Tras descubrir la macro y la función que contenía el código camuflado, se procede a
analizar el procedimiento: BadlooDcurl()
Ejecución paso a paso del procedimiento BadlooDcurl()
La variable: “IaInpkUCvOFAvgGcHPIp”, almacena el
valor: ewqpkXiyzHDgLzMxtKsz.exe
Valor contenido en la variable “ IaInpkUCvOFAvgGcHPIp”
La variable: “XQBcNCnHTknMoayrNMJU”, almacena una
ubicación, concretamente la carpeta “Temp”
del usuario que ejecuta el documento.
Valor contenido en la variable “XQBcNCnHTknMoayrNMJU”
La variable: “XQBcNCnHTknMoayrNMJU”, almacena una URL:
“firstrepubllic.com/bhost.exe”
Valor contenido en la variable “tgpTxuNFxowklLUCkvoj”
La función: “ApMLroswpTJxUSSfwxYW”, solicita la
descarga del ejecutable ubicado en la web “firstrepublic”
y lo almacena en la carpeta “Temp”,
comentada anteriormente, con el nombre del ejecutable: “ewqpkXiyzHDgLzMxtKsz.exe”
Funcionalidad de la función “ApMLroswpTJxUSSfwxYW”
Y por último se
procede a ejecutar el archivo descargado mediante la función: “KbtCMtGNZZwfklI”
Funcionalidad de la función “KbtCMtGNZZwfklI”
Comentar que cuando
se ha intentado descarga el archivo: “bhost.exe”,
de la ubicación localizada nos hemos encontrado con que no se resuelve la
petición DNS.
Petición DNS no resuelta
Aun así, hemos
procedido a preguntar por la reputación de dicha URL, encontrándonos que 7 de
65 motores, consideran que dicha página es maliciosa (ver).
En dicha página
también se puede observar el análisis realizado para el archivo descargado.
Conclusión
En vista de lo
anterior, recomendamos bloquear las URLs:
firstrepubllic.com/bhost.exe
Así como los
archivos con MD5:
229397852fa5a9a7b8a6927cb1e32b87 (Se corresponde con el MD5 del archivo bhost.exe)
No hay comentarios:
Publicar un comentario