Alerta! CyberGate: troyano que graba webcam

malwareAnálisis de Malware que afecta principalmente a la Argentina y Sudamérica. Hace unos días un supuesto hacker (camushackers), supuestamente habría robado y tomado vía webcam, supuestas fotos comprometedoras de distintas personalidades del espectáculo local, para luego postearlas en su cuenta de Twitter. Obviamente luego se probó que nada de eso había pasado pero muchos preguntaban como lo habría hecho. Esta es una de las formas.

En esta oportunidad se envía un correo falso con el asunto “En febrero nuestra aerolínea te obsequia dos tickets ida y vuelta a cualquier destino” simulando provenir de una conocida aerolínea internacional ofreciendo un obsequio espectacular, en el enlace se apunta a un troyano Cybergate RAT (Remote Administration Tool).

CORREO FALSO

El indice de detecciones es moderado en VirusTotal (14/50).

Contiene una capa de Crypter en Visual Basic y luego el ejecutable esta compactado con UPX

Para obtener el Dump BP en IsDebuggerPresent / ZwWriteVirtualMemory /ZwResumeThread

Sin la capa del Crypter el número de detecciones obviamente cambia.

Persistencia en el sistema del malware.

Strings Interesantes…….
008B5021   MOV EDX,dump3.008BF71C      ASCII “finalizarconexao”
008B514C   PUSH dump3.008BF738             ASCII “listarportas|finalizarconexao|”
008B5161   PUSH dump3.008BF760              ASCII “TRUE”
008B5191   PUSH dump3.008BF738              ASCII “listarportas|finalizarconexao|”
008B51A6   PUSH dump3.008BF770              ASCII “FALSE”
008B520C   MOV EDX,dump3.008BF780       ASCII “finalizarprocessoportas”
008B529B   PUSH dump3.008BF7A0              ASCII “listarportas|finalizarprocessoportas|Y|”
008B52E2   PUSH dump3.008BF7D0              ASCII “listarportas|finalizarprocessoportas|N|”
008B535F   MOV EDX,dump3.008BF800        ASCII “listdevices”
008B5379   PUSH dump3.008BF814               ASCII “listdevices|listadedispositivospronta|”
008B540C   MOV EDX,dump3.008BF844        ASCII “listextradevices”
008B5474   MOV EDX,dump3.008BF860         ASCII “listextradevices|listadedispositivosextraspronta|”
008B54C1   MOV EDX,dump3.008BF89C        ASCII “configuracoesdoserver”
008B54DE   MOV EDX,dump3.008BF8BC       ASCII “configuracoesdoserver|configuracoesdoserver|”
008B552B   MOV EDX,dump3.008BF8F4         ASCII “executarcomandos”
008B5620   MOV EDX,dump3.008BF91C         ASCII “openwebpage”
008B56A3   MOV EDX,dump3.008BF0BC        ASCII “open”
008B56FA   MOV EDX,dump3.008BF930         ASCII “openweb”
008B57CB   MOV EDX,dump3.008BF0BC       ASCII “open”
008B582B   MOV EDX,dump3.008BF940         ASCII “openwebhidden”
008B58E2   PUSH dump3.008BF950                ASCII “URL_VISITOR”
008B5989   MOV EDX,dump3.008BF964          ASCII “downexec”
008B5AA3   MOV EDX,dump3.008BF0BC        ASCII “open”
008B5AD6   MOV EDX,dump3.008BF0BC        ASCII “open”
008B5B2D   MOV EDX,dump3.008BF984         ASCII “obterclipboard”
008B5B54   MOV EDX,dump3.008BF99C         ASCII “obterclipboard|obterclipboard|”
Uso de Webcam de la victima:
008B797C   MOV EDX,dump3.008BFFBC                  ASCII “webcaminactive|”
008B7994   MOV EDX,dump3.008BFFD4                   ASCII “webcamdllloaded|”
008B79AC   MOV EDX,dump3.008BFFBC                 ASCII “webcaminactive|”
008B79C4   MOV EDX,dump3.008BFFBC                  ASCII “webcaminactive|”
008B79FD   MOV EDX,dump3.008BFFF0                   ASCII “webcamsettings”
008B7B01   MOV EDX,dump3.008C0008                    ASCII “checkwebcamfile”
Grabación de Audio:
008B8300   MOV EDX,dump3.008C010C                    ASCII “audiogetbuffer”
008B84A5   MOV EDX,dump3.008C0124                    ASCII “audiostop”
File Manager:
008B8529   MOV EDX,dump3.008C0138                 ASCII “listardrives”
008B8551   MOV EDX,dump3.008C0150                 ASCII “filemanager|listardrives|”
008B85A3   MOV EDX,dump3.008C0174                ASCII “listararquivos”
008B860F   PUSH dump3.008C018C                       ASCII “filemanager|dirmanagererror|”
008B8631   MOV EDX,dump3.008C01B4                ASCII “filemanager|listararquivos|”
008B8683   MOV EDX,dump3.008C01D8                ASCII “execnormal”
008B8749   MOV EDX,dump3.008BF0BC                ASCII “open”
008B875A   PUSH dump3.008C01EC                       ASCII “filemanager|mensagens|”
Keylogger:
008C3315   PUSH dump3.008C3490                     ASCII “[START CLIPBOARD] “
008C331D   PUSH dump3.008C34AC                   ASCII ” [END CLIPBOARD]”
008C3322   PUSH dump3.008C3484                     ASCII “”
008C3347   MOV EDX,dump3.008C34C8             ASCII “njgnjvejvorenwtrnionrionvironvrnvcg117”
008C334C   MOV EAX,dump3.008C34F8            ASCII “[LogFile]”
008C3359   MOV EDX,dump3.008C350C            ASCII “####”
008C337A   PUSH dump3.008C351C                  ASCII “[ “
008C3385   PUSH dump3.008C3528                   ASCII ” ] —> [ DATE/TIME: “
008C33B5   PUSH dump3.008C3554                   ASCII ” — “
008C33D5   PUSH dump3.008C3570                  ASCII ” ]”
008C33DA   PUSH dump3.008C3484                  ASCII “”
008C33DF   PUSH dump3.008C3484                  ASCII “”
008C33EA   PUSH dump3.008C357C                 ASCII ”  “
008C33EF   PUSH dump3.008C3484                  ASCII “”
008C33F4   PUSH dump3.008C3484                   ASCII “”
008C3413   MOV EDX,dump3.008C34C8           ASCII “njgnjvejvorenwtrnionrionvironvrnvcg117”
008C3429   MOV ECX,dump3.008C350C         ASCII “####”
Aquí es donde se graban los tecleos (ofuscados)
08C4ADB   PUSH dump3.008C4D98      ASCII “v1.18.0 – Trial version”
008C4AE0  PUSH dump3.008C4DB8      ASCII “log.dat”

 

 

.
En el análisis dinámico podemos hacer una adquisición de la memoria RAM del sistema con Dumpit! para luego buscar strings que nos pueden revelar algo mas.
Por ejemplo aquí podemos ver los datos capturados por el Keylogger antes de ser ofuscados y guardados en el archivo de logging del troyano. (También se observa el NO-IP utilizado como Comando y Control).
.

 

Disco local (C:)
14:01:45
h&?
proyectofinal.no-ip.biz:3461
ENERO 3
TRUE
c:\
install
winlogionfire.exe
{2D31547I-7FY4-71H4-1N57-IG605J8MI5SL}

Muestra + Dumps: https://www.dropbox.com/s/mbilwo8oueyqaaz/CyberGate28-01-14.rar
Fuente: Dkavalanche

 

Eduardo NataliAutor: Eduardo Natali Consultor en seguridad informática y tecnología, desde 1996 brindando servicios en tecnologías de la información en distintas áreas como capacitación, proyecto, soporte, redes, seguridad, desarrollo web, detección y análisis de vulnerabilidades, hacking ético, smarthphones, capacitación.