Go to the profile of Joan Bono
Joan Bono
SOC Security Analyst @ Telefonica

Analizando documentos maliciosos

He recibido el siguiente mensaje con una factura invoice_8867324.doc:

I got this from you yesterday, but we never worked with you.
What is this about?
Kyle Subbert
Karl Tyler Chevrolet Cadillac
P: 866.3844870
F: 866.4353274

Al igual que ellos nunca han trabajado conmigo, yo tampoco les mandé nada. Descargo el fichero para analizarlo con OfficeMalScanner:

Análisis del fichero con OfficeMalScanner

El programa ha extraído 3 macros del documento:

Abrimos pues el documento con el Word 2007:

invoice_8867324.doc abierto con Microsoft Word 2007

Seguimos los pasos que nos sugiere para habilitar el contenido y ejecutamos Wireshark. El pcap lo llamamos VBA_Macro.pcap.

Primero vemos con qué dominios ha intentado contactar:

Las peticiones que lanza:

Llama la atención el fichero pm.dll y inst1.exe.

En cuanto a los gate.php, lanzamos una petición curl a ver qué contesta:

Seguidamente, vamos a ver los streams de la petición POST:

Y pasamos al de la petición GET al fichero pm.dll:

Y por último, la petición GET al inst1.exe:

Por último, descargamos el ejecutable que nos está intentando colar:

Ficheros

invoice_8867324.doc — 669d21806e08980f857ca87c4e88e27b
inst1.exe — a0ac89b1df140946e054cdb3bf890358
pm.dll — b4094ccf33ae8cb5b66dbebf9c5a41f7

  • Go to the profile of Joan Bono

    Joan Bono

    SOC Security Analyst @ Telefonica