Hola a tod@s!!

He visto este correo proveniente del ¿Banco Santander? ¡Claro que no! Veamos de qué se trata : Any.run

Any.run AgenTesla Santander

Si nos fijamos en las detecciones, nos indica que se trata de AgentTesla, sin embargo, no nos muestra la configuración del malware.

AgenTesla sin configuración

Aparecen referencias a un exploit, cve-2017-11882, pero antes de llegar a él, partiremos del fichero Excel que vemos como adjunto pero antes de eso, ¿os habéis fijado en el dominio del correo de procedencia?

Alberto Huerta Banco Santander

Nada que ver con el Banco Santander, ¿verdad? Eso ya debería hacer que se desconfíe del correo, además de otros parámetros de seguridad que podemos ver en la cabecera del correo.

Campos SPF . DKIM , DMARC

Si veis que en los campos asociados a SPF, DKIM o DMARC aparece fail, entonces estaremos ante un Phishing o Spam. Os recuerdo algo sobre estas cabeceras de ciberseguridad de email :

  • Sender Policy Framework (SPF): Autenticación de Servidores de Correo
    El SPF es una técnica esencial en la defensa contra el phishing. Permite verificar que los servidores enviando correos en nombre de un dominio están previamente autorizados por dicho dominio. Cuando un correo electrónico es recibido, el sistema comprueba si procede de un servidor que coincide con las políticas SPF establecidas en los registros DNS del dominio del remitente. Un fallo en esta comprobación es a menudo señal de un intento de suplantación de identidad, alertando sobre la posible falsedad del mensaje.
  • DomainKeys Identified Mail (DKIM): Firmando Digitalmente para la Seguridad
    DKIM añade una capa de seguridad al firmar digitalmente los correos en el servidor de origen. Esta firma es luego verificada contra una clave pública alojada en los registros DNS del dominio del remitente por el servidor receptor. Un correo que llegue sin una firma DKIM válida o con discrepancias en la verificación de la firma sugiere una manipulación potencial del mensaje, elevando las sospechas de actividad fraudulenta.
  • Domain-based Message Authentication, Reporting, and Conformance (DMARC): Integración y Conformidad
    DMARC amplifica la efectividad de SPF y DKIM al establecer una política clara que los servidores de correo pueden utilizar para manejar correos que no pasen estas validaciones. Ayuda a los administradores a decidir cómo tratar los correos que fallan en estas pruebas, como rechazarlos o marcarlos como sospechosos. La no conformidad con la política DMARC de un dominio es un indicativo claro de que el correo podría ser parte de un ataque de phishing, proporcionando así una herramienta poderosa para la protección de la información.

La combinación de un resultado "softfail" en SPF y un resultado "fail" en DMARC, junto con la falta de firma DKIM, sugiere que el correo electrónico podría ser considerado como spam o como potencialmente malicioso. 

Phising Banco Santander

Ahora sí, vamos al adjunto. Según la sandbox tenemos la descarga de una URL desde Excel : h[tt]p://198.12.81[.]144/xlamkissedmewithgreatresultstounderstandthefeelingofloverkiisingtomewithlipstoget__suchatruelovermetounderstand.doc

Descarga de Malware Banco Santander

¿Es un fichero de Word?

Fichero Malicioso Ejecutable

No, es un fichero RTF, que será abierto con Microsoft Word.

Malware Visual Basic VBS

Este será el que aproveche la vulnerabilidad mencionada anteriormente y descargue un fichero VBS llamado forxlam.vbs ubicado en el mismo servidor web que el fichero anterior RTF : h[tt]p://198.12.81[.]144/forxlam.vbs

 Este script ejecuta un comando Powershell como puede verse a continuación.

Script Malicioso PowerShell

Utilizamos Cyberchef  para obtener el resultado del comando.

Análisis de Malware con Cyberchef

Vemos referencias a un par de imágenes (¿iguales?) en las cuales se esconde algún código base64.

Imagen AgenTesla con Malware

Hay unos tag de inicio y fin de código base64: <<BASE64_START>> y <<BASE64_END>>. Una de ellas no contiene el código base64 esperado, la otra sí.

BASE64_START Y BASE64_END

El contenido una vez tratado, es una DLL que se encargará de poner en memoria el malware final, que sale de la URL que se encuentra al revés: h[tt]p://198.12.81[.]144/siscopbaze6444444444maincleanrdppppp.txt

 Esta URL contiene código base64 al revés, el cual trataremos.

Inverse Base64
  • Filename: siscopbaze6444444444maincleanrdppppp.exe
  • md5: 51b25cb304a840acb014f48414fa1130
  • sha1: 4ddc549405e9467e06e7b8e5efa99ea0bd337132
  • sha256:3ac7c6799414c1fe18dc8e355833651a85e73b443df78f6870293a2266483093
  • imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Después de pasarle el De4dot podemos tener acceso más legible al código fuente del malware y, por consiguiente, a su configuración.

Análisis De4dot

La exfiltración se produce vía FTP a ese dominio que se ve en la captura anterior.

Ip del FTP de Exfiltración de AgenTesla

La inyección se produce en el proceso AddInProcess32.exe, como veíamos en el comando que se estaba ejecutando.

proceso de infección AddInProcess32.exe

Aunque no sacase la configuración de AgentTesla, sí que dio en el clavo, por lo tanto, bien por Any.run.

 Espero que os haya gustado y nos vemos en el siguiente POST.

 ¡¡Hasta otra!!