Chewbacca – un nuevo malware basado en Tor

Se ha descubierto un nuevo malware basado Tor, llamado ” Chewbacca ”  y detectado como ” Trojan.Win32.Fsysna.fej “. El uso de Tor con el malware no es exclusivo de esta muestra , pero es todavía una característica poco común .

Últimamente Tor se ha vuelto más atractivo como un servicio para asegurar el anonimato de los usuarios. También los delincuentes lo utilizan para sus actividades, pero lo están adoptando lentamente para alojar su infraestructura maliciosa. Esta capacidad fue añadida a Zeus hace poco, según lo informado por el colega Dmitry Tarakanov aquí . Además, el CrimewareKit Atrax y en Mevade basadp en la misms botnet, se conocieron debido a esto.

introducción
Tor es una red superpuesta para mantener el anonimato . También sirve de dominio de nivel superior, con capas superpuestas, que sólo es accesible a través de Tor (por supuesto , también hay servicios Web de enrutamiento con capas-dominios de Internet). Esto protege a la localización de un servidor, así como la identidad del propietario en la mayoría de los casos. Todavía hay algunas desventajas que impiden a muchos criminales de la celebración de sus servidores dentro de Tor. Debido a la superposición y la estructura , Tor es más lento y los tiempos de espera son posibles. La actividad botnet masiva puede influir en toda la red, como se ha visto con Mevade , y por lo tanto permitir que los investigadores detectarlo más fácilmente. Además, la aplicación de Tor añade más complejidad

El malware
El troyano ( MD5: 21f8b9d9a6fa3a0cd3a3f0644636bf09 ) es un ejecutable PE32 compilado con Free Pascal 2.7.1 (la versión de fecha 10/22/2013 ) . El archivo de 5 MB contiene Tor 0.2.3.25 .

El preanalisis de virustotal ofrece este informe:

MD5 21f8b9d9a6fa3a0cd3a3f0644636bf09
SHA1 0392f25130ce88fdee482b771e38a3eaae90f3e2
File size 5.0 MB ( 5224645 bytes )
SHA256: 31d4e1b2e67706fda51633b450b280554c0c4eb595b3a0606ef4ab8421a04dc9 Nombre: vti-rescan
Detecciones: 26 / 49
Fecha de análisis: 2013-12-19 02:07:42 UTC

0 2

Antivirus  Resultado  Actualización
Ad-Aware   20131211
Agnitum   20131217
AhnLab-V3   20131218
AntiVir  TR/Malex.J.276  20131219
Antiy-AVL  Trojan/Win32.Generic  20131218
Avast   20131219
AVG  Win32/DH{IANhDx4kIiUtexM}  20131218
Baidu-International  Trojan.Win32.Fsysna.AEMh  20131213
BitDefender   20131211
Bkav  W32.HfsAutoB.A756  20131218
ByteHero   20130613
CAT-QuickHeal   20131218
ClamAV   20131219
CMC   20131217
Commtouch   20131219
Comodo   20131219
DrWeb  Trojan.Siggen6.2973  20131219
Emsisoft  Trojan.GenericKD.1449920 (B)  20131219
ESET-NOD32   20131219
F-Prot   20131219
F-Secure  Trojan.GenericKD.1449920  20131219
Fortinet  W32/Fsysna.FEJ!tr  20131218
GData  Trojan.GenericKD.1449920  20131219
Ikarus  Trojan.Win32.Malex  20131219
Jiangmin  Trojan/Fsysna.jg  20131218
K7AntiVirus  Riskware ( 0040f0fb1 )  20131218
K7GW  Riskware ( 0040f0fb1 )  20131218
Kaspersky  Trojan.Win32.Fsysna.fej  20131219
Kingsoft  Win32.Troj.Fsysna.f.(kcloud)  20130829
Malwarebytes   20131219
McAfee  Artemis!21F8B9D9A6FA  20131219
McAfee-GW-Edition  Artemis!21F8B9D9A6FA  20131218
Microsoft  Trojan:Win32/Malex.gen!J  20131219
MicroWorld-eScan   20131218
NANO-Antivirus   20131219
Norman  Suspicious_Gen4.FMVZX  20131218
nProtect   20131218
Panda  Trj/CI.A  20131218
Rising   20131218
Sophos  Mal/Generic-S  20131219
SUPERAntiSpyware   20131219
Symantec  Infostealer.Fysna  20131219
TheHacker   20131218
TotalDefense   20131218
TrendMicro  TROJ_GEN.R0CBC0DLE13  20131219
TrendMicro-HouseCall  TROJ_GEN.R0CBC0DLE13  20131219
VBA32   20131218
VIPRE  Trojan.Win32.Generic!BT  20131219
ViRobot   20131219

Después de la ejecución de la función “P $ CHEWBACCA $ _ $ TMYAPPLICATION_ $ __ $ $ _install ” se llama , que se instala a sí misma como ” spoolsv.exe ? ” en la ” carpeta de inicio ” ? (por ejemplo, C: \ Documents and Settings \ All Users \ Start Menu \ Programs \ Startup \) y pide a la IP pública de la víctima a través de un servicio de acceso público a http://ekiga.net/ip (que no está relacionada con la malware) .

Tor se copia como ” tor.exe ” en carpeta temporal del usuario – s y se ejecuta con un listado por defecto en ” localhost: 9050 “.

Una vez que se ejecuta , el troyano registra todas las pulsaciones de teclado del usuario ” system.log ” , Que es creado por el malware en la carpeta Temp de usuario local – s . Esta funcionalidad de keylogger se instala mediante el uso de la función SetWindowsHookExA – API con la de tipo gancho WH_KEYBOARD_LL . Esta system.log se carga a través de [ url ] / sendlog.php (mientras la url es modificable – ver abajo).

El troyano también enumera todos los procesos en ejecución y lee la memoria de proceso. Contiene dos patrones diferentes regex (expresión regular) para extraer información .

Estos datos se envían a través de la función ” Exfiltrate “, cargando en [ url ] / recvdata.php El malware también contiene una función de desinstalación llamado “P $ CHEWBACCA $ _ $ TMYAPPLICATION_ $ __ $ $ _destroy ? ” .

Comando y control del servidor
El C & C es una instalación simple basada en Linux CentOS , Apache 2.2.15 , MySQL y PHP 5.3.3 (incluyendo 2.11.11.3 phpmyadmin ) , que se aloja en http://5jiXXXXXXXXXXgmb.onion . Al abrir la URL presenta una interfaz de inicio de sesión, con la imagen de fondo de Chewbacca del ” Juego de clones “- Una serie de Andrew Lanza (no relacionados con el malware, por supuesto)

Los dos scripts php mencionados anteriormente, contienen la funcionalidad de este servidor.

sendlog.php contiene la funcionalidad para cargar los datos – keylogger desde el ordenador de la víctima – s con el servidor

recvdata.php es para extraer los datos, cuya llamada devuelve el siguiente mensaje de error : ” Notice: Undefined index : datos en bruto en / var / www / html / recvdata.php en la línea 24 ”

Conclusión y Notas
Gracias al colega Nicolas Brulez en la ayudar con el análisis .

Chewbacca actualmente no se ofrece en  foros públicos (metro) , a diferencia de otros juegos de herramientas tales como Zeus. Tal vez esto es en el desarrollo o el malware se usa o se comparte sólo en privado, de momento.

Parece que Tor está atrayendo a algunos criminales para alojar su infraestructura , ya que promete más “Seguridad” para C & C v pero esto tiene inconvenientes , por supuesto, como se indicó anteriormente
 Fuente

Comentario:

Se había dicho que la botnet de TOR estaba controlada, pero parece que solo está aparcada…

Y es que gracias al uso de Tor, Chewbacca prescinde de la típica táctica de los malwares bancarios que utilizan un servidor de terceros legítimos, que ha sido alterado por hackers para almacenar datos robados, para que el robo de datos en cuestión sea más difícil de detectar. Con este Chewbacca, todos los datos ( grabaciones de keylogger, y la extracción de los datos de la memoria, se envían de vuelta al servidor TOR de forma planificada.

Keylogger del futuro (o del presente) de lo mas peligroso…
saludos

ms, 21-12-2013