Muchas veces hemos hablado en este blog sobre phishing y las diferente técnicas para llevarlo a cabo. En esta oportunidad, describiremos una forma sencilla y efectiva utilizada por los ciberdelincuentes para redirigir el trafico de paginas legítimas a servidores maliciosos.

Como sabemos, en su mayoría los casos de phishing conocidos intentan engañar al usuario con mails falsos utilizados en campañas de spam. Dichos mails suelen hacerse pasar por mails enviados por diferentes causas al usuario desde entidades bancarias mayoritariamente. Al ingresar en los links contenidos en el cuerpo del mail la víctima es automáticamente redirigida a servidores maliciosos que alojan páginas que tienen apariencia idéntica a las legitimas.

Recordamos, sin embargo, que el método que describiremos en este post no trata de engañar al usuario para que ingrese en links que se asemejan al original. Con esta técnica el usuario puede ingresar al la URL "oficial" e igualmente verse redirigido a la pagina maliciosa.

En esta oportunidad analizaremos una archivo ejecutable .exe detectado por ESET NOD32 Antivirus como Win32/ProxyChanger.HL troyano y un archivo .pac detectado como un troyano Win32/ProxyChanger.EE que es descargado por el archivo ejecutable antes mencionado.

Del archivo ejecutable correspondiente a la detección Win32/ProxyChanger.HL podemos decir que se encuentra empaquetado con el conocido packer UPX, y que el lenguaje de programación utilizado para crearlo fue Delphi. Luego de desempaquetarlo al ver las strings contenidas en él, encontramos información muy interesante que luego veremos como es utilizada.

De esta captura podemos diferenciar tres partes utilizadas para diferentes acciones. La primer parte es la utilizada por el malware para enviar información sobre el equipo infectado a una pagina php. La información enviada es el nombre del equipo, la MAC address, la versión del sistema operativo, la dirección IP y un numero generado para cada infección. El formato del envío de la información la podemos ver realizando una captura de trafico:

La segunda parte muestra el contenido de un archivo .bat que es creado por la amenaza, el cual es utilizado para borrar el archivo ejecutable original que infectó el sistema.

La tercera y última parte contiene información sobre la clave de registro HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsAutoConfigURL la cual es modificada con la URL que contiene la ruta completa a un archivo.pac el cual analizaremos a continuación:

Los archivos .pac son utilizados por los navegadores para determinar automáticamente que proxy utilizar. Están compuestos básicamente por una función Javascript llamada  “FindProxyForURL(url, host)”. Esta función devuelve una o más cadenas de texto de especificaciones de métodos de acceso. Estas especificaciones son utilizadas por los navegadores para seleccionar un determinado proxy o conectarse directamente.  A continuación se ve el formato de un archivo .pac básico:

En particular, el archivo .pac descargado por el malware redirige el trafico de 15 sitios pertenecientes a bancos brasileños, sitios de tarjetas de crédito, páginas gubernamentales de Brasil, de subastas online, de pagos online y de 2 de los mas populares servicios de correos electrónicos de la actualidad.

Como vimos en este post, los cibercriminales explotan día a día nuevos métodos para llevar a cabo sus actividades maliciosas. En este caso, haciendo uso de una herramienta que fue diseñada en el año 1996 por Netscape para el Netscape Navigator 2.0. Esta es una prueba fehaciente que herramientas creadas hace mas de 15 años con propósitos legítimos pueden ser reutilizadas y seguir siendo vigentes aunque sus finalidades cambien rotundamente.

Juan Forgia
Malware Analyst