4null0: julio 2020

No hace mucho se me paso un documento EML que contenía un documento “infectado”.

Parte inicial del archivo a investigar

Parte final del archivo a investigar

Como se puede ver, el nombre del archivo es: PO 127516.xlsm y el contenido del archivo viene en base 64.

NOTA: La extensión: xlsm, es la extensión utilizada por Excel para almacenar archivos con macros.

Para poder analizarlo, se tuvo que extraer los caracteres en base64 y decodificarlos, para lo cual se utilizo una herramienta de cosecha propia. Si quieres utilizarla puedes obtenerla aquí.

Tras obtener el archivo, se traslado a un entorno controlado para su análisis. En dicho entorno no existe salida a Internet de manera efectiva pero es posible analizar las comunicaciones que se han producido mediante Wireshark al abrir el documento analizado.

El Wireshark mostro peticiones DNS, hacía el dominio: cd.crazendemand.com

Peticiones DNS

Tras la apertura del documento se procedió a revisar la macro del documento

Parte de la macro

Se procedió a buscar el punto de ejecución, porque el malware que utiliza macros siempre ejecuta algo

Se encontro :

Punto de ejecución dentro del código

En la ejecución paso a paso del código nos fijamos en el campo: TXTFile, en donde se encontró:

Como se puede apreciar, tenemos un archivo ubicado en: C:/programdata, que utiliza ALTERNATE DATA STREAM (asc.txt:script1.vbs).

Para ver el contenido del archivo que realmente contiene el premio gordo tenemos que utilizar el nombre completo, es decir, ejecutar , por ejemplo, lo siguiente: notepad asc.txt:script1.vbs

Al hacerlo se pudó ver: