Nuevo informe: Sofisticado troyano contra bancos chilenos utiliza software popular como "malware launcher" para eludir SmartScreen

ElevenPaths ha identificado un troyano bancario brasileño mejorado y evolucionado (muy probablemente procede del Kit KL Banker), que utiliza una nueva técnica para eludir el sistema de reputación SmartScreen y evitar la detección en Windows. El troyano descarga programas legítimos y los utiliza como «malware launcher» aprovechando el DLL hijacking en el software. De este modo, el malware puede ejecutarse «indirectamente» y eludir el sistema de reputación SmartScreen e incluso algunos antivirus.

En medio de la plaga de ransomware que estamos presenciando, los troyanos bancarios resisten. ElevenPaths ha analizado lo que hemos denominado «N40», un malware en evolución que (al margen de sus capacidades como troyano bancario) resulta bastante interesante en relación con la forma en que trata de eludir los sistemas de detección. El troyano es, en cierto modo, un clásico malware bancario brasileño (superposición en pantalla, programación en Delphi…) que roba credenciales de varios bancos chilenos, pero lo que lo hace aún más interesante son algunas de las características que incluye, que no son tan comunes en este tipo de muestras maliciosas.

DLL Hijacking
Un ataque de DLL Hijacking no es nuevo. Consiste básicamente en un programa que no comprueba correctamente la ruta de carga de la DLL. Esto permitiría a un atacante con la capacidad de reemplazar o instalar una nueva DLL en alguna de las rutas, ejecutar código arbitrario cuando se lanza el programa legítimo. Este es un problema conocido (siguen apareciendo CVEs al respecto después de años de ser descubierto), sin embargo no todos los problemas de secuestro de DLL tienen la misma gravedad. Algunos problemas son mitigados de diferentes formas de acuerdo al orden de carga de las DLL, la forma en que se establecen los permisos donde se encuentra el archivo ejecutable, etc. Este malware es consciente de ello y ha convertido los problemas del DLL Hijacking «menos graves» en una ventaja para que los atacantes eviten los sistemas de detección y, a su vez, ha convertido simples DLL hijackings en una potente herramienta para los desarrolladores de malware. Esto probablemente obligará a muchos desarrolladores a comprobar de nuevo la forma en que cargan las DLL desde el sistema, si no quieren ser utilizados como «lanzadores de malware».

Alguna de las DLL susceptibles de tener problemas de DLL hijacking

Lo que hace que este malware sea realmente diferente es que utiliza dos etapas.

El downloader (primera etapa) descarga una copia desde un servidor de un programa legítimo que sufre un DLL Hijacking. Es el archivo ejecutable original, firmado y legítimo, por lo que no generará ninguna alerta.
Posteriormente, descarga el malware (segunda etapa) en el mismo directorio; se trata de una DLL firmada con certificados vendidos en el mercado negro. Estos certificados contienen el nombre de jóvenes empresas británicas reales, pero lo más probable es que estos certificados no sean robados, sino que se hayan creado a partir información de las empresas expuesta en fuentes públicas.

En este caso, el malware abusa de un problema de DLL Hijacking en VMnat.exe, que es un programa independiente que viene con varios paquetes de software de VMware. VMnat.exe (como muchos otros programas) intenta cargar una DLL del sistema llamada shfolder.dll (específicamente la función SHGetFolderPathw). Primero intenta cargarlo desde la misma ruta en la que se llama a VMnat.exe; si no se encuentra, lo comprobará en la carpeta del sistema. Lo que hace el malware es colocar tanto el VMnat.exe legítimo como un archivo malicioso rebautizado como shfolder.dll (que es el propio malware firmado con un certificado) en la misma carpeta. VMnat.exe es entonces lanzado por el «malware de primera etapa», el cual primero encuentra el sfholder.dll malicioso y luego lo carga en su memoria. El sistema está ahora infectado, pero lo que el SmartScreen percibe es que lo que se ha ejecutado es un archivo con buena reputación.

A través de este innovador movimiento el atacante puede:

Evitar las firmas de antivirus fácilmente, pero no puede bypassear tan fácilmente la seguridad de los endpoints (heurística, hooking). El lanzamiento de vmware.exe es de hecho menos sospechoso y, por ello, el malware entra por esta vía, a través de algún tipo de ejecución de «segunda etapa» que es menos ruidosa dentro del sistema.
SmartScreen se basa en la reputación y es difícil de eludir para los atacantes. Por esta razón, la ejecución de un archivo ejecutable legítimo como VMware.exe y la carga de una DLL firmada (que a su vez es malware) hace que a SmartScreen le resulte mucho más difícil de detectar la potencial infección.

Más funcionalidades interesantes
Este malware, por supuesto, utiliza algunas otras técnicas interesantes pero también vistas con anterioridad. Está muy ofuscado y empacado para eludir firmas estáticas (al menos temporalmente) y utiliza la «decodificación de cadenas en tiempo real». Cuando se lanza, mantiene cada una de las cadenas cifradas en memoria, y solo las descifra cuando es estrictamente necesario. Esto le permite ocultarse incluso cuando un analista o sandbox vuelca la memoria.

El clipboard criptohijacking es también un vector de ataque interesante. El malware está continuamente revisando el portapapeles de la víctima. Si se detecta un wallet de Bitcoin, la sustituye rápidamente por una billetera controlada por el atacante, en concreto, se ha identificado la siguiente: 1CMGiEZ7shf179HzXBq5KKWVG3BzKMKQgS. Cuando la víctima quiere hacer una transferencia de Bitcoin, normalmente copiará y pegará la dirección de destino. En este caso, el malware la cambiará al vuelo, esperando que el usuario confíe inconscientemente en la acción del portapapeles y confirme la transacción. Esta es una nueva técnica de robo de bitcoins que está empezando a convertirse en una tendencia. En esta dirección Bitcoin, hemos podido comprobar que en el pasado ha llegado a manejar 20 bitcoins, algunos de estos fondos han sido transferidos directamente a otra dirección bitcoin (supuestamente propiedad de los creadores) con 80 bitcoins. Esto significa que los atacantes disponen de abundantes recursos y parece que han tenido bastante éxito.

La cartera en el malware envía el dinero a esta otra cartera, con hasta 80 bitcoins

Conclusiones
Este malware proviene de Brasil, pero está dirigido a los bancos chilenos más populares. Utiliza debilidades desconocidas hasta ahora en software conocido para eludir algunas técnicas de detección. Es un interesante paso adelante en la forma en que se ejecuta el malware en el ordenador de la víctima. VMware ha sido alertado al respecto y ha mejorado rápidamente su seguridad. Sin embargo, este no es un problema específico de VMware, cualquier otro programa de buena reputación con la vulnerabilidad de DLL Hijacking (que son muchos) puede ser utilizado como «malware launcher». Esto ofrece mucho margen para que los creadores de malware utilicen software legítimo y firmado como una técnica de ejecución menos ruidosa.

Además, utiliza muchas otras técnicas de vanguardia como el clipboard cryptohijacking, la comunicación con el C&C a través de puertos no estándar que dependen de sistemas DNS dinámicos, el descifrado de cadenas de memoria solo cuando es estrictamente necesario, etc. Todo esto lo convierte en una pieza de malware muy interesante para tener en cuenta cómo están evolucionando los atacantes para evitar ser detectados, incluso un paso por delante de la escuela rusa, que tradicionalmente son más innovadores en el campo del malware.

En resumen: Nos encontramos ante una evolución del malware brasileño que contiene técnicas muy avanzadas (además de las tradicionales que no mencionamos pero que resultan estándar en el malware actual) contra los analistas, antivirus y efectivas a su vez contra las entidades bancarias. En resumen, sus puntos fuertes son:

Su capacidad de pasar desapercibido:
- A través del uso de un fallo previamente desconocido en un software popular para ser lanzado.
- Evitando ser lanzado si encuentra software que le resulte «incómodo» en la víctima.
- Analizando el software antivirus en la víctima para tener sus propias estadísticas.
- Cifrando/descifrando las cadenas en memoria recurrentemente.
- Utilizando canales de comunicación no estándar.
- Firmando los binarios.

Su capacidad de dificultar el análisis:
- Empacando el software.
- Rutinas complejas y cadenas ofuscadas.
- Dejando buena parte de la lógica del lado del servidor.