Robo de cuentas en equipos infectados por un Bot

Hace unos días identificamos tráfico de red en el cual se apreciaban credenciales de acceso de sitios web muy populares hoy en día. Dicho tráfico era generado por una muestra maliciosa que al estar en ejecución, analizaba las páginas web que visitaban los usuarios, capturaba la información de usuario y contraseña del sitio al que accedían y posteriormente, la enviaba a su servidor de control.

Fue posible localizar un equipo Windows infectado y tras una búsqueda en el Registro, se localizó el valor Qqnunk en la llave HKCU\Software\Microsoft\Windows\CurrentVersion\Run, a través de la cual va a ejecutarse el archivo Qqnunk.exe siempre que la computadora inicia.

La muestra tiene la capacidad de cambiar el nombre del archivo ejecutable y llevar un registro interno para indicar en dónde se encuentra dentro del sistema de archivos y cómo lograr su ejecución.

En este análisis se ejecutó bajo el nombre de Qqnunk.exe

Registry

La firma MD5 de dicho ejecutable es: 0a851c4869d948610f75680b0680bf7eo y es detectada por 30 motores antivirus como archivo malicioso.

Virus Total Engines

Una vez ejecutado, este archivo genera un archivo de nombre aleatorio, que ejecutará durante la sesión del usuario. En este análisis el nombre del nuevo archivo será 618F.exe.

El malware utiliza la carpeta C:\Usuarios\Nombre_Usuario\AppData\Roaming\ para guardar todos los archivos que genere cada que el usuario inicia sesión.

Folder

En la imagen anterior, se puede observar que algunos archivos ejecutables tienen el mismo tamaño que otros ejecutables, así como los archivos temporales que crea el malware, lo que permite observar el comportamiento del mismo.

Analizando el tráfico de red del equipo, se observa claramente que el malware reporta al servidor de control el nombre y ejecución del archivo mencionado anteriormente.

Exec Log

En el administrador de tareas del sistema se puede verificar el proceso en ejecución.

Task Manager

Como se mencionó al principio de esta publicación, cuando este malware está en ejecución , tiene la capacidad de capturar los nombres de usuario y contraseñas de páginas populares como Facebook, Gmail, Hotmail, etc.

Toda la información capturada la envía directamente a su servidor de control en un mensaje privado con el siguiente formato:

PRIVMSG l :[HTTP Login]: Nombre_Página_Web ->> usuario : contraseña ..

En la imagen siguiente se muestra el envío de información.

El método más común para su reproducción es cuando se inserta un dispositivo de almacenamiento en el equipo infectado, se copia con otro nombre, en este análisis fue e621ca05.exe, para lo cual también notifica a su servidor de control la infección del dispositivo.

El formato del mensaje es el siguiente:

PRIVMSG s :[USB]: Infected X:\

USB Infection Se recomienda mantener actualizado nuestro antivirus personal, realizar escaneos periódicos y en caso de tener un Firewall personal o perimetral, monitorear el puerto 1889 o bloquearlo para evitar fugas de información. Otra acción que puede tomarse es monitorear el sistema operativo en busca de nombres de procesos extraños, así como archivos desconocidos creados en el sistema. Si por alguna razón se cree que información personal relacionada a los sitios mencionados en este reporte ha sido comprometida, se sugiere verificar las rutas del sistema de archivos mencionadas, así como verificar si la llave del registro de Windows no contiene referencias a nombres de archivos extraños. En el último de los casos se recomienda cambiar la contraseña del usuario en caso de utilizar alguno de los servicios mencionados anteriormente. REFERENCIAS EXTERNAS: