ANALISIS DE MALWARE

Analizaremos el Malware con nombre de ejecutable

e8a091a84dd2ea7ee429.exe

Datos Generales

Nombre del Malware: Chacha

Familia: Maze Ransomware

MD5: f83fb9ce6a83da58b20685c1d7e1e546

SHA-1: 01c459b549c1c2a68208d38d4ba5e36d29212a4f

SHA-256: e8a091a84dd2ea7ee429135ff48e9f48f7787637ccb79f6c3eb42f34588bc684

"CHACHA" es un malware de la familia MAZE RANSOMWARE con múltiples

funcionalidades destructivas y evasivas.

Su complejidad radica en la presencia de múltiples payloads dentro del ejecutable principal, cada
uno con funciones específicas.

La nota de rescate y acciones indican un intento de extorsión económica a través del cifrado de
archivos.
 Ficheros Ejecutables

• e8a091a84dd2ea7ee429135ff48e9f48f7787637ccb79f6c3eb42f
34588bc684.exe
* Es el primer ejecutable, inicia en la ruta:
C:\Users\ama\AppData\Local\Temp\e8a091a84dd2ea7ee429.exe
* Contiene varios Payload dentro que despliegan en cola cuando este es ejecutado.
* SHA 256 de los payloads:

Primer PE desplegado
1fa139868fe2eb94833583e8a10aadd6f5cf5120ce018b888c60f86d6dc8e011
Segundo PE desplegado dentro del anterior
dc0266804bd2bfc83109152fef734d54f7a7d0c09487096a368ae45518d2ca13
Tercer PE desplegado luego del anterior
d2fea84b5e114e97a6e3b2c58239aea82bbaf94acc42a96d93b60cac22ebcdbc

• WMIC.exe
* Borra los back ups del sistema
* Se encuentra dentro de un Payload

• VSSVC.exe
* Se mantiene activo durante 300 segundos (sleep)
* Este .exe es una técnica Anti-Sandbox que mantiene el malware inactivo hasta cierto
acontecimiento o fecha / horario
* Se conecta a IPs detectadas como maliciosas:
• IP: 92.63.32.55:80
• IP: 92.63.15.8:80
• IP: 92.63.32.2:80
• IP: 92.63.37.100|80
• IP: 92.63.8.47|80
• IP: 104.208.16.93|80
• IP: 92.63.11.151|80
• IP: 92.63.17.245
 Análisis Estático

Librerías y Métodos Utilizados:

Librería: KERNEL32
Métodos Anti-Sandbox: Sleep
Métodos Anti-Debugging: IsProcessorFeaturePresent, IsDebuggerPresent
Gestión de Procesos: GetProcAddress
Gestión de Memoria: HeapFree
Gestión de Hilos: ExitThread
Ejecución de Comandos: GetCommandLineA

Entropía del archivo .data: 7.99 (datos altamente cifrados / ofuscados) debido a múltiples payloads
que realizan acciones en cola

Roba credenciales del navegador, cookies, contraseñas almacenadas y archivos.

Ejecuta en segundo plano, utiliza comandos para evadir defensas, accede a carpetas públicas y
utiliza PowerShell para descargas.

Obtiene información de navegadores, ficheros y la papelera.

Funciona como ransomware, cifrando datos masivamente y destruyendo logs y ficheros.

Probablemente no posea packer

Realiza peticiones HTTP a diversas direcciones IP, algunas de ellas identificadas como maliciosas.

Strings Analisis

`scalar deleting destructor' -> En C++, los "destructores" son métodos especiales de las
clases que se utilizan para realizar tareas de limpieza o liberación de recursos cuando un
objeto sale del ámbito

`local vftable' -> La manipulación de vftables es una técnica común en ingeniería inversa y
análisis de malware. Al modificar o manipular la vftable, un atacante podría alterar el flujo
de ejecución del programa o incluso intentar evadir la detección.
GetCurrentProcess -> Api de Windows. Podría indicar que el malware está realizando
operaciones específicas en relación con el proceso actual, como la manipulación de
memoria, la inyección de código malicioso, o la obtención de información sobre el entorno
de ejecución.

EnumSystemLocalesEx -> Función de API de Windows que se utiliza para enumerar los
locales del sistema. Esta función es comúnmente utilizada para obtener información sobre
configuraciones regionales y de idioma del sistema.

-connection reset -> indica la posibilidad de que el malware esté relacionado con la
manipulación de conexiones de red

-connection_already_in_progress -> sugiere que está intentando establecer una conexión

cuando ya hay una en progreso.

-TlsSetValue -> Las variables TLS son almacenadas en un espacio de memoria local al hilo
(thread)
-CreateSemaphoreExW -> trabaja en memoria y hilos para que los procesos funcionen de a
uno y no se sobre escriban

-GetActiveWindow -> mira si tiene licencia en windows original

-Tuesday -> referencia al día de la semana

-February -> referencia al mes

-ExitProcess -> API de Windows utilizada para terminar el proceso actual en un programa

-network_down -> manipulación o el control del estado de la red.

-CreateTimerQueueTimer -> función CreateTimerQueueTimer de la API de Windows. Esta

función se utiliza para crear un temporizador que ejecuta una rutina de devolución de
llamada (callback) después de un intervalo de tiempo especificado.

-CreateThread -> función CreateThread de la API de Windows, la cual se utiliza para crear
un nuevo hilo de ejecución en un proceso.

-SetThreadpoolWait -> función SetThreadpoolWait de la API de Windows, la cual se utiliza

en programación para configurar un objeto de espera (wait) en un grupo de subprocesos
(thread pool).

-`vector deleting destructor' -> sugiere que se está utilizando un destructor especial
relacionado con la eliminación de elementos de un vector
-timed_out -> La cadena podría estar relacionada con la gestión de operaciones que
involucran la espera de ciertos eventos o la finalización de tareas.

-GetConsoleMode -> el malware podría estar interactuando con la consola de texto de

alguna manera.

-WriteFile -> el malware está realizando operaciones de escritura, ya sea para manipular
archivos en el sistema o para interactuar con dispositivos de entrada/salida

-connection aborted -> se ha interrumpido una conexión antes de que se completara

según lo esperado.

-September -> referencia al mes

-HeapAlloc -> podría utilizar HeapAlloc para reservar memoria dinámicamente durante su
ejecución

-SetThreadStackGuarantee -> función que se utiliza para establecer un límite mínimo

garantizado para el tamaño de la pila de un hilo en un proceso.

-GetLastActivePopup -> interesado en obtener información sobre la ventana activa o los

elementos de menú activos.

-GetUserDefaultLocaleName -> interesado en obtener información sobre la configuración

regional e idioma del usuario actual

-GetUserObjectInformationW -> obtener información sobre elementos de la interfaz de

usuario, como ventanas o menús

-Wednesday -> referencia al día de la semana

-operation_would_block -> podría ser parte de una estrategia para eludir la detección o
para mejorar la eficiencia en la ejecución de sus funciones.

-January -> referencia al mes

 Análisis Dinámico y MITRE ATT&CK

Busca información de usuarios, enumera procesos y utiliza métodos anti-sandbox.

Acceso a Credenciales: Roba credenciales del navegador, cookies, contraseñas almacenadas y

archivos.

Evitación de Defensas: Ejecuta en segundo plano, utiliza comandos para evadir defensas, accede a
carpetas públicas y utiliza PowerShell para descargas.

Comandos y Control: Carga librerías de sistema, realiza peticiones HTTP con PowerShell y se
conecta a diversas IPs.

Colección de Datos: Obtiene información de navegadores, ficheros y la papelera.

Impacto: Funciona como ransomware, cifrando datos masivamente y destruyendo logs y ficheros.

Firmas Detectadas: Se mencionan firmas que indican robo de datos y envio a botnet, acceso a
carpetas públicas, métodos anti-debugging, creación de clave pública, manipulación de tiempo
local, y ejecución de comandos.

Análisis de URLs en Herramientas: Utiliza diversas URLs para peticiones HTTP, algunas ya
identificadas como maliciosas.

Acciones Realizadas: Se borran archivos y backups, se utilizan métodos de evasión y se realizan

acciones destructivas en sistemas afectados.

Incluye una nota de rescate que exige el pago para recuperar los archivos cifrados.

Nota de Rescate:
Attention! Your documents, photos, databases, and other important files have been encrypted!

What is going on?

our files have been encrypted using strong reliable algorithms RSA-2048 and ChaCha20 with an unique private key for your system

You can read more about this cryptosystem here:

href=https://en.wikipedia.org/wiki/RSA_(cryptosystem)

The only way to recover (decrypt) your files is to buy decryptor with the unique private key<

Attention! Only we can recover your files! If someone tell you that he can do this, kindly ask him to proof!

By us you can decrypt one of your files for free as a proof of work that we have the method to decrypt the rest of your data.

In order to either buy the private key or make test decryption contact us via email:

Main e-mail: koreadec@tutanota.com

eserve e-mail: yourrealdecrypt

emember to hurry up as email address may not be available for very long as soon as law enforcements of different countries always trying to seize
emails used in ransom companies
If you are willing to pay but you are not sure knock us and we will save your e-mail address. In case the listed addresses are seized we will write you
from the new one

Below you will see a big base64 blob, you will need to email us and copy this blob to us.<br>you can click on it, and it will be copied into the clipboard.

If you have troubles copying it, just send us the file you are currently reading, as an attachment.

Comportamiento

• Al observar el comportamiento del código, podemos notar varias cosas. En primer lugar,
parece que el programa está bien diseñado para manejar la memoria y los recursos.
• Hay partes del código que parecen estar tratando de ocultarse o evadir la detección.
• El programa parece estar interesado en obtener información sobre el proceso en ejecución
y la configuración regional horaria del sistema. Tambien está recopilando datos sobre el
entorno en el que se está ejecutando.
• Se detectan actividades relacionadas con la red, como la interrupción de conexiones, lo
cual podría significar que el programa está tratando de manipular o controlar el estado de
la red de alguna manera.
• La manipulación de hilos y memoria sugiere que el programa está controlando
detalladamente cómo se ejecutan ciertas operaciones, lo cual podría ser parte de una
estrategia.
• Además, la presencia de referencias a fechas específicas podría indicar que el programa
tiene eventos programados para ejecutarse en momentos específicos, lo cual agrega otra
capa de complejidad a su funcionamiento.

COMANDOS EJECUTADOS
• "C:\n\..\Windows\bf\i\bafi\..\..\..\system32\ww\d\r\..\..\..\wbem\ljrx\bqo\..\..\wmic.exe"
shadowcopy delete

• "C:\kqkmy\..\Windows\olk\..\system32\nxoal\y\..\..\wbem\gwb\ybby\..\..\wmic.exe"
shadowcopy delete

• C:\Windows\system32\vssvc.exe
 Mitigación

• Utiliza un firewall robusto y un software antivirus actualizado para bloquear y detectar

posibles amenazas.
• Implementa un filtro de correo electrónico efectivo para evitar que correos maliciosos,
incluidos los intentos de phishing, lleguen a los usuarios.
• Mantén actualizados los sistemas operativos y todas las aplicaciones
• Limita los privilegios de acceso a los sistemas y datos. Esto reduce la capacidad del
malware para propagarse y dañar archivos críticos.
• Bloquear conexiones a IPs maliciosas

Recomendaciones

• Aplicar parches de seguridad para dificultar la explotación de vulnerabilidades.

• Utiliza soluciones de seguridad en Internet, como Kaspersky Internet Security, para
bloquear archivos infectados y prevenir ataques de ransomware.
• VPN para Acceso a la Red: Emplea una VPN para acceder a la red de forma segura, en lugar
de exponer el Protocolo de Escritorio Remoto (RDP) directamente a Internet.
• Realiza copias de seguridad periódicas almacenadas en ubicaciones seguras y externas
para recuperar datos en caso de un ataque.
• Informa y capacita al personal sobre prácticas seguras, como no hacer clic en enlaces
sospechosos, no descargar archivos de sitios desconocidos y usar contraseñas fuertes

Investigación de IP

PETICIONES IP QUE REALIZA VSSVC.exe

• IP: 92.63.32.55:80 :
* htxuy.do?shcg=4n53137cc&iluy=6m3bn0&itgt=46qrf34a6&yd=b1yas13
* bbgigatr.shtml?xq=y&f=6
 • IP: 92.63.15.8:80 :
* beursbsmbd.shtml?mk=qyh5&l=25uv78c5&o=ki4&dy=1p477n

• IP: 92.63.32.2:80 :
* hkljjrxl.jspx?dmra=73phj567l3&swa=pvuks05t22

• IP: 92.63.37.100|80 :
* task/task/cakyy.jsp?vqb=6q1&grq=r2

• IP: 92.63.8.47|80 :
* login/account/n.action

• IP: 104.208.16.93|80
desconocida

• IP: 92.63.11.151|80 :
* tlgklp.do

• IP: 92.63.17.245
desconocida

• http://92.63.194.20/register/lrc.html?nj=k5n7&i=y2n1mi33&kqk=1g3&sa=w6iwvj02

• http://92.63.17.245/forum/gjymwqonl.action?s=ebc87jh5

• http://92.63.194.3/wire/p.asp?qwn=ts1f0w20&aqp=82423r&d=2d08ipa5

ARCHIVOS DESCARGADOS -> C:\ProgramData\foo.db

Botnet donde envia datos :

• 92.63.17.245
• 92.63.194.20
• 92.63.194.3
 ANALISIS DE HASHES
• e8a091a84dd2ea7ee429135ff48e9f48f7787637ccb79f6c3eb42f34588bc6
84

VIRUS TOTAL :
Ransomware Maze confirmado por comunidad, incidentes desde 2019 hasta 2023.
IP: 92.63.32.55 Ip maliciosa desde 2019 MGK Rafal de Polonia

IP: 92.63.15.8 Ip maliciosa desde 2019 Netonline Bilisim de Turkia

IP: 92.63.32.2 Ip maliciosa desde 2019 MGK Rafal Chmielewski de Polonia

IP: 92.63.37.100 Ip maliciosa desde 2019MGK Rafal Chmielewski de Polonia

IP: 92.63.8.47 Ip maliciosa desde 2019Netonline Bilisim Sirketi LTD de Turkia

IP: 104.208.16.93 MICROSOFT-CORP-MSN-AS-BLOCK de EEUU

IP: 92.63.11.151 Netonline Bilisim Sirketi LTD de Turkia

IP: 92.63.17.245 Telemach UG de Eslovenia

https://www.virustotal.com/gui/file/e8a091a84dd2ea7ee429135ff48e9f48f7787637ccb79f
6c3eb42f34588bc684/community
JOE SANDBOX :
Ransomware Maze atribuido por los grupos FIN6 y TA2101. En url se encuentran los
archivos creados y descargados (por el malware) con posibilidad de descarga para analizar.

https://www.joesandbox.com/analysis/1288464/0/html

TRIA.GE :
Ransomware Maze con IPs en Rusia, Turkia, Polonia y Estados Unidos
 • 1fa139868fe2eb94833583e8a10aadd6f5cf5120ce018b888c60f86d6dc8e011
* Sin informacion

• dc0266804bd2bfc83109152fef734d54f7a7d0c09487096a368ae45518d2ca13
* Sin informacion

• d2fea84b5e114e97a6e3b2c58239aea82bbaf94acc42a96d93b60cac22ebcdbc
* Sin informacion

URL ANALIZADAS
Análisis en https://urlscan.io/ y https://www.browserling.com/

1. htxuy.do?shcg=4n53137cc&iluy=6m3bn0&itgt=46qrf34a6&yd=b1yas13
• Sin informacion y limpia segun anti virus
• WEB TIRADA ABAJO

2. login/account/n.action
• Web tirada

3. hkljjrxl.jspx?dmra=73phj567l3&swa=pvuks05t22
• Sin informacion

4. task/task/cakyy.jsp?vqb=6q1&grq=r2
• sin informacion

5. bbgigatr.shtml?xq=y&f=6
• sin informacion

6. tlgklp.do
• sin informacion

7. beursbsmbd.shtml?mk=qyh5&l=25uv78c5&o=ki4&dy=1p477n
• sin informacion
 MISP PUBLICADO
https://13.48.162.234/events/index/searchemail:alumno15@keepcoding.io
No he podido descargarlo para adjuntarlo

Conclusiones

En resumen, el malware "Chacha" de la familia Maze Ransomware es un programa malicioso

complejo y peligroso. Tiene la capacidad de cifrar archivos, destruir datos y evadir las defensas de
seguridad. También intenta extorsionar a los usuarios exigiendo un pago para recuperar los
archivos cifrados.

El malware utiliza diversas tácticas para eludir la detección, como esconderse de las herramientas
de seguridad y realizar acciones destructivas en segundo plano. Se conecta a direcciones de
internet maliciosas y utiliza métodos avanzados para lograr sus objetivos.

Las herramientas de seguridad detectan la presencia de este malware y lo relacionan con grupos
criminales conocidos. Es crucial tomar medidas preventivas, como mantener el software
actualizado, bloquear conexiones a direcciones sospechosas y contar con soluciones de seguridad
efectivas.

En caso de infección, se recomienda no pagar rescates, ya que no hay garantía de que se recuperen
los archivos y puede financiar actividades delictivas. En cambio, es fundamental contar con copias
de seguridad actualizadas y buscar la asistencia de profesionales en ciberseguridad para limpiar y
proteger el sistema.