianza y asegúrese de conocer los síntomas anormales de nuestro equipo. DENUNCIAR
3
IRC (Internet Relay Chat) es un protocolo de comunicación en tiempo real basado en texto, que permite debates entre dos o más personas. Se diferencia de la mensajería instantánea en que los usuarios no deben acceder a establecer la comunicación de antemano, de tal forma que todos los usuarios que se encuentran en un canal pueden comunicarse entre sí, aunque no hayan tenido ningún contacto anterior. Km. 3.5 Carrt. Cd. Aldama Tel. 429-73-00 Ext. 10035 C.P. 31313 Chihuahua, Chih. www.chihuahua.gob.mx
http://fiscalia.chihuahua. gob.mx
“2013 Años del centenario del Sacrificio de Don Abraham González Casavantes”