Todas las amenazas

Virus

Hackers

Spam

Todo el sitio    Sólo virus
  
Enciclopedia de virus
Alertas
Análisis
Noticias
Glosario
Bitácora

 
Archivo

<< 2015  
ene feb mar
abr may  
     
     
Sobre los autores de la bitácora del analista antivirus
About Diary's Authors

La bitácora del analista antivirus es un weblog mantenido por los analistas antivirus de Kaspersky Lab, encabezado por Eugene Kaspersky. Lea más sobre los autores de esta bitácora

 

  Home / Bitácora

Bitácora del analista antivirus

Los estafadores también pueden tener derechos


  Andrey Kostin       21 mayo 2015 | 13:00  MSK

Comentar  

Hace poco nos topamos con un interesante – desde el punto de vista técnico – método de obtener información personal. A uno de nuestros clientes le llegó un mensaje electrónico en el que le decían que alguien había utilizado su Live ID para enviar spam, y que por este motivo se procedería a bloquear su cuenta. Para evitar el bloqueo, le proponían seguir un enlace y cumplir las nuevas exigencias de seguridad del servicio.

Todo esto suena como la descripción de un típico mensaje phishing. Más adelante la víctima tendría que seguir un enlace, llegar a una página falsificada idéntica a la página oficial del servicio Windows Live, ingresar allí sus datos, que después serían enviados a los estafadores, etc. Pero para nuestra sorpresa, el enlace del mensaje fraudulento de verdad llevaba al sitio de Windows Live y los delincuentes no estaban tratando de apoderarse del login o contraseña de la víctima. Ellos estaban actuando de una forma mucho más astuta.

El esquema fraudulento

¿Cuál es el peligro que representa seguir el enlace enviado, si de verdad lleva al sitio oficial de Microsoft?

Mensaje fraudulento

Lo que pasa es que la cuenta de Live ID también puede utilizarse para autorizarse en otros servicios: Xbox LIVE, Zune, Hotmail, Outlook, MSN, Messenger, OneDrive, etc. Como resultado del ataque, el delincuente no sólo obtiene acceso directo a estos servicios en nombre de la víctima, sino que también puede robar la información personal contenida en los perfiles de los usuarios de estos servicios y usarlos para fines fraudulentos.

Al seguir el enlace del mensaje, llegamos al servicio oficial live.com, donde nos piden que nos autoricemos ingresando nuestro login y contraseña.



Una vez pasada la autorización, el login y la contraseña no caen en manos de los delincuentes, como se podría suponer (y como suele suceder), sino que realmente nos autorizamos en live.com. Pero después de esto, el servicio nos hace una solicitud interesante:



Cierta aplicación pide permiso de ingreso automático, acceso a los datos del perfil y la lista de contactos, como también acceso a las direcciones de correo electrónico. Al pulsar “Sí”, le concedemos estos derechos y, en esencia, les enviamos a sus creadores nuestros datos personales, las direcciones de correo de nuestros contactos, los apodos y nombres de nuestros amigos, etc. En vista de que en este caso no sabemos nada ni sobre la aplicación, ni sobre sus autores, podemos suponer que los datos recolectados de esta manera serán utilizados para fines fraudulentos. Y una vez más queremos recalcar que el login y la contraseña siguen siendo confidenciales.

¿Cómo funciona todo esto?

Desde el punto de vista técnico, todo es muy sencillo. Existe un protocolo especial abierto de autorización llamado OAuth, que permite dar a terceros acceso limitado a los recursos privados del usuario sin darle su login y contraseña. Con frecuencia, los creadores de aplicaciones web usan este protocolo en las redes sociales, si sus aplicaciones requieren ciertos datos para funcionar, por ejemplo, la lista de contactos. Para los usuarios la comodidad consiste en que ellos ya están autorizados en el servicio y no tienen que ingresar su login y contraseña cada vez para otorgarle permisos a la aplicación.

Hace ya bastante tiempo que se sabe de las brechas de seguridad del protocolo OAuth: a principios de 2014 un estudiante de Singapur describió los posibles métodos de robo de información de los usuarios una vez pasada la autorización. Pero hasta ahora no habíamos detectado mensajes de phishing en los que los delincuentes hubiesen tratado de aplicar estos métodos en la práctica.

En el caso que nos ocupa, cuando el usuario pulsa el enlace del mensaje fraudulento: hxxps://login.live.com/oauth20_authorize.srf?client_id=00xxx4142735&scope=wl.signin%20wl.basic%20wl.emails%20wl.contacts_emails&response_type=code&redirect_uri=hxxp://webmail.code4life.me/hot/oauth-hotmail.php

llega a la página de autorización, donde se le pide su confirmación para otorgar los derechos codificados en los parámetros de la aplicación. Si el usuario da su consentimiento, se lo remite a una página especial (hxxp://webmail.code4life.me/hot/oauth-hotmail.php), en cuyo URL después del parámetro “code” se agrega “access token” (hxxp://webmail.code4life.me/hot/oauth-hotmail.php?code=36cef237-b8f6-9cae-c8e4-ad92677ba), que la aplicación intercepta directamente desde el campo de direcciones. Más adelante la aplicación usa este “access token” para acceder a los recursos protegidos. A grandes rasgos, las posibilidades de OAuth no se limitan a sólo la autentificación y la autorización. Habiendo recibido el token durante la autorización, se lo puede usar para integrar las posibilidades del servicio web o la red social en sus propios recursos: lectura, escritura de posts, acceso a las noticias y muros de los amigos, y mucho más.

Contenido del enlace

Si miramos con atención al enlace enviado, podemos notar los parámetros wl.signin, wl.basic, wl.emails y wl.contacts_emails. Es precisamente en ellos que están codificados los niveles de los permisos que la aplicación solicita al usuario:


  • wl.signin es un registro único, gracias al cual los usuarios que ya entraron a Windows Live se registran automáticamente en cualquier sitio web que admita este tipo de autorización;
  • wl.basic da acceso a la lectura de los datos principales del perfil del usuario, como su sobrenombre, nombre, apellido, sexo, edad, país donde se encuentra, y la lista de sus contactos;
  • wl.emails da acceso a la lectura de direcciones de correo electrónico personales, preferidos y de servicio del usuario;
  • wl.contacts_emails abre el acceso a las direcciones electrónicas de todos los contactos del usuario.

También existe una enorme cantidad de otros parámetros que dan permiso para, por ejemplo, obtener las fotografías del usuario y sus contactos, datos sobre sus cumpleaños, lista de encuentros y de sucesos importantes. De hecho, usando esta información el delincuente puede crear un retrato de la persona, entender a qué se dedica, cuándo no está en casa, quienes son sus amigos y con quién sale, y usar estos datos para fines criminales.

Durante búsquedas adicionales logramos encontrar otros mensajes phishing similares que contenían enlaces al servicio oficial de Microsoft. En todos los casos los delincuentes solicitaban a la víctima la misma información (datos del perfil, direcciones de correo electrónico, contactos) y sólo eran diferentes las direcciones de las páginas especiales donde se encontraba la aplicación fraudulenta.

hxxps://login.live.com/oauth20_authorize.srf?client_id=000000004C1xxx06&scope=wl.signin%20wl.basic%20wl.emails%20wl.contacts_emails&response_type=code&redirect_uri=http://soluciones-ntflix.com/web/oauth-hotmail.php

hxxps://login.live.com/oauth20_authorize.srf?client_id=000000004C1xxx3C&scope=wl.signin%20wl.basic%20wl.emails%20wl.contacts_emails&response_type=code&redirect_uri=http://registros-promos.com/web/oauth-hotmail.php

hxxps://login.live.com/oauth20_authorize.srf?client_id=00000000441xxx1B&scope=wl.signin%20wl.basic%20wl.emails%20wl.contacts_emails&response_type=code&redirect_uri=http://applications-registro.com/web/oauth-hotmail.php

hxxps://login.live.com/oauth20_authorize.srf?client_id=00000000441xxx17&scope=wl.signin%20wl.basic%20wl.emails%20wl.contacts_emails&response_type=code&redirect_uri=http://estimaciones-serv.com/web/oauth-hotmail.php

Merece la pena destacar que algunas aplicaciones para redes sociales también usan el protocolo OAuth.



Ejemplo de concesión de derechos a una aplicación en Facebook

Una aplicación creada por los delincuentes puede pedir a la víctima permiso para hacer publicaciones y poner fotografías en el muro, leer y enviar mensajes personales y agregar notas en los libros de invitados. Estas posibilidades pueden usarse para propagar spam y enlaces a sitios phishing o maliciosos.

Conclusión

En el caso que hemos analizado, lo más probable es que la información se recopile para propagar spam usando la libreta de direcciones de la víctima o para realizar ataques mediante el spam selectivo (spear phishing).

Para no convertirse en víctima de los astutos estafadores, no hay que seguir los enlaces recibidos por correo o mensajes personales en las redes sociales. Pero lo más importante es no dar derechos de acceso a los datos personales a aplicaciones desconocidas en las que no confías. Antes de dar tu consentimiento, tienes que leer atentamente la descripción de derechos de acceso a la cuenta que recibirá la aplicación y calcular el nivel de peligrosidad de la amenaza. Puedes buscar en Internet información y comentarios sobre la aplicación y los derechos que solicita. Además, en cualquier red social o servicio web se puede ingresar a la configuración de la cuenta o perfil y ver qué derechos tienen las aplicaciones instaladas, y si es necesario, reducir su cantidad.


Ejemplo de derechos en Google

Si te enteras que la aplicación ya propaga spam o enlaces maliciosos en tu nombre, puedes enviar una queja a la dirección de la red social o del servicio web para que la bloqueen. Y si necesitas autorizarte en algún servicio o red social, es mejor ingresar directamente al sitio web escribiendo su dirección en el navegador. Y, por supuesto, verificar que las bases de tu antivirus y tecnologías de defensa contra el phishing estén actualizadas.


Darwin Nuke


  Anton Ivanov       10 abril 2015 | 14:00  MSK

Comentar  

Andrey Khudyakov, Maxim Zhuravlev, Andrey Rubin

En diciembre de 2014 detectamos una vulnerabilidad muy interesante en el núcleo de XNU del sistema operativo Darwin (sistema operativo de código abierto que sirve de fundamento a OS X y iOS de la compañía Apple). Un delincuente puede explotar de forma remota esta vulnerabilidad, y le basta un solo paquete formado de una manera especial para realizar un ataque DoS (Denial-of-Service, denegación de servicio). Logramos establecer que los sistemas operativos OS X 10.10 y iOS8 son susceptibles a esta vulnerabilidad.

La vulnerabilidad consiste en el funcionamiento incorrecto del procesamiento de un paquete IP de determinado tamaño con opciones IP erróneas. Como resultado del procesamiento incorrecto del paquete, el sistema operativo concluye su funcionamiento en modo de emergencia.

Conclusión del funcionamiento de OS X 10.10 en modo de emergencia

Al principio descubrimos la vulnerabilidad en los sistemas OS X 10.10, pero en investigaciones posteriores llegamos a la conclusión de que está también presente en los dispositivos con procesadores de 64 bytes que tienen instalados iOS8:

  • iPhone 5s y más nuevos
  • iPad Air y más nuevos
  • iPad mini 2 y más nuevos

Para entender qué etapa del procesamiento del paquete IP ocurre el error, basta analizar el volcado del cese de funcionamiento.

Volcado de depuración del núcleo

Como podemos observar en el volcado de depuración, el error ocurre en la función icmp_error(). La tarea de esta función es crear y enviar un mensaje ICMP sobre el error (paquete incorrecto). En la captura de pantalla de más arriba vemos que se llamó esta función después de la función que realiza el análisis de las opciones IP del paquete.

Este es el código que provoca la interrupción de emergencia del funcionamiento del sistema:

Condición que provoca la caída del sistema

Cuando cierta condición especificada en el código se cumple, se llama la función panic y el sistema se apaga en modo de emergencia. Esto sucede porque han cambiado las estructuras internas del núcleo y, como consecuencia, el nuevo tamaño del buffer resulta insuficiente para almacenar el paquete ICMP recién creado.

Para que esta condición se cumpla, es necesario que el paquete IP satisfaga los siguientes requisitos:

  • El tamaño del encabezado IP debe ser mayor a 60 bytes
  • El tamaño de los datos IP adicionales debe ser igual o mayor a 65 bytes
  • Las opciones IP deben ser incorrectas (tamaño equivocado, opciones de clase erróneas, etc.).

Ejemplo de paquete que provoca el cese de emergencia del funcionamiento del sistema

A primera vista parece que a un delincuente le sería muy difícil diseñar un escenario de explotación de esta vulnerabilidad. Pero un profesional en el campo de la seguridad de redes, después de crear un paquete adecuado, puede con facilidad y a distancia apagar el dispositivo del usuario e incluso detener el funcionamiento de una red corporativa.

Algunos enrutadores o cortafuegos no dejan pasar paquetes IP con opciones erróneas. Pero nosotros hemos conseguido generar un paquete de red que durante las pruebas pasó fácilmente a través de enrutadores comunes y corrientes y explotó esta vulnerabilidad.

Esta vulnerabilidad está cerrada en las siguientes versiones de sistemas operativos: OS X 10.10.3 y iOS8.3.

Los usuarios de los productos de Kaspersky Lab están protegidos de esta vulnerabilidad en OS X 10.10 por el componente “Protección contra ataques de red”. Este componente funciona también en Kaspersky Internet Security for Mac 15.0.

Detectamos este ataque de red con el siguiente veredicto: DoS.OSX.Yosemite.ICMP.Error.exploit.

El malware bancario Emotet: desarrollo de la amenaza


   9 abril 2015 | 18:30  MSK

Comentar  

Alexey Shúlmin

El verano de 2014 la compañía Trend Micro anunció que había descubierto una nueva amenaza, el troyano bancario Emotet. En la descripción se indicaba que el programa malicioso interceptaba el tráfico para robar datos de las cuentas de los usuarios. Le daremos a esta modificación el nombre condicional de "Versión 1".

El otoño del mismo año, nuestra compañía descubrió una nueva versión de Emotet, que nos llamó la atención por lo siguiente:

  • Los creadores del troyano empezaron a usar tecnologías de robo automático de dinero de las cuentas de las víctimas, con una tecnología denominada “autogiro”.
  • El troyano tenía una estructura modular: se componía de un módulo de instalación, un módulo de troyano bancario, un módulo dedicado al robo de contactos de MS Outlook y un módulo destinado a organizar ataques DDoS (Nitol DDoS bot).
  • Los creadores del troyano hicieron esfuerzos para pasar desapercibidos: de una forma consciente no atacaban a los usuarios de la zona RU, los ataques estaban dirigidos a bancos alemanes y austriacos (otros conocidos troyanos bancarios no se caracterizan por escoger sus blancos), el nombre de dominio del servidor de los "autogiros" del troyano cambiaba con frecuencia (una o varias veces al día).

De aquí en adelante llamaremos “Versión 2” a esta modificación de Emotet (cuyo bot contiene y transmite al servidor de administración las cifras 1 y 7, lo que por lo visto significa que el autor del troyano considera que esta es la compilación versión 1.7).

Ambas versiones del troyano atacaban a los clientes de bancos alemanes y austriacos.

Hemos venido haciendo un atento seguimiento a la versión 2 de Emotet, pero en diciembre de 2014 dejó de estar activa, porque los servidores de administración dejaron de contestar a los equipos infectados. La última instrucción enviada desde los centros de administración la registramos el 10.12.2014 a las 11:33:43, hora de Moscú.

Pero la seriedad con que los autores de este troyano enfrentaron su desarrollo y el alto nivel de automatización de su funcionamiento no dejaban dudas de que esto todavía no era el fin. Y así resultó ser. Después de una breve pausa, Emotet ¡apareció de nuevo! Le asignaremos el nombre provisional de “Versión 3” a esta modificación de Emotet (cuyo bot contiene y transmite al servidor de administración las cifras 1 y 16, lo que por lo visto significa que el autor del troyano considera que esta es la compilación versión 1.16).

En esencia, Emotet versión 3 no se diferencia mucho de la versión 2. Las principales diferencias atañen al nivel de camuflaje del troyano, que es mayor. Entre las novedades que notamos, destacamos las siguientes:

  • El troyano tiene una nueva llave RSA pública, y a pesar de que los protocolos de comunicación que Emotet versión 2 y 3 usa para conectarse a los centros de administración son idénticos, si se usa una llave antigua, el bot no recibirá una respuesta correcta del centro de administración.
  • Los escenarios (scripts) de los autogiros están parcialmente limpios de información de depuración y comentarios.
  • ¡Nuevos blancos! Emotet ahora tiene también como blanco a los clientes de bancos suizos.
  • Ha sufrido un ligero cambio la tecnología de incrustación de código en el espacio de direcciones de explorer.exe. La versión 2 usaba el esquema clásico de incrustación de código: OpenProcess+WriteProcessMemory+CreateRemoteThread. La versión 3 usa sólo dos pasos del esquema anterior - OpenProcess+WriteProcessMemory; el lanzamiento de la incrustación del código se hace modificando el código de la función ZwClose en el espacio de direcciones del proceso explorer.exe, algo que también se logra usando WriteProcessMemory.
  • Emotet versión 3 se resiste a que lo diseccionen: si el troyano detecta que lo han lanzado en un equipo virtual, siguen funcionando como de costumbre, pero usa otra lista de direcciones de servidores de administración. Pero todas estas direcciones son falsas y sirven sólo para engañar a los investigadores.

  • El troyano casi no contiene renglones de texto: todos los renglones que pudiesen alertar a los investigadores están cifrados mediante RC4 y se descifran en la memoria asignada justo antes de su uso, después del cual se destruyen.

En general, tenemos la impresión de que en la versión 2 se puso a prueba en condiciones reales las principales tecnologías usadas por el troyano bancario y esta versión se usó como base para escribir la versión 3, que pasa mucho más desapercibida.

Los productos de Kaspersky Lab detectan este troyano, sin importar su versión, como Trojan-Banker.Win32.Emotet. Además, detectamos aparte los componentes de Emotet:


  • El módulo de modificación del tráfico HTTP(S), como Trojan-Banker.Win32.Emotet.
  • El módulo spam, como Trojan.Win32.Emospam.
  • El módulo de recolección de direcciones de correo, como Trojan.Win32.Emograbber.
  • El módulo de robo de cuentas de correo electrónico, como Trojan-PSW.Win32.Emostealer.
  • El módulo destinado a la organización de ataques DDoS, como Trojan.Win32.ServStart.

En lo que se refiere a este último módulo, destacamos los siguientes aspectos: también lo hemos visto usado en combinación con otros programas maliciosos. Suponemos que es un cripter el que lo agrega a Emotet. Es muy posible que los autores de Emotet no sepan nada sobre la presencia de este módulo en su software malicioso. Sea como sea, los centros de administración de este módulo no responden y el módulo no se actualiza (fecha de compilación: 19 de octubre de 2014).

Infección

En este momento conocemos una sola vía de propagación del troyano bancario Emotet, mediante el envío masivo de mensajes spam con adjuntos o enlaces maliciosos.

Los adjuntos son archivos ZIP comunes y corrientes, dentro de los cuales está el descargador de Emotet. Los ficheros dentro de los archivos tienen un nombre largo, por ejemplo rechnung_november_2014_0003900028_2014_11_0029302375471_03_444_0039938289.exe. Esto está hecho a propósito: el usuario que abre el archivo en el navegador estándar de Windows puede no ver la extensión .exe, ya que parte del nombre del fichero puede no visualizarse. A veces no hay adjunto, y en el texto del mensaje hay un enlace a un fichero o archivo ejecutable malicioso.

Más abajo ponemos ejemplos de mensajes usados para propagar el troyano Emotet.

Versión 2 (enlace al programa malicioso):


Versión 2 (archivo adjunto):

Versión 3 (enlace al programa malicioso):


Los mensajes que hemos descubierto son una imitación casi exacta de mensajes de compañías conocidas, como DHL International GmbH y DHL International GmbH. Incluso las imágenes contenidas en los mensajes se descargan desde los servidores oficiales telekom.de y dhl.com.


Si el mensaje contiene un enlace a un fichero malicioso, se lo descargaba desde las direcciones de sitios legítimos, pero hackeados.
hxxp://*******/82nBRaLiv (para la versión 2)
o

hxxp://*******/dhl_paket_de_DE и hxxp://*******/dhl_paket_de_DE (para la versión 3).

En Emotet versión 3, al hacer una solicitud tipo hxxp://*/dhl_paket_de_DE, se enviaba al usuario un archivo ZIP desde una dirección similar a
hxxp://*/dhl_paket_de_DE/dhl_paket_de_DE_26401756290104624513.zip.

El archivo contenía un fichero EXE con un nombre largo (para camuflar la extensión y el ícono de documento PDF).

Descarga del troyano

El fichero del troyano está empaquetado por un cripter, cuya principal función es confundir al antivirus. Una vez lanzado y procesado el cripter, transfiere el mando al módulo principal del descargador de Emotet. Éste debe afianzarse en el sistema, conectarse al servidor de administración, descargar módulos adicionales y ejecutarlos.

La consolidación en el sistema se realiza de una forma bastante estándar: Emotet versión 2 se guarda a sí mismo en “%APPDATA%\Identities” con un nombre aleatorio de 8 caracteres (por ejemplo wlyqvago.exe), se agrega a la carpeta de autocarga (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run) y borra su fichero mediante la ejecución de un fichero bat, que se crea en %APPDATA% con el nombre “ms[7_cifras_al_azar].bat”.

Emotet versión 3 se guarda a sí mismo en “%APPDATA%\Microsoft\" con un nombre similar a “msdb%x.exe” C:\Documents and Settings\Administrator\Application Data\Microsoft\msdbfe1b033.exe), se agrega a la carpeta de autocarga (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run) y se borra a sí mismo mediante la ejecución de un fichero bat (que se crea en %APPDATA%\del%x.bat).

Después de consolidarse en el sistema, Emotet recibe la lista de los nombres de todos los procesos iniciados y calcula el hash del nombre de cada proceso, comparándolo con el valor 0xB316A779, que es el hash usado por el nombre del proceso explorer.exe. De esta manera Emotet encuentra el proceso al que incrustará su cuerpo. A continuación el troyano descarga su cuerpo principal y lo incrusta en el proceso explorer.exe.

Comunicación con el centro de administración

El principal módulo del troyano (el descargador) se comunica con el servidor de administración usando cifrado RC4.

El puerto al que se dirige el descargador está indicado de forma inequívoca en su código: 8080.

Direcciones de los centros de administración

Las direcciones IP de los servidores de administración de Emotet están estrictamente especificadas en el código del bot. Son varias y en uno de los ejemplares de la versión 2 eran 30 (remarcamos que 3 direcciones de la lista de abajo pertenecen a recursos legítimos conocidos):

hxxp://109.123.78.10
hxxp://66.54.51.172
hxxp://108.161.128.103
hxxp://195.210.29.237
hxxp://5.35.249.46
hxxp://5.159.57.195
hxxp://206.210.70.175
hxxp://88.80.187.139
hxxp://188.93.174.136
hxxp://130.133.3.7
hxxp://162.144.79.192
hxxp://79.110.90.207
hxxp://72.18.204.17
hxxp://212.129.13.110
hxxp://66.228.61.248
hxxp://193.171.152.53
hxxp://129.187.254.237
hxxp://178.248.200.118
hxxp://133.242.19.182
hxxp://195.154.243.237

hxxp://80.237.133.77
hxxp://158.255.238.163
hxxp://91.198.174.192
hxxp://46.105.236.18
hxxp://205.186.139.105
hxxp://72.10.49.117
hxxp://133.242.54.221
hxxp://198.1.66.98
hxxp://148.251.11.107
hxxp://213.208.154.110

En la versión 3 que analizamos, los centros de administración eran 19:

hxxp://192.163.245.236
hxxp://88.80.189.50
hxxp://185.46.55.88
hxxp://173.255.248.34
hxxp://104.219.55.50
hxxp://200.159.128.19
hxxp://198.23.78.98
hxxp://70.32.92.133
hxxp://192.163.253.154
hxxp://192.138.21.214
hxxp://106.187.103.213
hxxp://162.144.80.214
hxxp://128.199.214.100
hxxp://69.167.152.111
hxxp://46.214.107.142
hxxp://195.154.176.172
hxxp://106.186.17.24
hxxp://74.207.247.144
hxxp://209.250.6.60

Comunicación con el servidor de administración durante la ejecución en un equipo virtual

Emotet versión 3 contiene una lista más de direcciones de los "centros de administración”, que luce así:

p>hxxp://142.34.138.90
hxxp://74.217.254.29
hxxp://212.48.85.224

hxxp://167.216.129.13
hxxp://91.194.151.38
hxxp://162.42.207.58
hxxp://104.28.17.67
hxxp://8.247.6.134
hxxp://5.9.189.24
hxxp://78.129.213.41
hxxp://184.86.225.91
hxxp://107.189.160.196
hxxp://88.208.193.123
hxxp://50.56.135.44
hxxp://184.106.3.194
hxxp://185.31.17.144
hxxp://67.19.105.107
hxxp://218.185.224.231

El troyano trata de enviar solicitudes a estas direcciones si descubre que se lo está ejecutando en un equipo virtual. Pero ninguna de estas direcciones es la dirección correcta de un centro de administración, y el bot no logra ningún resultado cuando intenta comunicarse con ellos. Lo más probable es que esto se haya hecho para engañar al investigador y hacerle creer que los servidores de administración del troyano están muertos. Un truco parecido se usó anteriormente en el célebre troyano bancario Citadel.

La detección de los equipos virtuales está organizada de una forma bastante sencilla, según los nombres de los procesos típicos de las diferentes máquinas virtuales. El hash del nombre de cada proceso en el sistema se calcula usando el siguiente algoritmo:

Algoritmo de cálculo del hash del nombre del proceso

El valor del hash obtenido se compara sucesivamente con una lista de valores almacenados en el troyano:

Hash de los nombres de los procesos usados para detectar máquinas virtuales

Nosotros hemos calculado los nombres de procesos para algunos hashes. Así, el hash 0xBCF398B5 corresponde al proceso vboxservice.exe; el hash 0x2C967737, al proceso vmacthlp.exe; el hash 0xE3EBFE44, al proceso vmtoolsd.exe y el proceso 0x61F15513 al proceso vboxservice.exe.

Datos transmitidos

Una solicitud al centro de administración luce de la siguiente forma en el tráfico (para la versión 2, pero las solicitudes de la versión 3 son similares):


Diálogo entre el bot de Emotet y su centro de administración

La ruta URL a la que se dirige el bot tiene el siguiente aspecto: «/722ffc5e/355c7a0a/», donde 722ffc5e – es una cifra que se calcula basándose en la información del marcador de acceso del usuario, y 0x355c7a0a = 0x722ffc5e xor 0x47738654 (el valor 0x47738654 está indicado explícitamente en el cuerpo del bot).


Los datos transmitidos por el bot y el centro de administración están cifrados mediante RC4 y las respuestas del centro de administración tienen firma digital. Es posible que esto se haya hecho para hacer más difícil interceptar el control sobre el botner: para que un paquete sea aceptado por el bot, debe estar firmado, lo que requiere contar con una llave secreta.

En el cuerpo del bot se encuentra la llave pública RSA. En el formato PEM para la versión 2 luce así:


Representación PEM de la llave RSA abierta contenida en el cuerpo del bot versión 2

Como ya hemos mencionado más arriba, en la versión 3 la llave era otra. En el formato PEM tiene el siguiente aspecto:

Representación PEM de la llave RSA abierta contenida en el cuerpo del bot versión 3

Para enviarse al servidor, el paquete se forma así:

  1. Se genera una solicitud que incluye un identificador del equipo infectado, ciertos valores que suponemos son la versión del bot, información sobre el sistema (versión del sistema operativo, versión de los service packs, tipo de producto), un dword específico (cuyo valor en el ejemplar estudiado es 7), las sumas de control del módulo bancario e información sobre las inyecciones web. La información sobre las inyecciones contiene: la dirección de la página (con caracteres comodines) a la que hay que hacer la inyección; los datos precursores de los inyectados; los datos que van después de los inyectados y los datos inyectados en sí.
  2. Una vez formada la solicitud, se calcula su hash SHA.
  3. La solicitud se cifra mediante una llave RC4 de 128 bits generada al azar.
  4. La llave RC4 generada se cifra mediante una llave RSA abierta.
  5. El paquete resultante es una concatenación de los resultados obtenidos en los pasos 4, 2 y 3.

De esta manera, el paquete de la solicitud se puede representar en forma de esquema:


Estructura de la solicitud que el bot envía al servidor

En la respuesta del servidor llega un paquete con la siguiente estructura:

Estructura de la respuesta del servidor al bot

La respuesta puede contener información sobre las inyecciones web de Emotet, los módulos de Emotet y enlaces para descargar módulos externos (por ejemplo, un bot spam o actualizaciones del descargador).

Módulos

Como la aplastante mayoría de los modernos troyanos bancarios, Emotet tiene una estructura modular. Hasta hoy, hemos detectado los siguientes módulos:

NombreDescripciónMétodo de introducción al sistema infectado
loaderdescargadorEn mensajes spam o mediante descargas desde enlaces ubicados en sitios capturados (si se trata de actualizaciones).
nitol-like-ddos-modulebot DDoS
mssmódulo spamEl módulo loader lo descarga desde sitios capturados
email_accounts_grabbergrabber de cuentas de correo electrónico, usa Mail PassView, un software legítimo que ayuda a recuperar contraseñas olvidadas de cuentas de correo electrónicoLo recibe el módulo loader en el paquete de respuesta enviado por el centro de administración
bankermódulo para modificar el tráfico HTTP(S)Lo recibe el módulo loader en el paquete de respuesta enviado por el centro de administración
outlook_grabbergrabber de la libreta de direcciones de OutlookLo recibe el módulo loader en el paquete de respuesta enviado por el centro de administración

Algunos módulos pueden funcionar independientemente del módulo loader, porque no importan ningún dato desde el mismo.

Toda la estructura del bot evidencia el alto nivel de automatización de su funcionamiento: es automática la recolección de nuevas direcciones de correo electrónico en las libretas de contactos de las víctimas, es también automático el envío de spam desde el descargador de Emotet y el robo de dinero del usuario. La participación del operador está reducida al mínimo.

He aquí, por ejemplo, el informe que el módulo outlook_grabber (de la versión 2 de Emotet) envía al delincuente después de apoderarse de la libreta de direcciones de Outlook.

Libreta de direcciones de Microsoft Outlook robada y enviada al servidor de los delincuentes

Merece la pena destacar un aspecto positivo: al intentar conectarse con uno de los servidores de los delincuentes, llega una respuesta que contiene «X-Sinkhole: Malware sinkhole», lo que significa que los datos robados no caerán en sus manos, porque en este momento el dominio que usaba Emotet versión 2 ya no está bajo el control de los autores del troyano.

Pero la cuestión es diferente en la versión 3. Así luce el informe del módulo email_accounts_grabber que envía Emotet versión 3:

Informe que contiene datos sobre las cuentas de correo del usuario

Es evidente que el servidor responde “200 OK”. Esto significa que los delincuentes han recibido los datos transmitidos.

¡Danos tu dinero!

La información sobre los datos incrustados en la página recibida por Emotet luce así después de desempaquetarla:


Descifrado de datos sobre las inyecciones web de Emotet versión 2


Descifrado de datos sobre las inyecciones web de Emotet versión 3

La diferencia esencial en los datos sobre las inyecciones de diferentes versiones es la siguiente: Emotet versión 3 tiene como blanco a los clientes de las organizaciones de crédito suizas. Hasta el momento no hemos visto scripts destinados al robo automático de dinero de las cuentas de los clientes de estas organizaciones de crédito, pero estamos convencidos de que pronto se escribirán.


A pesar de que algunos fragmentos del código HTML en el paquete descifrado son fáciles de leer, es difícil entender las reglas de aplicación de las inyecciones web según los datos descifrados. Más abajo en el formato JSON están algunas reglas de inyecciones web para un blanco, el sitio de uno de los bancos alemanes (Emotet versión 2).

Reglas de inyecciones web en el sitio de un banco alemán (Emotet versión 2)

El resultado de aplicar esta inyección web es crear un nuevo elemento del tipo <div> que tendrá el tamaño de toda la parte visible de la página y agregar un nuevo script al documento HTML. En el ejemplo aducido, el script se descargaba desde la dirección hxxps://*******.eu/birten/luck.php?lnk=js&id=44.

Son similares algunas de las reglas de inyecciones para un nuevo blanco, el sitio de un importante banco austriaco (Emotet versión 3)

Reglas de inyecciones web en el sitio de un banco austriaco (Emotet versión 3)

Es evidente que la estructura del fichero de configuración de las inyecciones web es clásica: se usan campos llamados provisionalmente data_before, data_after y data_inject (es decir, los datos que van antes y después de los inyectados y los datos inyectados en sí).

Merece la pena destacar que la dirección del host en el que se encuentra el fichero luck.php (para la versión 2) y a_00.php (para la versión 3) cambia con frecuencia, pero el resto de la dirección del script es la misma. Si el investigador hace una solicitud directa al script, sólo recibirá un mensaje de error. Pero en un ataque real, cuando el renglón


se agregue en la verdadera página del banco, el script se descargará con éxito.

Esto sucede porque el servidor de los delincuentes verifica el campo “Referer” del encabezado de la solicitud HTTP y envía el script sólo si la solicitud llega de la página de alguno de los bancos atacados por Emotet.

Al poner el Referer necesario, se puede recibir fácilmente el código del script.

Nosotros en Kaspersky Lab hemos obtenido los scripts destinados a la inyección en las páginas de los bancos atacados.


Tabla 1. Los blancos de Emotet versión 2, tipos de ataque y números de identificadores de los scripts cargados para lanzar estos ataques.

Tabla 2. Los blancos de Emotet versión 3, tipos de ataque y números de identificadores de los scripts cargados para lanzar estos ataques.

En uno de los scripts de Emotet versión 2, que se usaba para lanzar ataques a uno de los bancos alemanes, en los comentarios había este renglón:

Artefacto del script usado para lanzar ataques a un banco alemán (Emotet versión 2)

Es evidente que los desarrolladores de los scripts del ataque hablan en ruso.

Evasión de la autentificación de dos factores

La principal función de los scripts analizados es hacer giros fraudulentos desde la cuenta del usuario. Sin embargo el bot no puede evadir el sistema de autentificación de dos factores (Chip TAN o SMS TAN) por su propia cuenta, y para hacerlo necesita la ayuda del usuario. Para engañar a la potencial víctima se usan trucos de ingeniería social: un mensaje inyectado a la página web mediante el script le dice al usuario que en el sitio se están realizando trabajos de implementación de un nuevo sistema de seguridad y que el usuario no puede usarlo si no toma parte en sus pruebas en régimen de demostración.


Mensaje falsificado sobre el nuevo sistema de seguridad


Después pedía ingresar los datos reales de Chip o SMS TAN para realizar un “giro de prueba”:


Y por último, felicitaba porque la transacción se había hecho con éxito:


En realidad, en vez de un giro de prueba, el script hace un giro real desde la cuenta de la víctima a la cuenta de una tercera persona, el así llamado “drop”, y el usuario por sí mismo lo confirma mediante Chip TAN o SMS TAN.

Los datos sobre las cuentas para recibir el dinero robado no se indican en el script, sino que llegan desde el servidor de administración de los delincuentes mediante una solicitud especial. Como respuesta el servidor de administración devuelve un renglón con información sobre el “drop” para cada transacción concreta. En los comentarios de uno de los scripts se encontró este renglón:

Es evidente que los delincuentes habían probado sus scripts transfiriendo 1500.9 EUR a la cuenta de prueba.

Además, en este script se encontró la siguiente información sobre el drop:

En el script correspondiente de Emotet versión 3, destinado a lanzar ataques al mismo banco, también se encontró información sobre el drop, pero esta vez era otro:

Comparemos los campos de JSON __DropParam y los campos en el formulario legítimo de acceso demo al sistema online del banco atacado.

Formulario del sistema RBS del banco para giros dentro de Alemania o en la zona Single Euro Payments Area (SEPA)

Tabla 3. Correspondencia entre los datos del drop y los campos en el formulario de transferencia de dinero; explicación de los valores de los campos

Nombre del campo en __DropParam JSONNombre del campo correspondiente en el formularioTraducciónContenido del campo
nameEmpfängernameNombre del destinatarioNombre real del “drop” al que se envía el dinero robado
ibanorkontoIBAN/Konto-Nr.Número internacional de la cuenta bancaria – número de la cuentaNúmero de la cuenta, internacional o local, a la que se enviará el dinero
bicorblzBIC/BLZCódigo BIC o BLZCódigo de identificación bancaria internacional, usado por los bancos alemanes y austriacos (Bankleitzahl)
descriptionVerwendungszweckPropósitoPropósito del giro
amountBetragSumaSuma transferida

Los campos JSON __DropParam corresponden a los campos en el formulario.

De esta manera, el bot recibe toda la información necesaria sobre el drop desde su servidor y organiza la transferencia, mientras que el usuario engañado confirma el giro mediante Chip TAN o SMS TAN y se despide para siempre de su dinero.

Conclusión


El troyano Emotet es una amenaza bancaria altamente automatizada, que está en pleno desarrollo y tiene blancos en determinados territorios. Su pequeño tamaño, los mecanismos de autopropagación usados y su arquitectura modular hacen que Emotet sea un arma muy efectiva en manos de los delincuentes informáticos.

Sin embargo, este troyano bancario no usa tecnologías que sean fundamentalmente nuevas y por lo tanto, un antivirus moderno puede garantizar una protección fiable contra la amenaza que representa.

Además, este troyano bancario no puede funcionar con éxito sin que participe el usuario: los creadores de Emotet usan activamente métodos de ingeniería social para alcanzar sus objetivos delictivos.

De esta manera, la atención constante y la conciencia técnica del usuario, en combinación con el uso de un antivirus moderno, es la garantía de una protección fiable no sólo contra Emotet, sino también contra otras amenazas bancarias que funcionan de forma similar.

Algunos MD5

Emotet versión 2:
7c401bde8cafc5b745b9f65effbd588f
34c10ae0b87e3202fea252e25746c32d
9ab7b38da6eee714680adda3fdb08eb6
ae5fa7fa02e7a29e1b54f407b33108e7
1d4d5a1a66572955ad9e01bee0203c99
cdb4be5d62e049b6314058a8a27e975d
642a9becd99538738d6e0a7ebfbf2ef6
aca8bdbd8e79201892f8b46a3005744b
9b011c8f47d228d12160ca7cd6ca9c1f
6358fae78681a21dd26f63e8ac6148cc
ac49e85de3fced88e3e4ef78af173b37
c0f8b2e3f1989b93f749d8486ce6f609
1561359c46a2df408f9860b162e7e13b
a8ca1089d442543933456931240e6d45

Emotet versión 3:
177ae9a7fc02130009762858ad182678
1a6fe1312339e26eb5f7444b89275ebf

257e82d6c0991d8bd2d6c8eee4c672c7
3855724146ff9cf8b9bbda26b828ff05
3bac5797afd28ac715605fa9e7306333
3d28b10bcf3999a1b317102109644bf1
4e2eb67aa36bd3da832e802cd5bdf8bc
4f81a713114c4180aeac8a6b082cee4d
52f05ee28bcfec95577d154c62d40100
772559c590cff62587c08a4a766744a7
806489b327e0f016fb1d509ae984f760
876a6a5252e0fc5c81cc852d5b167f2b
94fa5551d26c60a3ce9a10310c765a89
A5a86d5275fa2ccf8a55233959bc0274
b43afd499eb90cee778c22969f656cd2
b93a6ee991a9097dd8992efcacb3b2f7
ddd7cdbc60bd0cdf4c6d41329b43b4ce
e01954ac6d0009790c66b943e911063e
e49c549b95dbd8ebc0930ad3f147a4b9
ea804a986c02d734ad38ed0cb4d157a7

El autor expresa su agradecimiento a Vladimir Kuskov, Oleg Kupreev y Yury Naméstnikov por su ayuda en la preparación de esta publicación.


Cómo hackeé mi propia pulsera de fitness


  Roman Unuchek       26 marzo 2015 | 14:00  MSK

Comentar  

Esta historia empezó hace varios meses, cuando conseguí un tracker para fitness en forma de pulsera de una popular marca. Como se trata de un dispositivo para vestir (wearable device), instalé Android Wear app, una aplicación creada especialmente para dispositivos portátiles. Ésta se conectó sin problemas a la pulsera de fitness.

Pero había algo extraño: el programa se conectó a la pulsera Nike+ Fuel Band SE, y la que yo tenía era de otra marca. No tardé mucho en darme cuenta de que la pulsera Nike pertenecía a mi colega. Y él ni siquiera se percató de que me había conectado a su dispositivo.

Después de lo cual me dieron ganas de hacer una pequeña investigación y verificar cuán segura era mi pulsera.

Pulseras inteligentes: conectadas a tu teléfono

En este momento, hay en el mercado muchas ofertas de brazaletes de otras marcas. Más abajo citamos la estadística de KSN referente a las aplicaciones populares de trabajo con trackers de fitness para Android (los datos de la estadística fueron obtenidos de los equipos de los usuarios de KSN que dieron su consentimiento para transmitirlos).


Distribución de las instalaciones de aplicaciones Android para el trabajo con trackers de fitness de diferentes marcas

A pesar de que esta es una estadística sólo de aplicaciones Android (y no tenemos garantías de que los usuarios posean los dispositivos correspondientes), nos da una visión aproximada de la popularidad de los dispositivos "de vestir".

La mayoría de estas pulseras usa la tecnología Bluetooth LE (también conocida como Bluetooth Smart) para comunicarse con el teléfono. Para nosotros esto significa que la conexión de dispositivos se realiza de una manera diferente a la del Bluetooth común y corriente. No supone ninguna contraseña, porque la mayoría de los dispositivos no tienen ni pantalla, ni teclado.

En estos brazaletes se usa el sistema GATT (Generic Attribute Profile), perfil de atributos genéricos. Es decir, en el dispositivo portátil hay cierto conjunto de servicios y cada servicio tiene un surtido de características. Cada característica contiene un buffer de bytes y una lista de descriptores, cada descriptor contiene un valor, un buffer de bytes.

Como ilustración, tomé un código ya preparado de Android SDK, un ejemplo de aplicación para conectarse a dispositivos Bluetooth LE. No tuve que escribir un renglón de código, simplemente abrí un proyecto existente en Android Studio y pulsé el botón Start.

En la captura de pantalla se observa el resultado de la conexión a mi pulsera mediante esta aplicación. Aquí podemos ver los servicios y sus características. Pero para mi pulsera no es tan simple obtener los datos de las características, porque para hacerlo, aparte de la conexión, hay que pasar la autentificación. Pero con otros dispositivos, logré leer los datos de las características y sus descriptores. Y es muy posible que se trate de los datos del usuario.

Escaneo

Y así, usando el ejemplo de aplicación de Android SDK logré conectarme a algunos dispositivos. Después de lo cual creé mi propia aplicación que buscaba automáticamente dispositivos Bluetooth LE, trataba de conectarse a ellos y obtener su lista de servicios.

Usando esta aplicación, realicé varios escaneos.


  • En el metro de Moscú, en dos horas conseguí conectarme a 19 dispositivos: 11 FitBit y 8 Jawbone.
  • En un club de fitness en Bellevue, Washington, EE.UU. detecté 25 dispositivos: 20 Fitbit, 1 Nike, 1 Jawbone, 1 Microsoft, 1 Polar y 1 Quans.
  • En Cancún (México), en dos horas durante el SAS2015 pude conectarme a 10 trackers de fitnes: 3 Jawbone y 7 FitBit.

En total, en seis horas de escaneo logré conectarme a 54 dispositivos. Y esto habida cuenta de dos serias limitaciones:


  1. A pesar de los 50 metros indicados en las especificaciones, la distancia máxima real de conexión en la mayoría de los casos no supera los seis metros.
  2. Se supone que no se puede hacer una segunda conexión a un dispositivo que ya está conectado. Es decir, si tu dispositivo está conectado a tu teléfono, nadie podrá conectarse, y hasta será invisible durante el escaneo.

La segunda limitación en principio significa que mientras el dispositivo esté conectado al smartphone, no será susceptible a ataques. Pero en realidad, no es así. Y he aquí un ejemplo: usando mi aplicación de escaneo, logré bloquear la comunicación entre mi pulsera y la aplicación oficial, a pesar de que estaban conectadas mutuamente.

Tomando en consideración el segundo punto de las limitaciones mencionadas, podemos suponer que los dispositivos que detecté no se habían conectado nunca a un teléfono o que la pulsera no estaba conectada al Smartphone durante el escaneo (Bluetooth estaba desactivado en el teléfono). Y también es posible que los dispositivos ya conectados estuvieran disponibles para conectarse a pesar de la limitación supuesta. Fuera como fuere, los delincuentes tienen posibilidades bastante grandes de conectarse a los trackers de fitnes.

Sin embargo, en la mayoría de los casos no sólo es necesario conectarse al dispositivo, sino también pasar la autentificación para obtener acceso a los datos de los usuarios. Veamos cómo se hace la autentificación en mi pulsera.

Proceso de autentificación de mi pulsera

Para autentificar la pulsera con el teléfono, la aplicación oficial usa uno de los cuatro servicios disponibles en la pulsera. Para cada característica de este servicio, la aplicación instala una bandera CharacteristicNotification y de esta manera le indica a la pulsera que quiere recibir notificaciones sobre cualquier modificación que se haga a esta característica. A continuación, la aplicación recibe la lista de descriptores de cada característica e instala la bandera ENABLE_NOTIFICATION_VALUE para decirle a la pulsera que quiere recibir notificaciones sobre cualquier cambio que se haga al descriptor.

Después, una de las características cambia su valor, el buffer de bytes. La aplicación lee este buffer desde el brazalete: el encabezado 200f1f y el masivo de bytes, que llamaremos authBytes.

La aplicación crea un nuevo masivo. Su primera parte será un masivo de constantes contenido en la aplicación y que empieza con 6dc351fd44, la segunda parte del nuevo masivo será authBytes. La aplicación recibe el hash MD5 del nuevo masivo y lo devuelve al dispositivo en la siguiente estructura:


  • Encabezado (201210051f)
  • MD5
  • Byte de verificación

Más adelante la aplicación envía un masivo más al dispositivo, que también está contenido en la aplicación.

Después, la pulsera empieza a vibrar. El usuario sólo tiene que pulsar el botón para que la autentificación concluya.

Para la aplicación oficial, el proceso de autentificación tarda unos 15 segundos. Yo creé una aplicación que sólo necesita 4 segundos para bloquear la pulsera.

Es fácil hacer que el usuario pulse un botón en la pulsera. Sólo hay que insistir lo suficiente, por ejemplo reiniciando el proceso de autentificación muchas veces, hasta que el usuario lo haga. O hasta que no se aleje a más de 6 metros.

Una vez pasada la autentificación, los datos de mi pulsera quedan susceptibles al sniffing. En el presente, los dispositivos de fitness no contienen mucha información que digamos. Como regla, se trata de la cantidad de pasos, las fases del sueño, el pulso durante la última hora o cosas parecidas. Aproximadamente una vez por hora la aplicación envía toda la información de la pulsera a “la nube”.

Después de la autentificación, es fácil ejecutar instrucciones en el dispositivo. Por ejemplo, para cambiar la fecha y hora, hay que enviar al dispositivo un masivo de bytes que empiece por f0020c, y después la fecha en el formato YYYY MM DD DW HH MM SS.

En los otros trackers de fitness es aún más sencillo: para algunos, una parte de los datos está disponible inmediatamente después de la conexión, y el código de la aplicación no está enmarañado y es muy fácil de leer (los resultados de una investigación se pueden ver aquí).

Conclusión

Como demostraron los resultados de mi pequeña investigación, en algunos casos se puede conectar al dispositivo portátil sin que el usuario se dé cuenta.

Tras hackear mi pulsera, el delincuente no puede obtener acceso a todos los datos del usuario, ya que éstos no se guardan en la pulsera o teléfono, sino que la aplicación oficial los envía con cierta regularidad a la “nube”.

Los trackers de fitness se están haciendo cada vez más populares y funcionales. Es probable que en un futuro muy cercano contengan muchos más sensores y, por lo tanto, mucha más información del usuario, con frecuencia de carácter médico. Y a pesar de esto, provocan la impresión de que sus creadores no piensan en su seguridad.

Basta imaginarse que si se hackea una pulsera con un sensor de pulso cardiaco, el dueño de la tienda donde se encuentre el usuario puede hacer un seguimiento de la frecuencia de su pulso, mientras este observa las rebajas. De la misma forma se puede averiguar la reacción de las personas ante una publicidad. Es más, una pulsera hackeada con sensor de pulso se puede usar como un detector de mentiras.

Por supuesto, son posibles otros actos maliciosos, por ejemplo, el uso de malware del tipo Trojan-Ransom. El delincuente puede interceptar el control de tu pulsera y hacer que vibre todo el tiempo. Y pedirte dinero por hacer que cese la vibración.

Hemos informado de nuestros descubrimientos al fabricante de mi pulsera. La compañía nos ha respondido definiéndolos como un error de UX, y no como un problema de seguridad. Por razones éticas y de seguridad, no haremos público el nombre y modelo de la pulsera por esta vez. Si sientes preocupación por los posibles usos incorrectos de las brechas de seguridad descubiertas, no dudes en ponerte en contacto con el fabricante de tu pulsera y preguntarle si el método descubierto en este artículo afecta al producto que usas.

También esperamos que este artículo no sólo sea útil para los usuarios, sino también para que los fabricantes de pulseras las hagan más seguras desde el punto de vista informático.

¿Quién se esconde en el sitio de noticias norcoreano?


  Kurt Baumgartner       24 marzo 2015 | 16:34  MSK

Comentar  

Informes iniciales ignoran un posible atacante externo de KCNA

Los investigadores de seguridad han anunciado que el sitio web oficial de la Agencia Telegráfica Central de Corea (KCNA) de la República Popular Democrática de Corea ha estado propagando un programa malicioso que se hace pasar por una actualización de Flash Player. El código sigue activo en la página principal de la KCNA. Las variables de javascript en la parte superior del código fuente de la página principal forman parte de un mecanismo de javascripts entrelazados para buscar requisitos específicos antes de redirigir al visitante a una ubicación relativa, download/FlashPlayer10.zip.

El sitio de entrega de malware ha estado funcionando, aunque su respuesta a intentos de conexión es, en el mejor de los casos, intermitente. El archivo zip contiene dos ejecutables con los nombres de instaladores Flash comunes. Este malware ha estado presente desde finales de 2012.

Lo que parece ser una mezcla de atribuciones apresuradas e inteligencia falsa ha generado la hipótesis estándar de que los desarrolladores del sitio pusieron allí el malware para que infectara los equipos de los extranjeros interesados por las noticias de la República de Corea. Pero este puede no ser el caso porque los incidentes suelen ser más complejos de lo que parecen. Y hay una pieza significativa del rompecabezas que debe tomarse en cuenta – se agregó este filtro de páginas web con la intervención humana. Esta no es una de las rutinas virales, en ninguno de sus muchos componentes. Por el contrario, los disparadores del malware, sus requisitos de sistema y similitudes técnicas y operacionales con las operaciones de DarkHotel más recientes apuntan hacia la participación de un actor externo, que tal vez quiere tener bajo su vigilancia a la élite norcoreana que está dispersa en la red.

La mayor parte de las víctimas son personal de ingeniería de redes de telecomunicaciones, gestores de bienes y comercio, personal de ingeniería eléctrica de farmacias, equipos de desarrollo de programas distribuidos, administradores de negocios, personal académico e informático de escuelas, etc.

Ataque a sitios web y difusión geográfica

Una de las características más notables es que no se comparte el programa malicioso con todos los visitantes del sitio. El envío se cancela si el sistema Windows de la posible víctima tiene instalado Flash Player 10 original o una versión posterior. Si el usuario trata de ver los videos o presentaciones de fotos vinculados en el panel inferior derecho de la página, se le muestra un gif que dice que se necesita un reproductor de Flash. Por supuesto, pulsar en el gif redirige al archivo zip malicioso. También llama la atención que este malware no tiene una variante para Linux ni para OS X, así que distribuye sólo ejecutables de Windows. Es interesante que los componentes del malware se hayan detectado por primera vez en noviembre de 2012, dos meses antes de la primera aparición conocida del paquete de Flashplayer en el sitio web kcna.kp. Aunque no conocemos el origen exacto de estas infecciones, en este momento sospechamos que era el mismo sitio web kcna. No hemos visto otras fuentes.

Los datos de KSN también muestran algunos casos selectos en los que los usuarios de Firefox recibieron el malware mientras visitaban una página conocida por sus secuencias de comandos cruzados que se describen en la siguiente sección: “Posible abrevadero vulnerable a ataques XSS”. En esencia, el momento y ubicación de recursos de esta vulnerabilidad presenta la posibilidad definitiva de que ocurra la intrusión de un actor.

La distribución de un archivo zip dependiente de la interacción del usuario y de su infección hacia sí mismo implica un nivel bajo de complejidad del ataque, pero veamos más allá de los elementos de ingeniería social y consideremos también el perfil de la víctima. Los atacantes que operan desde este sitio en particular buscan usuarios con poca experiencia y un conocimiento general de cuestiones técnicas, y también sistemas operativos Windows muy desactualizados. La versión 10 de Flash Player se lanzó en octubre de 2008, y los navegadores más recientes como Google Chrome incluyen un complemento de Flash nuevo. Estos ataques se realizaron no antes del tercer trimestre de 2012.

Lo más probable es que los usuarios a los que está dirigido el ataque tengan fama de usar sistemas desactualizados con estas particularidades. Este es el caso de Corea del Norte, donde la mitad de los ordenadores siguen funcionando con Windows XP según Global Stats. En comparación, Corea del Sur tenía el año pasado un índice de adopción de Windows 7 de casi el 80%.

Entonces, ¿en qué consiste la difusión geográfica del programa? Los dos componentes asociados principales, mscaps.exe y wtime32.dll, se detectaron principalmente en sistemas de China, seguidos por Corea del Sur y Rusia. Podemos inferir que estos sistemas se infectaron en algún momento y se convirtieron en víctimas del programa kcna.kp:

China450
Corea, República de43
Federación Rusa25
Malasia20
Italia11
India10
Corea, República Popular Democrática de7
Alemania7
Hong Kong6
Irán, República Islámica de4

Sin embargo, descubrir la ubicación geográfica de los países más afectados no es tan simple como parece. šExisten informes que indican que las élites norcoreanas tienen acceso a varios proveedores de Internet que pueden cambiar las ubicaciones de sus direcciones IP a rangos chinos, rusos y de Hong Kong.

Posible abrevadero vulnerable a ataques XSS

Como Corea del Norte se ha etiquetado como el culpable del hack a Sony, los informes originales han aceptado de forma automática la idea de que este ataque se realizó desde el interior de Corea del Norte para vigilar a las personas interesadas en los medios de comunicación oficiales del estado. Examinemos las dificultades para llegar a esa conclusión.

En primer lugar, el sitio en sí mismo ya era vulnerable a XSS a principios de 2013, cuando el instalador del paquete Flashplayer apareció por primera vez en el sitio. "Hexspirit” muestra la vulnerabilidad aquí, en XSSed, en abril de 2013. De hecho, en enero de 2013 se vieron las primeras páginas que dirigían al paquete flashplayer en kcna. kp mediante una página XSS vulnerable idéntica:

hxxp://www.kcna.kp/kcna.user.home.photo.retrievePhotoList.kcmsf;jsessionid=xxx

Por lo tanto, es posible que un actor de Amenazas Persistentes Avanzadas (APT) haya sido quien entregó el paquete flashplayer, y no el patrocinador gubernamental del sitio. Si se combina esta posibilidad con la afición del APT Darkhotel de distribuir instaladores Flashplayer desde recursos comprometidos, este escenario se torna muy viable. También existe una fuerte probabilidad de que los desarrolladores del sitio hayan mantenido ordenadores infectados sin darse cuenta.

La táctica de ubicar malware en el sitio oficial de noticias del país está estrechamente ligada con el tipo de público que estaría interesado en el contenido de este sitio – que encontraría la amenaza mientras navega en las profundidades del sector de noticias del sitio. Por supuesto, podríamos pensar que los elementos clave de la comunidad internacional, como los disidentes, comités de expertos e instituciones financieras estarían interesados en las noticias del estado de Corea del Norte, pero sus sistemas no cumplen con los requisitos de Flash Player para que se realice la infección. También hemos visto foros en los que se llevan a cabo acaloradas discusiones que incluyen enlaces a fotos que redirigen al malware del instalador de Flash. Tal vez los participantes del foro también recibieron ataques de esta manera. Es por eso que este ataque abrevadero podría apuntar hacia adentro y estar a cargo de un actor externo que afecta de forma deliberada a la élite norcoreana esparcida alrededor del mundo y con acceso a Internet, así como a otros lectores interesados.

Similitudes con Darkhotel

El informe original incluye un análisis preliminar de los poco convencionales trabajos internos del instalador de malware, escondidos en dos ejecutables que se hacen pasar por actualizaciones de Flash Player 10. Vayamos un paso más allá y discutamos según las siguientes categorías las similitudes entre el código viral alojado en kcna.kp y el malware Darkhotel que se había documentado antes:

  • Ingeniería social
  • Distribución
  • Recolección de datos
  • Configuración de redes y ofuscación simple
  • Infección e inyector de comportamiento
  • Marcas y líneas de tiempo

Puede encontrarse un referente para esas similitudes en el malware en las descripciones distribuidas durante las operaciones de DarkHotel. A continuación, haremos algunas comparaciones.

Ingeniería social

La similitud más obvia entre ambas operaciones es la forma en la que propagan instaladores de FlashPlayer que incluyen puertas traseras de recursos de servidores de Internet comprometidos. Esta es la primera página de la guía de operaciones de Darkhotel y una de sus cualidades más distintivas, que ahora se están replicando en el ataque de KCNA. Los beneficios de esta forma de operar son significativos, en especial si se toma en cuenta que el malware de KCNA no tiene una firma digital y exige la interacción del usuario para ejecutarse.

Recopilación de datos

En un nivel técnico, es interesante recordar al ladrón de información Darkhotel de 2012. Su función es conseguir puntos de datos que identifiquen los sistemas afectados. Los puntos de datos de interés para el ladrón de información DH son muy similares a aquellos de su equivalente KCNA (que se muestran abajo):

De hecho, muchos de los puntos de datos que el instalador de malware KCNA recopila de los sistemas afectados son los mismos que busca Darkhotel. El elemento de Darkhotel que falta en esta lista es el “Nombre e identificador del CPU”, que ha sido reemplazado por “hora de infección”.

El ladrón Darkhotel organiza los datos robados en un formato interno específico estructurado en un nombre-dos puntos-valor, como se puede ver a continuación:

El ladrón KCNA mantuvo los datos robados con el siguiente formato interno, muy similar al formato Darkhotel (nombre-dos puntos-valor):

Configuración de redes y ofuscación simple

La llamada de respuesta de la red de este paquete incluye varios Nombres de Dominio Completos (FQDNs) inusuales. Esta configuración de redes está integrada dentro de wtime32.dll:

a.gwas.perl.sh
a-gwas-01.dyndns.org
a-gwas-01.slyip.net

Es interesante que el malware está configurado con tres servidores de comando y control de conexión inversa, de forma similar a decenas de puertas traseras de Darkhotel. Una rutina muy simple también ubica estas cadenas de caracteres dentro de la sección .data de los componentes wtime32.dll y las descifra como variables globales. Esas cadenas de caracteres están ofuscadas dentro del binario con un simple bucle XOR 0x12. Los ejemplares Darkhotel posteriores tienen un enfoque algo más complicado. Estas son algunas de las cadenas de caracteres con una ofuscación extraña:

Software\Microsoft\Active Setup\Installed Components
{ef2b00e3-19da-4e78-b118-6b6451b719f2}
{a96adc11-e20e-4e21-bfac-3e483c40906e}
Software\Microsoft\Windows\CurrentVersion\Run
JREUpdate
mscaps.exe
a.gwas.perl.sh
a-gwas-01.slyip.net
a-gwas-01.dyndns.org
update.microsoft.com
20
%SystemRoot%\system32
%APPDATA%\Microsoft\Protect\SETUP
%SystemRoot%\system32\gdi32.dll

Especificidad de los blancos de ataque

Los diversos grados de especificidad que usa Darkhotel para propagar su malware lo convierten en un actor muy inusual: “Esta amenaza opera lanzando ataques dirigidos precisos con exploits Flash avanzados para vulnerabilidades de día cero que evaden las últimas defensas de Windows y Adobe, y a la vez se propagan de forma imprecisa y masiva hacia objetivos indefinidos usando tácticas de difusión peer-to-peer”.

En otras palabras, sus gusanos se propagan de forma indiscriminada entre países, atacando a decenas de miles de sistemas, y el grupo es sorprendentemente abierto al respecto. Este también es el caso de la operación de KCNA, en la que el malware se dispone de forma tal que atrae a una audiencia específica con requisitos del sistema inusuales, a pesar de que está diseñado para propagarse de forma indiscriminada (mediante el mecanismo descrito abajo).

Modos de infección e inyección

Como las herramientas Darkhotel, el malware KCNA incluye código viral. La rutina se mantiene en el código fil.dll. Después de descansar por intervalos de pocos minutos, el código escudriña una y otra vez las unidades de disco adjuntas en busca de ejecutables para infectar. Infecta estos archivos con su shellcode explorador y el instalador @AE1.tmp. Es una estrategia de infección inusual –el shellcode de objetos binarios grandes (Blob) no devuelve el control al archivo original.

El comportamiento de inyección es a la vez intricado e indiscriminado, ya que el malware infecta tanto los ejecutables de los recursos compartidos de red como los locales. Por ejemplo, el tamaño de un instalador de Skype infectado en una unidad de red aumentó de sus 1.513 kb originales a 3.221 kb.

Se hicieron grandes avances, aunque poco elegantes, al aumentar la capacidad de inyección del malware para que pueda ir más allá de los simples ejecutables. Con esta intención, el malware instala una copia de la línea de comando de la versión 4.1.0 de WinRar (lanzada en enero de 2012) en %USERS%\AppData\Roaming\Microsoft\Identities\\Rar.exe. Este programa Winrar se usa para acceder a archivos ZIP, RAR, ISO y 7Z y así buscar en el contenido de cualquier ejecutable para realizar la infección. Los archivos comprimidos de los formatos mencionados que contienen ejecutables se infectan y se los vuelve a empaquetar con sus filenames originales, pero con sus nuevos contenidos ejecutables bajo el esquema Daws.awfy.

Nuestros productos detectan todos los archivos infectados resultantes como Trojan-Dropper.Win32.Daws.awfy. Este código viral afectó a muchas redes, y casi mil md5s únicos que representaban a archivos infectados relacionados en varios sistemas se registraron como “Trojan-Dropper.Win32.Daws.awfy”.

Victimología viral

Debido a la capacidad de difusión viral del programa malicioso, podemos distinguir los datos de propagación de la infección, que tienen una relación directa con el Flashplayer alojado en KCNA, que se han difundido en los recursos compartidos de red y dispositivos removibles. Aunque cada ítem de la lista representa a una organización o sistema único que detecta un grupo de archivos infectados virales KCNA en sus unidades de disco, el conteo total de archivos infectados es de casi 20.000 archivos. Al concentrarnos en la propagación de Daws.awfy, podemos apreciar el alcance del malware desde otro ángulo:

PaísSistemas y organizaciones con archivos infectados
China481
Malasia51
Rusia47
Corea, República de34
Taiwán14
Senegal14
Corea, República Popular Democrática de11*
India9
México9
Qatar9

Es importante notar las condiciones particulares de Corea del Norte. En primer lugar, la limitación de espacio IP implica que múltiples sistemas únicos comparten la misma dirección IP -š en el caso de las víctimas de DPRK de arriba, el número se basa en sistemas únicos y no en direcciones IP únicas. En segundo lugar, atribuimos los números relativamente bajos de infecciones de redes a las políticas restrictivas que mantienen a muchos usuarios al margen de la red desde rangos de IP KP. Un infector viral de redes y USBs es una herramienta magnífica para un usuario malicioso que quiera usar los nuevos sistemas directos para infectar ordenadores en una intranet aislada, como la que conecta a la mayor parte de los ordenadores dentro de Corea del Norte. Pero este mismo aislamiento hace imposible cuantificar el éxito del malware dentro de esa intranet.

Marcas y líneas de tiempo

Marca de tiempo de la compilación del instalador de malware KCNA: Tue, 13 Mar 2012 02:24:49 GMT.
Marca de Tiempo de la compilación del ladrón de identidad Darkhotel: Mon, 30 Apr 2012 00:25:59 GMT.

También es interesante tomar en cuenta que una gran mayoría de los componentes del malware KCNA se compilaron a mediados de marzo de 2012.

El primer incidente que con la falsificación del instalador de Flash Player que nuestra KSN encontró data de 2012, pero ese método llegó a su punto más alto en 2013. El incidente de KCNA ocurre en el momento cumbre de este tipo de actividad ofensiva de Darkhotel.

Componentes notables

Además de la actualización de Flash Player legítima que está incluida entre sus archivos comprimidos, los componentes de puerta trasera que se descargan al disco y ejecutan están agrupados como componentes de Windows Live (como Defender, IM Messenger). Estos son los dos archivos más interesantes que se descargan:

78d3c8705f8baf7d34e6a6737d1cfa18,c:\windows\system32\mscaps.exe
978888892a1ed13e94d2fcb832a2a6b5,c:\windows\system32\wtime32.dll

Aquí se agregan al registro los ajustes de reinicio del componente mscaps.exe: šHKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{a96adc11-e20e-4e21-bfac-3e483c40906e}, donde se establece como su subtrazado '"C:\WINDOWS\system32\mscaps.exe"š /s /n /i:U shell32.dll'. Esta configuración asegura que cada vez que se abra o reinicie el shell explorer.exe, el ejecutable inyecte su código.

Otros análisis de este malware no mencionaron la presencia de madCodeHook, de Madshi. Es una inyección DLL comercial legítima y un marco de enganche api que en este caso se usa para inyectar el componente de spyware att.dll de forma específica en las siguientes aplicaciones de comunicaciones:

  • Internet Explorer – iexplore.exe, ieuser.exe
  • Mozilla Firefox, firefox.exe
  • Google Chrome, chrome.exe
  • Microsoft Outlook Express, msimn.exe
  • Microsoft Outlook, outlook.exe
  • Windows Mail, winmail.exe
  • Windows Live Mail, wlmail.exe
  • MSN Messenger, msnmsgr.exe
  • Yahoo! Messenger, yahoomessenger.exe
  • Windows FTP Client, ftp.exe

El gancho LoadLibraryExW se coloca aquí:

El gancho jmp aparece aquí:

Este es el bucle de análisis sintáctico de cadenas de caracteres relacionado:

Otros análisis indican que ws2_32.dll, o la biblioteca winsock2, se descarga en el disco y se copia a mydll.dll. Es posible que lo haga para mantener los ganchos Winsock2 estables en los sistemas operativos Windows. Algunos grupos madCodeHooks en el api Winsock2 tienen antecedentes de inestabilidad, por lo que los cibercriminales prefirieron incluir uno que sabían que no fallaría.

Esto implica un vuelco en la forma de trabajo, una disparidad clara. šLa biblioteca madCodeHook no se encontró en el malware Darkhotel.

El componente wtime32.dll se instala en el disco y se carga al inicio en explorer.exe. Después se inyecta en cada uno de los procesos que considera de su interés. Es un componente de bot muy interesante, que se comunica con sus tres dominios de comando y control para recibir órdenes. Mantiene 13 comandos de bot interactivos primitivos:

ComandoDescripción del comando
cmdEjecutar el cmd y extraerlo al archivo como parte del nuevo proceso que se ha creado y terminado, es decir, "cmd /c tree > file 2>&1"
infRecopilar información del sistema – versión del sistema operativo, nombre de usuario, nombre del equipo, unidad del sistema, hora local, todas las unidades de disco conectadas y sus propiedades, propiedades del adaptador de red, espacio libre en el disco, enumerar todos los programas instalados por cada usuario en cada equipo
capRealizar una captura de pantalla y enviarla al c2
dluFunción incompleta
dllAbrir un proceso con acceso total, escribir un dll en la memoria y crear un hilo de ejecución (cargar un dll en un proceso remoto)
putRecibir, descifrar y escribir un archivo específico en el disco
gotInformar sobre el estado del archivo recuperado
getRecopilar, cifrar y recuperar un archivo específico
exeEjecutar el nombre de ejecutable proveído con WinExec
delGrabar atributos del archivo en c2 específicos y eliminar el archivo
dirGrabar e informar al c2 sobre todos los archivos en el árbol de directorios actual y sus atributos: nombre de archivo, tamaño, última vez que se escribió, archivo comprimido o directorio, visibilidad, sistema
quitHilo de ejecución de salida
prcSolicitud de proceso

Su funcionalidad abarca tecnologías más antiguas que ya no se ven con facilidad. Además de que provee rutinas I/O para NTFS, FAT32, FAT16 y el filesystem FAT, también implementa la antigua rutina I/O FAT12. El acceso al disco sin procesar Windows95 se activa con CreateFileA en \\.\vwin32 mediante la unidad virtual vwin32.

Por último, el malware KCNA tiene un truco único bajo la manga. Los componentes que instala pueden escanear las unidades de disco conectadas y los recursos de red para copiar sus contenidos y enviarles algo especial que le ayuda a propagarse. Es de esta forma tan cruda que este programa malicioso puede saltar entre redes separadas usando conexiones usb para infectar ejecutables y archivos comprimidos de dispositivos USB.

Conclusiones

El incidente de KCNA y la propagación de su bot viral deja en el aire más preguntas que respuestas. Sería simplista culpar a esta campaña por las operaciones de DPRK, y no es algo que estemos defendiendo aquí. Las posibilidades de que un virus de red interno se difunda o de que se comprometan sitios web mediante un ataque XSS son altas. La amenaza tiene algunas similitudes con las herramientas Darkhotel, como la configuración de redes, técnica de suplantación y el formato y selección de los datos que roba. Si ambas operaciones están relacionadas, las particularidades del malware KCNA demuestran que Darkhotel todavía podría tener algunos trucos bajo la manga.

Apéndice

Componentes que instala el malware KCNA

78d3c8705f8baf7d34e6a6737d1cfa18, mscaps.exe, Tue, 12 Apr 2011 09:15:59 GMT
978888892a1ed13e94d2fcb832a2a6b5, wtime32.dll, 213kb, Trojan.Win32.Agent.hwgw, CompiledOn:Wed, 29 Feb 2012 00:50:36 GMT
2d9df706d1857434fcaa014df70d1c66, arc.dll, 1029kb, Trojan.Win32.Agent.hwgw, CompiledOn:Tue, 13 Mar 2012 02:34:00 GMT
fffa05401511ad2a89283c52d0c86472, att.dll, 229KB, Trojan.Win32.Agent.hwgw, CompiledOn:Tue, 13 Mar 2012 02:24:32 GMT
1fcc5b3ed6bc76d70cfa49d051e0dff6, dis.dll, 120.kb, Trojan.Win32.Agent.hwgw, CompiledOn:Tue, 13 Mar 2012 02:24:36 GMT
d0c9ada173da923efabb53d5a9b28d54, fil.dll, 126kb, UDS:DangerousObject.Multi.Generic, CompiledOn:Tue, 13 Mar 2012 02:24:41 GMT
daac1781c9d22f5743ade0cb41feaebf, launch.exe, 172KB, HEUR:Trojan.Win32.Generic, CompiledOn:Tue, 13 Mar 2012 02:24:52 GMT
6a9461f260ebb2556b8ae1d0ba93858a, sha.dll, 89KB, Trojan.Win32.Agent.hwgw, CompiledOn:Tue, 13 Mar 2012 02:24:43 GMT
f1c9f4a1f92588aeb82be5d2d4c2c730, usd.dll, 99KB, Trojan.Win32.Agent.hwgw, CompiledOn:Tue, 13 Mar 2012 02:24:46 GMT
59ee2ff6dbac2b6cd3e98cb0ff581bdb, WdExt.exe, 1.66MB, Trojan.Win32.Agent.hwgw, CompiledOn:Tue, 13 Mar 2012 02:24:49 GMT
f415ea8f2435d6c9656cc6525c65bd3c, wtmps.exe, 1.94MB, Trojan-Dropper.Win32.Daws.awfy, CompiledOn:Mon, 05 Mar 2012 08:37:55 GMT

MD5s, dominios y detecciones relacionadas

Trojan.Win32.Agent.hwgw
78d3c8705f8baf7d34e6a6737d1cfa18, mscaps.exe
2d9df706d1857434fcaa014df70d1c66, arc.dll
1e7c6907b63c4a485e7616aa04351da7, @aedf66.tmp.exe
1fcc5b3ed6bc76d70cfa49d051e0dff6, dis.dll
523b4b169dde3bcab81311cfdee68e92, wdext.exe
541989816355fd606838260f5b49d931, wdext.exe
5e34f85278bf3504fc1b9a59d2e7479b, wdext.exe
6a9461f260ebb2556b8ae1d0ba93858a, sha.dll
78ba5b642df336009812a0b52827e1de, wdexe.exe
7f15d9149736966f1df03fc60e87b8ac, wdext.exe
7f3a38093bd60da04d0fa5f50867d24f
82206de94db9fb9413e7b90c2923d674
a59d9476cfe51597129d5aec64a8e422, @ae465f.tmp.exe
f1c9f4a1f92588aeb82be5d2d4c2c730, usd.dll
fffa05401511ad2a89283c52d0c86472, att.dll
d0c9ada173da923efabb53d5a9b28d54, fil.dll

Trojan-Dropper.Win32.Daws.awfy
2f7b96b196a1ebd7b4ab4a6e131aac58
8948f967b61fecf1017f620f51ab737d
…y casi 800 otros ejecutables que resultaron infectados en carpetas compartidas y discos conectados

c2 Domains
a.gwas.perl.sh,211.233.75.83
a-gwas-01.dyndns.org
a-gwas-01.slyip.net

OPSEC 101 analógica – seguridad operativa en el mundo físico


  Vicente Diaz       18 marzo 2015 | 15:00  MSK

Comentar  

Por mucho tiempo nos ha interesado la seguridad operativa (OPSEC), y aunque existen incontables buenos consejos técnicos sobre la seguridad de la información digital, siempre tuvimos la sensación de que algo faltaba. Después de todo, vivimos en un mundo físico, o analógico, y también en uno digital, y nos encontramos con otras personas reales. Después de preguntar por ahí, hallamos que una de las principales preocupaciones de nuestra comunidad técnica era cómo comportarse durante estas interacciones. Entonces decidimos ponernos a elaborar algunos consejos reales y fáciles de recordar justamente en estas situaciones.

Modelos de amenazas

La seguridad operativa OPSEC consiste en ocultarles información a tus adversarios. Hemos clasificado a nuestros adversarios en sólo dos grupos: los que poseen los recursos y los que no. Simple y sencillo.

El primer grupo incluye agencias de inteligencia, organismos militares, y los chicos malos importantes. En el segundo grupo se incluye el resto. Importante: sin recursos no significa sin peligro, pero son menos capaces de seguirte a menos que les entregues tu información sin ningún cuidado.

Nuestros consejos se concentran en encuentros con el primer grupo, ya que son los más probables de ocurrir.

Reclutamiento

Las agencias siempre están en busca de nuevos recursos, y lo han hecho desde siempre.

Todo comienza con el proceso de reconocimiento, es decir, la identificación de recursos que cumplan con sus requisitos basados en la posición y el acceso a la información. A continuación, trazan un perfil del blanco, recurriendo parcialmente a OSINT. Después viene el momento de elegir entre la zanahoria y el palo, y seleccionar el motivador más apropiado: dinero, chantaje, ideología, sexo, etc.

Entonces alguien se aproximará, quizás en persona, quizás mediante LinkedIn. Probablemente se presente como un empresario que nos pagará mucho por poco (algunos informes sencillos de vez en cuando).

Cuando esto sucede, queremos llegar cuanto antes a la fase de Terminación, idealmente después de haber sido descartados por ser una pérdida de tiempo y esfuerzos.

Podemos sencillamente decir “No”, pero ellos pueden incrementar la presión. Por otra parte, podemos rechazarlos mientras ofrecemos alternativas, dirigiendo la petición a otra persona preparada para hacerse cargo de la situación.

Crea un protocolo para ti mismo y para tu organización para manejar eficazmente estas situaciones, minimizando la exposición del investigador. Tienes que estar preparado para las situaciones en las que eres más vulnerable.

Fronteras

Cruzar una frontera internacional puede ser uno de los puntos más vulnerables. De alguna forma son como una dimensión paralela: aunque físicamente te encuentras en otro territorio, las leyes son diferentes, o quizás incluso inexistentes.

Hemos aprendido algunas cosas sobre las fronteras: siempre hay una excepción a la ley que los oficiales pueden aplicar en escenarios extremos. En este sitio podrás encontrar asesoría legal: https://www.eff.org/wp/defending-privacy-us-border-guide-travelers-carrying-digital-devices. Sin embargo, esto es lo que NO DEBES hacer:

  • Estés o no estés de acuerdo con una revisión, NO detengas al oficial cuando empiece a revisar tus cosas. Es un delito.
  • No tienes que responder a ninguna pregunta, pero si decides hacerlo, no le mientas al oficial. Es otro delito.

Estos son nuestros consejos para situaciones como esta. Estas reglas te ayudarán a mantener la calma y a no perder la cabeza. Pueden evitar que reacciones de forma indeseable, lo que empeoraría la situación, y que hables más de la cuenta, comenzando por cosas como: “No tengo nada que ocultar, déjeme explicarle…”

  • Tienes que cooperar.
  • No empeores las cosas.
  • Ten tu historia preparada y tienes que estate listo para respaldarla.
  • Regla de oro: ¡No traigas nada valioso contigo! Debes cifrar tu información, o subirla a un almacenamiento virtual, y recuperarla una vez que llegues a tu destino.

Otras situaciones

A veces podemos encontrarnos en camino a una reunión en un país extraño con la sospecha de que algo no anda bien. Nuestros consejos para esta situación:

  • No vayas solo.
  • No confíes en tu anfitrión para el transporte.
  • Planifica rutas de escape y lugares “seguros”, y ten listos tus contactos.

En algunos casos, la reunión misma podría ser la “trampa”, sólo una excusa para hacer que dejes tu ordenador en un lugar conocido en el hotel o en un guardarropa.

Siempre es una buena idea avisarle a alguien a dónde te diriges y pedirles que reaccionen si no te pones en contacto con ellos en cierto tiempo. Esto también les alerta a tus adversarios de que estás listo: un comentario sencillo y casual bastará para ello.

Otra preocupación es la vigilancia física. Honestamente, si se trata de profesionales sofisticados, no hay mucho que puedas hacer y quizás ni lo notes. Pero recuerda: no hagas nada estúpido, no eres James Bond. Actuar como si fuera una película sólo puede empeorar las cosas.

Si estás muy preocupado, amplifica la situación y recurre al encargado en tu compañía de tratar con los contactos locales. Si te sientes incómodo, ve a un sitio público o directamente a tu embajada.

Conclusiones

Quizás ya hayas identificado algún tema común en la mayoría de estas situaciones planteadas. Primero, mantén la calma y no empeores las cosas. Puedes recurrir a una tercera parte para que envíe a la caballería cuando la necesites. Es por esto que tu compañía debe asignarte una persona de contacto para cuando tengas algún problema. También puedes necesitar apoyo legal internacional.

Sin embargo, la principal lección es: toma tus precauciones. Si viajas al extranjero, invierte tiempo buscando contactos locales, consigue los números de teléfono y dirección de tu embajada, planifica tus reuniones, avisa a otros dónde estás y asegúrate de que estén listos para actuar de inmediato en ciertas situaciones. Prepara tu ordenador portátil y considera qué información llevarás contigo. Si recuerdas estas lecciones, estarás bien.

Yeti sigue agazapado en el bosque


  Marco       17 marzo 2015 | 11:53  MSK

Comentar  

El pasado mes de julio publicamos datos sobre Crouching Yeti/Energetic Bear,una avanzada amenaza partícipe en varias campañas de ataques APT.
Un breve resumen:

  • Estado de la campaña: Activa
  • Descubrimiento: Enero de 2014
  • Plataformas atacadas: Windows
  • Primera muestra detectada: 2010
  • Número de blancos: 2001-3000
  • Principales países afectados: EE.UU., España, Japón, Alemania, Francia, Italia, Turquía, Irlanda, Polonia, China.
  • Método de propagación: Ingeniería social, exploits, ataques tipo abrevadero, instaladores troyanizados de software.
  • Propósito/funciones: Robo de datos
  • Funciones especiales: Interés en OPC/SCADA. Software troyanizado utilizado para administrar servidores OPC remotos, así como módulos para escanear redes para servidores OPC.
  • Blancos: Industrial/maquinaria, fabricantes, farmacéutico, construcción, educación, informática
  • Artefactos/atribución: Autores rusoparlantes.

Esta entrega es una actualización sobre el estado operativo de la campaña descrita en el artículo original “Crouching Yeti

Desde el inicio de la investigación, hemos estado monitoreando algunos de los servidores C&C utilizados por los componentes empleados en el ataque: el troyano Havex, el troyano Sysmain, y la puerta trasera ClientX. El siguiente análisis se basa en los datos recopilados hasta el 4 de marzo de 2015.

Servidores C&C y víctimas:

En total, hemos monitoreado exitosamente 69 servidores C&C (dominios únicos), que recibieron pulsaciones de 3699 víctimas (IDs únicas del troyano/puerta trasera) y 57796 conexiones desde distintas direcciones IP. Hemos recopilado otros cuatro C&C desde la publicación de nuestro primer artículo (65 en el último informe).

En base al siguiente gráfico, los primeros cinco servidores C&C comparten la mayor parte de las víctimas únicas:

Víctimas por C&C

 Aunque la tendencia muestra una disminución de pulsaciones en el C&C, todavía existen más de 1000 conexiones de víctimas únicas por día. Estos cinco principales C&C que suman la mayoría de las víctimas coinciden con la actividad analizada en la publicación e investigación previas.

Otro gráfico interesante es la cantidad de pulsaciones por fecha, que muestra una tendencia decreciente:

La siguiente figura muestra el cuadro total de la distribución de víctimas por país, incluyendo todos los programas maliciosos (Havex, ClientX, Sysmain) relacionados con los C&C que hemos observado. El gráfico contiene todos los datos (incluyendo aquellos del informe anterior y los que hemos recopilado durante este periodo) y todas las direcciones IP únicas observadas. šVale la pena remarcar que existen algunas IDs únicas que usan varias direcciones IP, probablemente relacionadas con los ordenadores infectados de viajeros.

El siguiente gráfico muestra el gran cuadro (actualizado) de las víctimas de Crouching Yeti por país. España, Polonia y Grecia están entre los Top 3. Japón, y especialmente EE.UU. han mejorado significativamente su posición (menos víctimas) desde el último informe, al contrario de Polonia e Italia, que han empeorado notablemente (más víctimas que informan al C&C).

Esta es una representación adicional de la distribución de las víctimas por país, incluyendo todos los datos (todos los países):

Programas maliciosos:

El troyano más utilizado en estos servidores C&C es Havex con 3375 víctimas únicas. Sysmain cuenta con 314 y ClientX con 10 (como en el informe del año pasado). Respecto a Havex, la versión 024 sigue siendo la más extendida, seguida de la versión 043. Esto es consistente con la tendencia observada en nuestra última publicación.

Los dos gráficos que siguen muestran la distribución de las víctimas por tipo de programa malicioso. Decidimos dividir las versiones identificadas en dos grupos sólo a fin de brindar mayor claridad. La serie con el nombre “Report” contiene los datos publicados en la primera publicación de Crouching Yeti (azul) y la serie con el nombre “Update” contiene los datos analizados.

Durante este periodo, el primer subconjunto muestra un aumento en casi todas las versiones incluidas, excepto por Havex-038 y Havex-01D, que mostraron una mayor actividad en la primera publicación de Crouching Yeti. Por otra parte, Havex-043 muestra el aumento más significativo durante este periodo.

En el segundo subconjunto, el cuadro aparece bastante similar (aumento global), excepto por Havex-01d que muestra una disminución durante este periodo.

Ya antes y también después de los anuncios sobre este actor hubo otras investigaciones. Por tanto, los conjuntos de datos están limpios, pero puede ser que todavía incluyan algunos sistemas sin víctimas en base a dichas investigaciones.

Los gráficos siguientes muestran la distribución de sistemas operativos entre las víctimas de Havex durante este periodo:

Aparte del aumento en la categoría "Unknown” (desconocido), no aparecen diferencias sustanciales al comparar con los datos analizados en el primer informe:

Para complementar los datos provenientes del C&C, extrajimos algunas estadísticas sobre los troyanos más importantes que usan los operadores de Crouching Yeti. Casi todos muestran un impacto residual durante 2015. Sin embargo, notamos algunos picos muy específicos durante este mes, especialmente para el veredicto Trojan.Win32.Ddex. Este componente es un sencillo descargador con funciones similares al componente Havex. Todas las detecciones se encuentran dentro de la Federación Rusa.

En conclusión, los datos analizados durante este periodo revelan que el impacto de Crouching Yeti sigue vigente en términos de víctimas infectadas que informan a los C&C, aunque los datos internos proporcionados por nuestra red KSN muestran un cuadro distinto (número residual de infecciones). En esta actualización, no hemos visto cambios relevantes en la infraestructura o en la actividad de C&C.

Tomando en cuenta la naturaleza de esta amenaza y el estado operativo de la infraestructura, es posible que los operadores ya hayan cambiado su estructura, técnicas y blancos.

Continuaremos el seguimiento de esta amenaza y publicaremos las respectivas actualizaciones.

Un cruce entre Skyfall y Skype


  Dmitry Bestúzhev       13 marzo 2015 | 15:04  MSK

Comentar  

El programa malicioso de nombre compuesto SKYPEFALL.EXE es el último programa de envío de spam que está activo y propagándose mediante Skype. Lo registramos por primera vez el 3 de marzo usando castellano e inglés para atrapar a sus víctimas. ¿En qué consiste su ataque?

La víctima recibe un mensaje de Skype con el siguiente formato:


¡Dios Mío! [nombre del usuario de Skype] video: http: //********skype. info/video/?n=[nombre del usuario de Skype]

Oh, My God ! [user name in Skype] video: http: //********skype. info/video/?n=[user name in Skype]

Si el usuario pulsa en el enlace desde Internet Explorer, aparece en un sitio web con un video falso repleto de comentarios que tratan de despertar su interés para que descargue un plugin que permite ver el video:



Una vez más, la URL que se usa en el mensaje malicioso que se envió mediante Skype sólo está disponible si la víctima está usando el navegador Internet Explorer. Si la víctima emplea cualquier otro navegador, la URL no está disponible.

El setup.exe inicial es un archivo RAR auto-extraíble con instrucciones integradas. Incluye un paquete completo de instalación GUI.

Con esto, la víctima recibe funcionalidades de adware y capacidades de puerta trasera. Una vez instalado en el ordenador de su nueva víctima, el programa ataca a sus contactos de Skype para seguir propagando estos mensajes spam. También descarga las instrucciones para su comportamiento desde otro servidor, que son así:


{

"skype_restart_mins": 120,

"old_friend_hours": 48,

"del_msgs_limit": 5,

"send_strategy": 1,

"max_loc_msgs": 60}

El malware también incluye un cliente SMTP incrustado que podría permitir a los atacantes que envíen spam mediante el equipo de la víctima.


Los atacantes que encabezan esta operación están cambiando este binario en la web cada pocas horas. Lo hacen para evitar las detecciones consistentes de los antivirus.


Kaspersky Lab detecta esta amenaza como Trojan-Dropper.Win32.SkyDll.a.

Conoce a Lisa por 1 euro


  Marco       12 marzo 2015 | 13:46  MSK

Comentar  

Anoche recibí un SMS inesperado en alemán. Era un mensaje de "Lisa", una chica que decía que me conocía y me ofrecía una URL para ver una foto suya.

La URL corta dirigía al dominio "m.bensbumbsblog.com", famoso por usarse en spam para sitios de citas, y redirigía a uno de estos sitios. Como no me había registrado a estos sitios ni pedido que me envíen este SMS, no hay duda de que pertenece a la categoría de mensajes masivos no solicitados.

La meta final es dirigirte a " daily-date.de”. El sitio pide que te registres (nombre de usuario, contraseña, dirección de correo y muchas preguntas personales). Por último, ofrece acceso Premium al sistema, que permite al usuario buscar, conocer, ver fotos y ponerse en contacto con otros usuarios, pero no de forma gratuita. El sitio ofrece una prueba de 14 días por 1 euro.

El dominio "bensbumsblog.com" está protegido por un servicio de anonimato que evita que se identifique a su dueño. Pero su dirección IP pertenece a un servicio en la nube (según una búsqueda en RIPE) que está siendo alquilada por una compañía de marketing (búsqueda inversa de IP).

El sitio web final, “daily-date.de”, pertenece a una compañía alemana ubicada en Berlín.

Las estadísticas de bit.ly muestran que esta operación comenzó el 3 de marzo de 2015 y recibió más de 10.000 visitas en 18 horas, la mayor parte proveniente de Alemania. La mayoría de las visitas se dieron durante las primeras 3 horas de la operación (que comenzó a las 18:00 CET).

El usuario de bit.ly “benbu”, que estableció el enlace, ha creado 15 Bitlinks/URLs cortas (activas desde el 2 de marzo de 2015).

Cantidad de BitlinksObjetivo/Operación
6DailyDates (esta campaña)
1Easy money/tarjetas de crédito
8Cupones

El spam es un problema común que no se propaga sólo por correo electrónico. Pero es cierto que el spam de SMS es más común en Asia que en Europa.

Otras operaciones de este usuario no tuvieron mucho éxito. Seis operaciones aparte de ésta recibieron visitas. Casi todas estaban dirigidas a usuarios alemanes.

CreaciónObjetivo/OperaciónNúmero de visitantes
02.03.2015Cupones2630
02.03.2015Cupones1764
02.03.2015Cupones250
02.03.2015DailyDates993
03.03.2015Cupones1878
03.03.2015Cupones1004

Como regla general, evita pulsar en cualquier enlace que recibas porque podría esconder contenido malicioso. Para mejorar la protección de tu móvil (smartphone/tablet), nunca olvides instalar actualizaciones. Es más, deberías instalar un programa de seguridad para protegerte contra el malware para teléfonos móviles.

Cómo funciona una estafa: estafadores en sitios web de compra-venta de artículos personales


  David Jacoby       11 marzo 2015 | 16:27  MSK

Comentar  

Hoy en día en Suecia, nos estamos enfrentando a un gran problema con los estafadores que intentan comprar artículos en venta en varios sitios web de compra-venta; pero al ponerte en contacto con los supuestos compradores, las cosas se ponen feas y puedes terminar perdiendo tu dinero. Esto no es ninguna novedad, y la mayoría de estos sitios les han informado al respecto a sus usuarios, pero no llegan a explicarles en detalle cómo funcionan estas estafas, pues en sus Preguntas más frecuentes sólo les aconsejan tener cuidado. Y sabemos que hay muchas interrogantes de usuarios preocupados esperando una respuesta.

Desde que uno de estos estafadores intentó estafar a mi esposa, decidí seguir sus pasos y documentar todo el proceso, no sólo para denunciar el caso ante las autoridades, sino también para que nuestros lectores sepan cómo funcionan estas estafas. Una vez que sabes cómo funcionan, será mucho más fácil identificarlas y evitar caer en la trampa.

Entonces, déjame contarte la historia.

Le compramos a nuestra hija una nueva bicicleta, por lo que decidimos vender la que había estado usando en Blocket, el sitio web más importante para avisos personales (compra-venta) en Suecia.

Después de unos días, mi esposa recibió un SMS (que por desgracia se borró). El SMS provenía de un número en Polonia, y estaba escrito en muy buen inglés. El autor mostraba su interés en la bicicleta que ofrecíamos, pero quería más información, y le dio a mi esposa una dirección de correo electrónico. Le dije que NO respondiera por SMS sino por correo, porque a veces los ciberpiratas envían SMS para números de pago, lo que quiere decir que al responder al SMS te costará mucho más que un SMS corriente.

También le dije a mi esposa que fuera breve en su respuesta, lo que podemos ver en su mensaje inicial de respuesta, como se ve a continuación:

Como podemos observar, el supuesto interesado comienza a plantear preguntas válidas sobre la bicicleta, lo que significa que no se trata de un bot, sino de alguien real que está respondiendo al aviso. No tengo idea cómo seleccionan a sus víctimas, pero obviamente se trata de un proceso manual.

Decidimos continuar con el proceso, para ver el siguiente paso de la estafa, y respondimos con la información que pedía; también era posible de que no se tratase de un estafador sino de alguien legítimamente interesado en la bicicleta.

Fue después de este mensaje de correo que las cosas se pusieron feas. El supuesto interesado aceptó nuestra oferta, pero lo curioso fue que confirmara su identidad polaca. Mirando en las redes sociales se puede ver que su identidad parece ser polaca. Entonces, decidimos continuar.

Nos pidió nuestro nombre, datos de PayPal y el precio total, lo que obviamente le enviamos.

También nos dijo que cubriría los gastos de envío de la bicicleta, y que ya se había puesto en contacto con una compañía para ello.

Le enviamos la información y esperamos su respuesta. Su respuesta a todos los mensajes de correo fue MUY rápida; parecía como si hubiera muchas personas con acceso a la misma cuenta de correo, pero no pudimos confirmarlo. El mensaje de correo que nos envió justo antes de la transferencia del dinero, también incluía una dirección en Polonia. Esta dirección no ha sido confirmada, pero estamos tratando de averiguar quién vive en la dirección cuya captura de pantalla mostramos a continuación. A los pocos minutos nos confirmó que había realizado la transferencia, lo que podemos ver en la segunda captura de pantalla siguiente.

Recibimos dos mensajes de correo de algo que parecía ser PayPal, pero al mirar con detenimiento, se puede ver que el mensaje no proviene en absoluto de PayPal. Este es un truco muy astuto, pero común, que también se usa en ataques phishing.š Al observar el mensaje, se puede ver que proviene de service@e-pay-team.com, alojado en Google Mail.š Lo interesante de este mensaje es que también es muy posible que haya sido creado manualmente, porque contiene detalles como el precio que pedimos por la bicicleta.

Hasta ese momento, no se había transferido ningún dinero a mi cuenta PayPal; los mensajes eran falsos. A continuación, los estafadores intentaron que les transfiriera el coste del envío, en este caso 1700 SEK (unos 200 USD) desde nuestra cuenta a la compañía “P.S.S Logistics”. El proceso que mencionaron para transferir el dinero consistía en ir a una oficina de Western Union y hacer la transferencia a dicha compañía de transporte, pero si observamos con más cuidado los mensajes de correo que nos enviaron, en realidad la transferencia era a una persona. Existe una compañía llamada “P.S.S Logistics”, pero está registrada en Sudáfrica; los estafadores usaron este nombre, pero al hacer la transferencia, resulta que el dinero va a una persona llamada “Bamise Seon”, en Nigeria.

En este punto me pregunté si los estafadores estaban usando cuentas pirateadas, porque todas las personas referidas existen en las redes sociales. Por ejemplo, la persona que envía los mensajes de correo, con el nombre polaco "Pawel Dylewski”, se encuentra en Google Plus. Y la persona en Nigeria se encuentra en Facebook. Si miramos con detenimiento las capturas de pantalla de Facebook, veremos que hay dos identidades, una mujer y un varón, y ambos están mutuamente conectados por el mismo nombre. En la siguiente toma de pantalla, veremos el texto en inglés: “Send HER a friend request”, es decir, “envíale una solicitud de amistad”, pero HER significa "ella", lo que demuestra que se trata de una mujer. También podemos ver que ella tiene un amigo, alguien con el mismo nombre, pero con foto de perfil de un varón y más información.

Estoy en contacto con PayPal, Western Union, Google y las respectivas autoridades informándoles de mis hallazgos, pero también quiero compartir esta historia. Todos los que participan en la compra-venta de artículos en línea deben tener mucho cuidado con los detalles. Si el negocio parece demasiado bueno para ser verdad, en la mayoría de los casos lo es.

Resumiendo el esquema:

  1. ¿Has recibido un SMS de un comprador potencial con una dirección de correo electrónico de contacto incluida?
  2. En algunos casos, el SMS se envía desde un número de pago, de manera que al responder te cobrarán el servicio.
  3. Una vez que la conversación por correo comienza, el comprador quiere pagar mediante un servicio de pago electrónico, por ejemplo, PayPal, y ofrece el pago completo más los gastos de envío.
  4. Envían mensajes de correo FALSOS supuestamente provenientes de PayPal, indicando que el dinero se ha transferido a tu cuenta. Pero el dinero no se transferirá a tu cuenta hasta que hayas cerrado el trato.
  5. El trato sólo se cierra cuando transfieres el dinero para los gastos de envío a una compañía de transporte, por ejemplo, mediante Western Union.
  6. La compañía de transporte no existe, se trata de la cuenta personal del estafador, lo que significa que quieren que transfieras el dinero de tu propio bolsillo, con la promesa de que te rembolsarán el total (incluyendo el precio del artículo) en tu cuenta de PayPal.

Consejos útiles al ponerse en contacto con extraños por Internet:

  • Por favor, no uses SMS para la comunicación, porque los estafadores pueden usar números de pago para cobrarte mucho dinero.
  • Por favor verifica las direcciones de correo: por ejemplo, en este caso no provenía de “paypal.com”, sino de “e-pay-team.com”.
  • Nunca transfieras ni un centavo a nadie, y asegúrate siempre de haber recibido el pago ANTES de enviar el artículo que estás vendiendo.
  • Nunca pagues con tu tarjeta de crédito, a menos que estés absolutamente seguro de que el sitio web es legítimo; utiliza otros métodos seguros de pago electrónico, como PayPal.

P.D.: Vendimos la bicicleta hoy. A una persona real :)

Page Top  |  Archivo >>

 

Copyright © 1996 - 2015
Kaspersky Lab
Todos los derechos reservados

Correo electrónico: webmaster@viruslist.com