Exploit de WinRar CVE-2018-20250 utilizado para distribuir Malware Bancario (Sitio .CL)

El pasado 18 de Marzo, haciendo OSINT sobre algunos dominios .CL con Directory Listing (#opendir) me di cuenta que uno de ellos alojaba un archivo sospechoso, denuncias.rar el que habían subido ese mismo día (al momento de publicar este post el archivo sigue ahí).

Al subir la muestra a Hybrid-Analysis nos indica efectivamente que estábamos en presencia del exploit de WinRar CVE-2018–20250, al descomprimir los archivos dentro del .rar se copia en el StartUp de Windows un archivo de nombre Integrity.exe. Este ultimo catalogado como Troyano Bancario por VirusTotal.

En el análisis dinámico de Any.Run el troyano se comunica al mismo dominio .cl para actualizar la tabla de infectados:

El total de infectados hasta el momento es de 45 equipos (1 IP Chilena) y se pueden ver en el archivo tictic.txt

Algo muy interesante es que el sitio triosalud.cl esta alojado en un servidor web compartido con IP 190.107.177.246 y que tiene múltiples reportes asociados a Malware, Phishing y SCAMS de todo tipo. Esto se puede ver en urlquery.net

Otro segmento en la misma red 190.107.177.91 y con las mismas características, múltiples sitio web hackeados y utilizados para actividades ilícitas.

Botnets especialistas en la distribución masiva de Malware como EMOTET, podrían cambiar y utilizar este vector de ataque para seguir con sus acciones delictivas.

IOC’s

Para una protección adicional, se recomienda bloquear:

  • 190.107.177.246
  • 190.107.177.91
  • triosalud.cl

Se informa a la empresa https://cpanelhost.cl/ sobre esta amenaza para que revisen los servidores comprometidos y puedan bajar las amenazas que aún se encuentran activas.

Más información técnica sobre la vulnerabilidad en la siguiente publicación del Centro de investigación SOC Chile de Telefónica https://www.linkedin.com/pulse/sobre-vulnerabilidad-de-winrar-cve-2018-20250-soc-chile/

La siguiente utilidad de Ricardo Monreal puede detectar si un archivo WinRar esta modificado para explotar la vulnerabilidad https://github.com/joydragon/Detect-CVE-2018-20250

UPDATE 22–03–2019 23:12

Se reporta otra muestra para el archivo “__Denuncia_Activa_CL.PDF.bat”

https://app.any.run/tasks/eb910c5b-ad37-48a8-a760-dc4e9215e9b6

Al parecer el Troyano Bancario sería KL-Banker (también conocido como N40) desarrollado por brasileños y apuntando a bancos Chilenos como:

  • Santander
  • CorpBanca
  • Banco Estado
  • BancoChile
  • BCI

Uno de los últimos paneles de administración de este tipo de Botnet’s se puede ver en la siguiente imagen:

Antes de finalizar el día el CSIRT del gobierno de Chile emite un comunicado al respecto https://www.csirt.gob.cl/media/2019/03/comunicado-ciberseguridad.pdf

En paralelo, curiosamente, la SBIF emite otro comunicado con una alerta de seguridad https://www.sbif.cl/sbifweb/servlet/Noticia?indice=2.1&idContenido=12455

Banco Santander informa por Twitter que ha bajado momentáneamente los accesos a sus portales Banca Empresa https://twitter.com/santanderchile/status/1109263272136663041, también lo hacen Itaú y Banco Chile.

Al parecer serían dos alertas distintas:

1.- Comunicado CSIRT: Por el exploit de WinRar en triosalud.cl infectando con KL Banker o N40 (Troyano Bancario desarrollado por brasileños).
2.- Comunicado SBIF: Por incidentes con Emotet (SMTP’s comprometidos en proveedores y al parecer algo más).

UPDATE 23–03–2019 13:34

El supuesto registro de infectados encontrado en el dominio triosalud.cl en este momento asciende a 205 equipos, el detalle lo deje en mi Pastebin: https://pastebin.com/ERs3xkia

Se suma un antecedente muy importante presentado por Pedro Huichalaf Roa, Abogado y ex Subsecretario de Telecomunicaciones a quien le llego un Email con el Phishing apuntando a esta amenaza, el detalle de su experiencia lo pueden leer en: https://huichalaf.cl/emiten-alerta-de-ciberseguridad-por-malware-bancario-a-sector-financiero/

Este sería el correo que llega repartiendo el WinRar:

La recomendación más importante es actualizar a la última versión de WinRar. Algo que seguramente ya hiciste ¿Verdad?

Más info en el Twitt3r: https://twitter.com/WWWSecurity

Saludos,
1ZRR4H