Todas las amenazas

Virus

Hackers

Spam

Todo el sitio    Sólo virus
  
Enciclopedia de virus
Alertas
Análisis
Noticias
Glosario
Bitácora

 
Archivo

<< 2014  
ene feb mar
abr may jun
jul    
     
Sobre los autores de la bitácora del analista antivirus
About Diary's Authors

La bitácora del analista antivirus es un weblog mantenido por los analistas antivirus de Kaspersky Lab, encabezado por Eugene Kaspersky. Lea más sobre los autores de esta bitácora

 

  Home / Bitácora

Bitácora del analista antivirus

Abuso de la vulnerabilidad elasticsearch en Amazon Cloud


  Kurt Baumgartner       29 julio 2014 | 11:22  MSK

Comentar  

Hace un par de semanas, mi colega Mikhail K publicó “Versatile Linux DDoS Trojan, un análisis de varios bots, incluyendo uno que implementa una extraordinaria funcionalidad de amplificación DNS en DDoS. Los operadores de estos bots siguen activos, y hemos detectado nuevas variantes del troyano que construye botnets grandes.

Exploremos algunos detalles ofensivos en las actividades de este grupo durante la semana pasada. En general, los troyanos DDoS atacan víctimas con perfiles atractivos para actividades ciberdelictivas. No hemos sabido nada de los blancos de los ataques, sólo de los sitios comprometidos. Las víctimas habían estado ejecutando Amazon EC2, pero por supuesto, esta plataforma no es la única atacada y abusada. Resulta interesante que los operadores de esta botnet al parecer no tuvieron problemas con sitios CN, como lo demuestra el uso del sitio que aloja sus herramientas desde fines de 2013. Siete de estas ocho herramientas se cargaron durante las dos últimas semanas, lo que coincide con sus renovadas actividades ofensivas. Su arsenal incluye un par de recientes códigos fuente de explotación de privilegios en Linux, posiblemente compilados en los hosts comprometidos sólo si se necesitan privilegios más elevados, junto a herramientas ofensivas sql compiladas, múltiples webshells y dos nuevas variantes de “bots versátiles”, de las cuales la de código “xudp” es la más reciente:

Pero primero, ¿cómo acceden a EC2 y ejecutan sus bots DDoS Linux desde la nube? Están explotando una vulnerabilidad conocida y reciente, elasticsearch, en todas las versiones 1.1.x (cve-2014-3120), que parece estar activa en aplicaciones comerciales activas en algunas organizaciones. Si sigues utilizando 1.1.x, debes actualizar a las últimas versiones 1.2 o 1.3, publicadas hace unos días. La escritura dinámica está desactivada por defecto, y se añaden otras funciones para facilitar la migración. Logramos detectar las primeras etapas de los ataques a partir de un par de incidentes con clientes afectados de Amazon EC2. Los atacantes modificaron el conocido código exploit prueba de concepto cve-2014-3120 para propagar un perl webshell que los productos de Kaspersky han detectado como Backdoor.Perl.RShell.c. Los administradores de Linux pueden buscar estos componentes maliciosos con nuestro producto para servidores.

Esto les ha permitido a los atacantes acceder al servidor mediante un bash shell. Wget recoge el script “pack.pl” en el web host de arriba y lo lleva a /tmp/zerl desde donde lo ejecuta, brindando así el acceso bash shell a los atacantes. Los eventos en tus registros index pueden revelar que tu servidor ha sido atacado:

En el mismo servidor remoto están alojados los bots DDoS, que se recogen mediante el perl webshell manteniendo nuevas cadenas cifradas c2, detectadas como Backdoor.Linux.Mayday.g. Una de las variantes incluye la funcionalidad de amplificación DNS que Mikhail describe en su publicación anterior. Pero la que se usa en EC2 comprometidos sobresaturó sitios sólo con tráfico UDP. El flujo es tan intenso que las víctimas del DDoS se vieron obligadas a transferir sus operaciones regulares de hosting de direcciones IP a una solución anti-DDoS.

El intenso flujo ha obligado a Amazon a notificar a sus clientes, quizás por la potencial e inesperada acumulación de sobrecargas excesivas de los recursos de sus clientes. La situación puede ser similar en otros proveedores de nube. La lista de víctimas de DDoS incluye un reconocido banco en EE.UU., y un importante fabricante de productos electrónicos y proveedor de servicios en Japón, lo que indica que los ciberdelincuentes tienen motivaciones financieras.


Desvelando la red de distribución de ‘AndroidOS.Koler’


  Global Research & Analysis Team (GReAT), Kaspersky Lab       28 julio 2014 | 12:00  MSK

Comentar  

A principios de mayo de 2014, un investigador de seguridad que se hace llamar Kaffeine hizo la primera mención pública de Trojan.AndroidOS.Koler.a, un programa chantajista que bloquea la pantalla de los dispositivos infectados y exige un rescate de entre 100 $ y 300 $ para desbloquearla. No cifra ningún archivo ni hace ningún tipo de bloqueo avanzado del dispositivo aparte de bloquear su pantalla.

¡El programa malicioso muestra un mensaje de la policía!

Tiene mensajes personalizados para los siguientes países:

Australia
Austria
Bélgica
Bolivia
Canadá
República Checa
Dinamarca
Ecuador
Finlandia
Francia
Alemania
Hungría
Irlanda
Italia
Letonia
México
Países Bajos
Nueva Zelanda
Noruega
Polonia
Portugal
Rumania
Eslovaquia
Eslovenia
España
Suecia
Suiza
Turquía
Reino Unido
Estados Unidos

Desde el 23 de Julio, la parte de la campaña referente al componente móvil está desmantelada, ya que el servidor de control ha empezado a enviar ordenes de “desinstalar2 a todas las víctimas.

En este artículo, en vez de concentrarnos en la aplicación en sí – recalcaremos algunos detalles al final – queremos sacar a la luz su infraestructura de distribución. Toda una red de sitios web pornográficos maliciosos vinculados a un sistema de distribución de tráfico que redirige a las víctimas para que reciban diferentes ataques que no sólo afectan a los usuarios de teléfonos móviles, sino también a cualquier otro visitante. Eso incluye redirecciones a programas chantajistas a través del navegador y lo que creemos que es una red de distribución del kit de explotación “Angler”.

El siguiente diagrama ilustra la infraestructura que se está usando.

Este es un resumen de los descubrimientos principales:


  • Distribución:      TDS (Traffic Distribution System)

  • Controlador principal:      video-sartex.us (TDS Controller)

  • Sitios pornográficos maliciosos (redirector):      49 dominios detectados

  • Sitios web que distribuyen el exploit kit:      700+ URLs (200+ dominios)

  • Dominios de bloqueo de pantalla basados en el navegador:      49 dominios detectados

  • Dominio de infección de teléfonos móviles:      video-porno-gratuit.eu

  • C2 actual de teléfonos móviles:      policemobile.biz.

  • Tráfico: Casi 200.000 visitantes al dominio que infecta los teléfonos móviles

  • 80% de visitantes de Estados Unidos

Que este programa chantajista que se hace pasar por la policía use una red pornográfica no es cuestión de azar: es más probable que las víctimas que buscan este tipo de contenido se sientan culpables y dispuestas a pagar la multa a las autoridades. Este factor psicológico puede marcar la diferencia entre el éxito y el fracaso de una campaña maliciosa.

Respecto a la aplicación para teléfonos móviles, hemos encontrado diferentes archivos de Paquetes de Aplicaciones Android (APK) que se comportaban igual. Algunos de ellos (que aún no se han distribuido en esta red maliciosa) tienen nombres interesantes como Pronhub.com.Apk, whatsapp.apk o updateflash.apk.

Esto indica que los atacantes podrían expandir sus operaciones en un futuro cercano.

Distribución de las amenazas para teléfonos móviles

Se infecta a los usuarios de teléfonos móviles cuando visitan sitios web pornográficos específicos desde un dispositivo Android. Estos sitios forman parte de la red de distribución de esta operación y redirigen a las víctimas a una página que contiene un archivo APK llamado <b>animalporn.apk</b>.

Todos los sitios pornográficos de la operación redirigen su tráfico al mismo servidor: hxxp://video-porno-gratuit.eu. Este dominio alberga el APK malicioso.

Al visitarlo, el sitio web redirige al usuario de forma automática a la aplicación maliciosa. El usuario todavía debe confirmar que quiere descargar e instalar la aplicación en su dispositivo.

Conseguimos estadísticas que muestran la distribución geográfica de los visitantes de este sitio malicioso:

Las mismas estadísticas muestran que la operación comenzó y llegó a su punto máximo de actividad en abril 2014.

Redirectores: La red pornográfica maliciosa

Los sitios pornográficos de la red no son sitios comprometidos. Todos parecen similares, tienen la misma estructura HTML y no ofrecen su propio material pornográfico.

Identificamos un total de 48 dominios en esta red de sitios pornográficos.

Casi todos los sitios web que se usaron en esta infraestructura se crearon usando la misma plantilla: en muchos casos, siguiendo la del sitio legítimo Tubewizardpro y usando Webloader para obtener los recursos externos.

Todo el contenido (principalmente fotos y videos) de estos sitios se carga de fuentes externas usando Webloader.

En esencia, todos los sitios pornográficos redirigen al dominio “controlador” videosartex.us.

Después, Videosartex.us redirige al usuario según los parámetros en la URL, el referrer, el user agent y la ubicación geográfica de la IP del visitante.

Si la IP pertenece a cualquiera de los 30 países afectados y el cliente utiliza un dispositivo Android, se redirige al visitante al APK de video-porno-gratuit.eu.

En otros casos, se redirige al usuario a un sitio pornográfico de la red, a un bloqueador de pantalla mediante una ventana emergente del navegador o a un kit de explotación. Los atacantes usan el Sistema de Distribución de Tráfico (TDS) Keitaro para redirigir a los usuarios.

Amenazas no móviles

Durante nuestro análisis, nos dimos cuenta de que algunos dominios mostraban ventanas emergentes con programas chantajistas a los usuarios que no se conectaban desde teléfonos móviles. Estos servidores adicionales se emplean cuando el controlador (videosartex) detecta las siguientes dos condiciones:


  • La solicitud no contiene un cliente de Internet Explorer.

  • La solicitud proviene de uno de los 30 países afectados, pero no contiene un cliente de Android.

En este caso, se redirige a la víctima a cualquiera de los sitios chantajistas del navegador, mientras que se muestra en el ordenador de la víctima una pantalla de bloqueo idéntica a la que se usa para móviles. En este caso no hay ninguna infección, sólo una ventana emergente que muestra la plantilla de bloqueo.

Las siguientes imágenes son ejemplos de los encabezados utilizados en las ventanas emergentes del programa chantajista:



Kits de explotación

La infraestructura de redirección que se usó en la campaña tenía una sorpresa final: redirigía a los usuarios que usaban Internet Explorer a sitios que alojaban el kit de explotación Angler, que tiene exploits para Silverlight, Adobe Flash y Java.

A continuación se puede ver un ejemplo de esta redirección:

<html>

<head>

<meta http-equiv="REFRESH" content="1; URL='hxxp://antimicrobial.trentonmennonite.org:2980/hbwtfklh30.php/'">

<script type="text/javascript">window.location = "http://antimicrobial.trentonmennonite.org:2980/hbwtfklh30.php";</script>

</head>

<body>

The Document has moved <a href="hxxp://antimicrobial.trentonmennonite.org:2980/hbwtfklh30.php">here</a>

</body>

</html>


Detectamos más de 200 dominios que se han estado usando para albergar este kit de explotación.

Durante nuestro análisis, el código del exploit no estaba del todo funcional y no entregó ninguna carga nociva.

Conclusiones

Los programas chantajistas para dispositivos móviles aparecieron en casi todas las listas de predicciones para 2014. En este caso no se trata de una de las familias más complejas, como es el caso de Cryptolocker para Windows. El programa es bastante básico, pero suficiente para molestar a su víctima.

Lo más interesante es la red de distribución que se usó en la operación. Decenas de sitios web generados automáticamente redirigen el tráfico a un foco central desde donde se vuelve a redirigir a los usuarios. Dependiendo de varias condiciones, la segunda vez se lo puede redirigir a una aplicación maliciosa de Android, a un programa chantajista mediante una ventana emergente en el navegador o a un sitio web con el kit de explotación Angler.

Creemos que esta infraestructura demuestra lo bien organizadas y peligrosas que son estas operaciones, que ahora están atacando a los usuarios de Android, aunque no son su único blanco. Los atacantes pueden crear una infraestructura similar con rapidez gracias a una automatización completa, cambiando el código malicioso que distribuyen o atacando a diferentes objetivos. Los atacantes también han pensado en varias maneras de ganar dinero con sus operaciones en un esquema que incluye varios tipos de dispositivos.

Bajo fuego APT


  Kurt Baumgartner       23 julio 2014 | 18:16  MSK

Comentar  

Durante la anterior década, los ataques APT se enfocaron intensamente en usuarios corporativos e individuales en toda India. Su creciente desarrollo tecnológico, su ubicación geográfica y sus fronteras, sus características políticas, y su cada vez mayor peso económico hacen de esta nación un blanco atractivo para los ciberdelincuentes. La lista de grupos que lanzan ataques APT contra organizaciones indias, por desgracia, es bastante extensa. Sólo por mencionar algunos, citaremos a Gh0stNet, Shadownet, Enfal, Red October, NetTraveler, LuckyCat, Turla, Mirage, y Naikon. Pero hay muchos más. Y, en casos únicos, hemos visto nuevas e inusuales técnicas, como las utilizadas para infiltrar dispositivos móviles (atacantes Chuli), los ataques de Sabpub contra dispositivos con plataforma OS X, varios efectivos ataques ‘abrevadero’, y las usualmente ruidosas actividades dirigidas que esperaríamos de la mayoría de estos actores.

En marzo de este año, vimos un aumento en los ataques contra organizaciones indias relacionadas con políticas gubernamentales, económicas y medioambientales. Este equipo ha estado atacando estas organizaciones por años con una singular técnica de ataque WMI que no pierde su efectividad. Los componentes se conocen como WMIGhost o Shadow. Estos atacantes, como otros actualmente activos, suelen reutilizar temas geopolíticos coyunturales como spearphishing para establecer una cabecera de playa en las organizaciones atacadas. Por ejemplo, en un ataque en marzo de este año, se utilizó una inminente reunión entre los laboratorios de energía nacionales y los departamentos de energía como carnada spearphishing, hasta con errores ortográficos en el nombre del archivo: "India US strategic dialouge press release.doc" (000150415302D7898F56D89C610DE4A9).

A partir de ahí, la cadena del componente y el descargador es la misma que utilizaron con anterioridad. El exploit descarga "dw20.exe" (803e8f531989abd5c11b424d8890b407) --> "gupdate.exe" (481f8320b016d7f57997c8d9f200fe18) y "~tmpinst.js" (6a279a35141e9a7c73a8b25f23470d80). El script define objetos WMI para comunicaciones junto a sus instrucciones en un sitio wordpress cifradas al estilo de Comment Crew para desviar el troyano puerta trasera al servidor de comando y control apropiado en espera de instrucciones.

Junto a otros grupos, WMIGhost ataca activamente a blancos indios. En otra reciente campaña de WMIGhost en este año, se envió simultáneamente a varios blancos indios un falso documento militar no clasificado con la consistente cadena de herramientas de WMIGhost, "united states air force unmanned aircraft systems flight plan 2009-2047.doc".

Observamos otros ataques en todo el territorio contra agencias gubernamentales y militares, ONGs, subcontratistas y desarrolladores de tecnología, y una lista creciente de blancos.

De estos grupos, hasta la fecha, NetTraveler ha sido el más prolífico, y de varias formas el más exitoso en la extracción de grandes volúmenes de datos. El equipo de NetTraveler puso mucho esfuerzo y atención para extraer datos de organizaciones indias. NetTraveler está robando gigabytes de datos de sus víctimas en todo el mundo, muchas de ellas en India. Aquí mostramos un ejemplo de la carnada que utilizaron para su spearphish desplegado en India. El contenido abarca temas políticos indios vigentes en el momento de su distribución:

Mientras tanto, otros grupos se encuentran trabajando en la extracción de más datos en India. Muchas organizaciones indias a todo nivel están sufriendo severos daños ocasionados por el spearphish y ataques contra servidores, y no se vislumbra su fin.

Un vistazo al troyano Shylock/Caphaw


  15 julio 2014 | 12:49  MSK

Comentar  

Kaspersky Lab

Hace poco, Kaspersky Lab contribuyó a una alianza entre autoridades gubernamentales y organizaciones de la industria para tomar las medidas debidas en contra de los dominios de Internet y servidores que forman el centro de una infraestructura cibercriminal avanzada que usa el troyano Shylock para atacar los sistemas de bancos en Internet de todo el mundo.

Shylock es un troyano bancario que se descubrió por primera vez en 2011. Utiliza ataques de intermediario en el navegador (man-in-the-browser) diseñados para robar las credenciales de acceso a cuentas de bancos desde los ordenadores de los clientes de una lista predeterminada de organizaciones. La mayoría de estas organizaciones son bancos ubicados en diferentes países.

Los productos Kaspersky Lab detectan el malware Shylock como Backdoor.Win32.Caphaw y Trojan-Spy.Win32.Shylock.

Detectamos este programa malicioso de forma genérica desde fines de agosto de 2011 como Backdoor.Win32.Bifrose.fly. La detección específica de esta familia en particular se agregó en febrero de 2012. Desde entonces, hemos detectado muy pocos ejemplares: alrededor de 24.000 intentos de infectar ordenadores protegidos por Kaspersky Lab en todo el mundo.

Son números muy modestos, en especial si se los compara con otros programas bancarios infames como ZeuS, SpyEye y Carberp, que han generado (y algunos de ellos, como ZeuS, siguen generando) decenas o cientos de miles de detecciones. Por supuesto, estas cifras no nos dicen todo sobre cuán expandido está Shylock o cuán efectivos son sus ataques, porque Kaspersky Lab “ve” sólo una parte de la cantidad total de usuarios, sólo a aquellos que usan nuestros productos.

Pero su baja popularidad no hace que Shylock sea menos peligroso. Las técnicas siniestras que utiliza no son menos peligrosas que las que emplean otros programas similares. Puede inyectar su cuerpo en múltiples procesos en ejecución, tiene herramientas que evitan la detección de programas antivirus, utiliza plugins que agregan funciones maliciosas adicionales para burlar los programas antivirus, recolecta contraseñas para servidores ftp, se propaga mediante servicios de mensajería y servidores, consigue acceso remoto al equipo infectado, puede grabar videos e inyectar sitios web.

Utiliza esta última función para robar las credenciales de acceso a cuentas bancarias por Internet inyectando campos de entrada falsos en la página web del navegador de su víctima.

En todo este periodo hemos visto dos picos relativamente altos en las tasas de detección de este malware.

El primero fue en noviembre de 2012 y el segundo en diciembre de 2013.

La distribución geográfica de los picos de noviembre 12 fue así:

Reino Unido
Italia
Polonia
Federación Rusa
México
Tailandia
Irán
Turquía
India
España

La tabla de arriba muestra los 10 países en los que se registraron más ataques del programa Shylock. Poco más de un año después, en diciembre 2013, la imagen había dado un vuelco dramático.

Brasil
Federación Rusa
Vietnam
Italia
Ucrania
India
Reino Unido
Bielorrusia
Turquía
Taiwán

Como se ve en estas tablas, los criminales responsables de este programa dejaron de prestar tanta atención a los mercados de monedas virtuales desarrollados del Reino Unido, Italia y Polonia para concentrarse en los que se están desarrollando de un modo más activo en Brasil, Rusia y Vietnam. También es interesante que ambos picos ocurrieron a finales de otoño y comienzos de invierno, una temporada donde las ventas suben en muchos países del mundo.

Datos de Europol indican que este programa ha infectado más de 30.000 ordenadores en todo el mundo. Es una escala que puede causar importantes daños financieros, por lo que el desmantelamiento de Shylock es una muy buena noticia.

Y, por si esto fuera poco, la operación reciente, coordinada por la Agencia de Crimen Nacional (NCA) del Reino Unido, unió a miembros del sector público y privado, incluyendo – además de Kaspersky Lab – a la EUROPOL, el FBI, BAE Systems Applied Intelligence, Dell SecureWorks y el Cuartel General de Comunicaciones del Gobierno (GCHQ) del Reino Unido para combatir juntos. Nosotros, en Kaspersky Lab, nos sentimos honrados de haber podido hacer una modesta contribución a esta operación. Las acciones globales traen resultados positivos, y la operación contra Shylock es un claro ejemplo de ello.

Nuevos gTLDs, viejos ataques


  Fabio       14 julio 2014 | 18:11  MSK

Comentar  

Cibercriminales en todo el mundo han comenzado a apuntar sus ataques hacia los nuevos gTLDs, “Dominios genéricos de Nivel Superior”, aprobados por la ICANN (La Corporación de Internet para la Asignación de Nombres y Números), que los registradores de dominios están ofreciendo a los interesados en comprar un nuevo nombre de dominio. Hace poco descubrimos nuevas actividades maliciosas, como amenazas de programas maliciosos y estafas virtuales, en los dominios de nivel superior .club, .berlin, .blue, .computer, .camera, .futbol, .link, .pink, .report, .travel, .vacations y .xyz.

Los nuevos gTDLs que la ICANN y los registros aprobaron hace poco están en oferta como una alternativa para quienes se hayan aburrido de los dominios .com y .org tradicionales y quieran más posibilidades a la hora de registrar dominios de Internet. Prepárate para ver sitios web como “funny.dance”, “joe.dentist” y hasta “my.creditcard” .

Según nTLDStats.com , se ha registrado más de 1,4 millones de dominios con estos nuevos gTLDs:

Ahora hay más de 322 nuevos dominios de nivel superior otorgados por la ICANN, entre los que han ganado popularidad los dominios .xyz (designado en febrero de 2014), .berlin y .club (ambos designados en enero de 2014):

Los estafadores brasileños y los okupas de dominios tienen un interés particular en estos nuevos gTLDs y ya han registrado muchos dominios nuevos usando nombres de marcas locales de bancos, tiendas virtuales y compañías de tarjetas de crédito. Por ejemplo:


  • cielo-seucartaobateumbolao.xyz

  • megasaldao-americanas.xyz

  • lojadoricardoeletro.xyz

  • hsbc.club

  • santander.club

  • bradesco.club

  • ricardoeletro.club

  • ricardoeletro.computer

  • ricardoeletro.camera

Se registraron estos dominios para usarlos en estafas virtuales, así que no es ninguna sorpresa que la información de registro en las bases de datos "whois" sea falsa:

El malware también ha entrado en juego. Conocemos casos de cibercriminales que han utilizado estos dominios para alojar sus paquetes de exploits – el investigador de seguridad Frank Denis ha informado que el paquete de exploits Nuclear está utilizando los gTLDs .blue, .pink, .futbol y .report.

Pero los criminales brasileños no son los únicos que se sienten atraídos hacia los nuevos gTLDs: los usuarios maliciosos anglosajones han demostrado un interés similar al haber creado un dominio fraudulento en el que venden monedas para juegos de internet como Fifa '14.

Otros estafadores virtuales ya han comenzado sus operaciones fraudulentas, aunque sea usando TLDs más antiguos como .travel (que comenzó en 2005), como puedes ver en el siguiente dominio malicioso que aloja una estafa para los clientes de un banco brasileño:

Si eres un usuario regular de Internet, debes estar consciente de que los enlaces a gTLDs que aparecen en correos electrónicos y redes sociales pueden ser tan peligrosos como los tradicionales. Si tienes una compañía, sería una buena idea que inicies un proceso de vigilancia de tu marca para asegurarte de que el nombre de tu compañía no se esté utilizando en operaciones maliciosas con estas nuevas TLDs.

Los usuarios de Kaspersky están protegidos contra todos estos ataques.


Petición falsa en defensa de Suárez engaña a los usuarios y sus amigos


  Nadezhda Demidova       10 julio 2014 | 10:45  MSK

Comentar  

La semana pasada descubrimos un método interesante para distribuir enlaces que dirigen a una página de phishing que recolecta los datos personales de los usuarios.

El Mundial de fútbol de la FIFA en Brasil no sólo atrae a fanáticos de todo el mundo, también es de gran interés para los cibercriminales. La página fraudulenta está diseñada para imitar el sitio web de la FIFA. Allí se pide a los visitantes que firmen una solicitud en defensa de Luis Alberto Suárez, delantero de la selección uruguaya. (El 24 de junio, en el partido entre Uruguay e Italia, Suarez mordió al defensor italiano Giorgio Chiellini en el hombro. Como sanción, la FIFA descalificó a Suarez de nueve juegos en la selección nacional y le prohibió la participación en todas las actividades relacionadas al fútbol por cuatro meses. También lo castigó con una multa).

Para firmar la petición, el usuario debe llenar un formulario con su nombre, país de residencia, número de teléfono móvil y dirección de correo electrónico.


Página fraudulenta que pide a los fanáticos que firmen una petición

La página fraudulenta imita el diseño del sitio oficial de la FIFA y todos sus enlaces redirigen a fifa.com. El dominio se creó el 27 de junio de 2014. La base de datos whois indica que está registrado a nombre de una persona que reside en Londres. Los estafadores crearon el formulario para recolectar datos en Google Docs. La información que recopilan se puede emplear para enviar spam, phishing, mensajes SMS y aplicaciones maliciosas. Es más, si los cibercriminales están armados con las direcciones de correo y números de teléfono de los usuarios, pueden lanzar ataques dirigidos con programas troyanos para infectar los ordenadores y teléfonos móviles de sus víctimas. Esta técnica se utiliza para burlar la autentificación de dos factores de los sistemas de bancos en línea cuando envían una contraseña desechable por SMS.

Después de llenar el formulario de "petición", las víctimas pueden compartir el enlace con sus amigos de Facebook:


Ventana que pide a los usuarios que compartan el enlace a la “petición” con sus amigos


Ventana emergente de Facebook

Los fanáticos, entusiasmados, compartieron los enlaces a la petición falsa en sus páginas de Facebook. Es así como el enlace fraudulento tardó sólo días en propagarse en la red social.


Ejemplo de un usuario desprevenido compartiendo el enlace a la página fraudulenta en una red social

También se encontraron mensajes con enlaces a la página en foros sobre fútbol, donde deben haberse comenzado a difundir antes de llegar a las redes sociales.


Brechas en la defensa de la red corporativa: servicios “en la nube”


  Kirill Kruglov        9 julio 2014 | 15:00  MSK

Comentar  

En la lista de las aplicaciones más difundidas de los servicios “en la nube” entran: almacenamiento de imágenes escaneadas del pasaporte y otros documentos personales; sincronización de bases de datos de contraseñas, contactos y cartas; almacenamiento de diferentes versiones de códigos fuente, etc. Cuando el servicio de almacenamiento de datos “en la nube” Dropbox notificó que había neutralizado una vulnerabilidad en el generador de enlaces, en Internet se empezó a hablar de nuevo de la importancia que tiene cifrar los datos confidenciales antes de almacenarlos en algún recurso, incluso si se trata de uno privado. El cifrado de datos (FLE) de verdad permite garantizar la defensa de la información confidencial “en la nube”, incluso si se descubren vulnerabilidades en el control de acceso a los documentos de los usuarios en uno u otro servicio.

Podría parecer que si no se guardan datos secretos “en la nube” o se los cifra, no habría ningún riesgo. Pero… ¿es así? La realidad ha demostrado que no lo es del todo.

En Internet encontramos con frecuencia recomendaciones de cómo “usar con efectividad los servicios de almacenamiento de ficheros en la nube”, por ejemplo: instrucciones de administración remota de equipos, vigilancia del equipo durante la ausencia del dueño, administración de descargas torrent y muchas más. En otras palabras, son los mismos usuarios quienes crean toda clase de brechas que usan con facilidad los troyanos, gusanos, y con más razón lo hackers, sobre todo si se trata de ataques selectivos.

No hicimos la pregunta ¿cuán grande es el riesgo de que una red corporativa se contagie mediante un servicio “en la nube”?

En la conferencia Black Hat 2013 Jacob Williams), científico en jefe de CSRgroup Computer Security Consultants dio una ponencia sobre el uso de Dropbox para penetrar en la red corporativa. Durante la ejecución de una prueba de penetración hecha a pedido (pen test) Jacob usó un cliente thin de Dropbox instalado en un portátil que se encontraba fuera de la red corporativa para propagar software malicioso en los dispositivos que estaban dentro de la red.

Al principio, usando phishing, Jacob infectó el portátil de un empleado y más adelante incrustó scripts maliciosos en los documentos almacenados en el directorio “en la nube” del equipo. Dropbox actualizó automáticamente (sincronizó) los documentos infectados en todos los dispositivos relacionados con la cuenta del usuario. En este sentido Dropbox no es el único sistema que tiene este comportamiento: la función de sincronización automática está presente en todas las aplicaciones populares de acceso a servicios “en la nube”, entre ellas Onedrive (Skydrive), Google Disk, Yandex Disk, etc.

Cuando el usuario abrió el documento infectado en su equipo de trabajo, dentro de la red corporativa, los scripts incrustados en el documento instalaron en el sistema el backdoor DropSmack, creado por Jacob especialmente para esta prueba de penetración. Como se puede adivinar por su nombre, la función clave de DropSmack es usar el sistema Dropbox como canal de administración del backdoor y enviar los documentos corporativos al mundo externo a través del cortafuegos corporativo.


Esquema del experimento de Jacob Williams

El método de penetración en la red corporativa usado por Jacob durante la prueba sorprende por su simplicidad… sí, es una brecha evidente.

Nosotros decidimos verificar si los verdaderos delincuentes usan Dropbox, OneDrive, Yandex Disk y Google Disk para propagar software malicioso. Habiendo recopilado información de KSN sobre las detecciones de malware en los directorios “en la nube” de los equipos de los usuarios de los productos de Kaspersky Lab descubrimos que estas infecciones se registraron en un número muy pequeño de usuarios: en mayo de 2014 sólo 8700 personas se toparon con infecciones de sus directorios “en la nube”. Entre los usuarios domésticos de los productos de Kaspersky Lab estos programas maliciosos representaron el 0,42% de todas las detecciones, y el 0,24% entre los usuarios de los programas corporativos.

Es necesario remarcar un importante detalle: si el programa malicioso ingresa a la nube desde un dispositivo, todos los otros dispositivos vinculados a la cuenta infectada lo descargarán usando el protocolo HTTPS. Incluso si en uno de los dispositivos el antivirus detecta y elimina la infección en el directorio sincronizado, el software cliente, cumpliendo su deber, luchará contra la desincronización descargando una y otra vez el malware de “la nube”.

Según nuestros datos, cerca del 30% del software malicioso detectado en los directorios “en la nube” en los equipos domésticos ingresa mediante mecanismos de sincronización. Entre los usuarios corporativos este índice alcanza el 50%. De esta manera, el mecanismo usado por el software en la prueba de Jacob Williams conduce a infecciones en la vida real. Por suerte, todavía no hemos detectado ataques selectivos que usen los servicios de almacenamiento de datos “en la nube”.

Entre el software malicioso que hemos detectado en los directorios “en la nube” en los ordenadores de los usuarios predominan los ficheros de formatos Win32, MSIL, VBS, PHP, JS, Excel, Word y Java. Merece la pena mencionar que entre los usuarios domésticos y corporativos existe una pequeña diferencia: en los equipos de los primeros se detectan con mayor frecuencia ficheros MS Office infectados, en los de los segundos en la lista hay unas criaturas peculiares: aplicaciones maliciosas para Android.

TOP 10 de veredictos:

 

Usuarios particularesUsuarios corporativos
1Email-Worm.Win32.Runouce.bEmail-Worm.Win32.Brontok.dam.a
2Email-Worm.Win32.Brontok.qVirus.Win32.Sality.gen
3not-a-virus:AdWare.Win32.RivalGame.krVirus.Win32.Tenga.a
4Virus.Win32.Nimnul.aTrojan-Dropper.VBS.Agent.bp
5Trojan-Clicker.HTML.IFrame.agaTrojan.Win32.Agent.ada
6Exploit.Win32.CVE-2010-2568.genTrojan.Win32.MicroFake.ba
7Virus.Win32.Sality.genExploit.Win32.CVE-2010-2568.gen
8Worm.Win32.AutoRun.dtbvWorm.Win32.AutoRun.dtbv
9Trojan-Dropper.VBS.Agent.bpTrojan.Win32.Qhost.afes
10Trojan.Win32.Genome.vqzzVirus.Win32.Nimnul.a

En la mayoría de los casos los escritores de virus no usan los sistemas de almacenamiento “en la nube” como plataforma de distribución, sino como hospedaje para programas maliciosos. Durante la investigación no encontramos ni un solo gusano o backdor (sin contar a DropSmack) especialmente dirigido a los sistemas de almacenamiento de ficheros “en la nube”. Por supuesto, los servicios en sí tratan de luchar activamente con los programas maliciosos que usan el espacio libre en “la nube”. Además, el hospedaje de programas maliciosos ejerce una influencia negativa en la reputación de los servicios, a pesar de que estos no asumen responsabilidad sobre qué ficheros guardan los clientes en el sistema. Es evidente que el escaneo regular de todos los ficheros contenidos en la nube exigiría demasiados recursos, que los servicios prefieren usar para almacenar ficheros.

El resultado de la investigación llevada a cabo es la comprensión de que el riesgo de infección de la red corporativa mediante sistemas de almacenamiento en la nube es comparativamente pequeño: durante un año uno de cada mil usuarios corporativos que usen sistemas en la nube corre el riesgo de infectarse. Pero hay que tomar en cuenta que en algunos casos incluso un caso aislado de infección de un equipo en la red corporativa puede provocar daños graves.

Para proteger la red corporativa se pueden usar los siguientes métodos:

  • Apretar las tuercas en el cortafuegos o IDS, bloquear el acceso a los servidores de servicios conocidos. Un gran defecto de este método es que ocupa muchos recursos: hay que estar atento a la aparición de nuevos candidatos para la lista negra.
  • Instalar una suite de seguridad multifuncional que incluya un antivirus heurístico y de comportamiento, funciones de limitación de acceso (HIPS), control del funcionamiento del sistema operativo (System Watcher o Hypervisor), protección contra la explotación de vulnerabilidades, etc. Y es necesario configurar todo esto con mucho cuidado.
  • Debido a que incluso la suite de seguridad más sofisticada puede dejar pasar APT, hay que prestar atención a la tecnología de control de aplicaciones (en el modo “prohibido por defecto”). En nuestra opinión este es uno de los métodos más seguros de bloquear cualquier software desconocido (incluso el que se usa durante los ataques específicos). La tarea más compleja que surge durante la implementación del Control de aplicaciones es la configuración de las reglas que haga que todas las aplicaciones permitidas puedan ejecutarse y actualizarse sin problemas. Con este objetivo los fabricantes de productos que tengan la función Control de aplicaciones han desarrollado instrumentos especiales: la función de actualización del software mediante programas de confianza, listas blancas predeterminadas de software que incluyen todos los ficheros del sistema y del usuario, acceso a enormes servicios en la nube y bases de información sobre toda la diversidad de software “blanco”.
  • En casos especiales hay que usar el Control de aplicaciones para limitar el uso de servicios en la nube en la red local, es decir, permitir la ejecución de aplicaciones de sincronización de directorios en la nube solo a los empleados de confianza.

Y para los sistemas más cerrados, aquellos que controlan el funcionamiento de centrales eléctricas, sistemas de agua potable, o que guardan secretos de estado, o que permiten lanzar misiles intercontinentales recomendamos no utilizar de ninguna forma los servicios de almacenamiento en la nube.


Miniduke ha vuelto: Nemesis Gemina y el Botgen Studio


  Global Research & Analysis Team (GReAT), Kaspersky Lab        8 julio 2014 | 13:00  MSK

Comentar  

Una actualización de 2014 para conocer las novedades de una de las operaciones de Amenazas Persistentes Avanzadas (APT) más inusuales

En 2013, junto a nuestros socios de CrySyS Lab, dimos a conocer nuestra investigación sobre un nuevo actor de APT que llamamos “Miniduke”. Se destacaba de las demás APTs por muchas razones, entre ellas:

  • Su uso de una puerta trasera personalizada escrita en Assembler (¿quién sigue usando Assembler en la era de Java y .NET?)
  • Un mecanismo de comando y control único que emplea múltiples rutas de redundancia, incluyendo cuentas de Twitter
  • La transferencia sigilosa de actualizaciones en forma de ejecutables escondidos dentro de archivos GIF (una forma de esteganografía)

Ya hemos indicado que esta amenaza empleaba malware que se había desarrollado utilizando técnicas de escritura de virus anticuadas.

Los investigadores de CIRCL/Luxemburgo y otras compañías antivirus continuaron nuestro análisis. Hace poco, nos enteramos de que F-Secure había publicado un estudio sobre la misma amenaza (a la que llama "CosmicDuke”).

Desde que nuestros informes salieron a la luz en 2013, las operaciones de Miniduke se han detenido o, al menos, su intensidad ha bajado. Sin embargo, a principios de 2014 reinició sus ataques con fuerza y volvió a llamar nuestra atención.

Creemos que es hora de revelar más información sobre sus operaciones.

El “viejo” Miniduke en 2014

Las viejas versiones de Miniduke de 2013 siguen dando vueltas en la red y se están utilizando en ataques actuales.

Sigue dependiendo de cuentas de Twitter que tienen una URL de Comando y Control que dirige al servidor C&C. Esta es una de estas cuentas en febrero de 2014:

Aunque el formato de la URL de C&C ha cambiado en relación a las variantes anteriores, el algoritmo de codificación es el mismo. La línea de arriba se puede decodificar para obtener la URL de C&C completa:

hxxp://algherolido.it/img/common/thumb/thumb.php

La URL decodificada era una C&C activa, de la cual se obtuvieron varias actualizaciones:

Actualización 1:

MD593382e0b2db1a1283dbed5d9866c7bf2
Tamaño705536 bytes
Fecha de compilaciónSat Dec 14 18:44:11 2013

Este troyano es pesado porque se compiló con un empaquetador personalizado. La compilación tiene una cadena de caracteres de depuración específica en su interior:

C:\Projects\nemesis-gemina\nemesis\bin\carriers\ezlzma_x86_exe.pdb

El paquete ejecuta un módulo del troyano de menor tamaño:

MD5b80232f25dbceb6953994e45fb7ff749
Tamaño27648 bytes
Fecha de compilaciónWed Mar 05 09:44:36 2014
C&Chxxp://rtproductionsusa.com/wp-includes/images/smilies/icon_gif.php

Otra actualización que se detectó en el servidor C&C es:

Actualización 2:

MD57fcf05f7773dc3714ebad1a9b28ea8b9
Tamaño28160 bytes
Fecha de compilaciónFri Mar 07 10:04:58 2014
C&Chxxp://tangentialreality.com/cache/template/yoo_cache.php

Hemos encontrado un troyano similar, aunque no se encuentra en el C&C:

MD5edf7a81dab0bf0520bfb8204a010b730,
ba57f95eba99722ebdeae433fc168d72 (dropped)
Tamaño700K, 28160 (dropped)
Fechas de compilaciónSat Dec 14 18:44:11 2013 (top)
Fri Jan 10 12:59:36 2014 (dropped)
C&Chxxp://store.extremesportsevents.net/index.php?i=62B...[snip]

El uso del empaquetador Nemesis Gemina en las cargas explosivas de Miniduke nos hizo buscar más ejemplares en nuestra colección. Así descubrimos muchas cosas nuevas.

El “nuevo” malware Miniduke (el “CosmicDuke”)

Parece que, después de haber sido expuesto en 2013, el creador de Miniduke pasó a usar otra puerta trasera personalizada que le permite robar información de varios tipos.

El programa malicioso falsifica aplicaciones populares diseñadas para ejecutarse en un segundo plano, incluyendo información sobre los archivos, íconos y hasta el tamaño del archivo:

La "nueva” puerta trasera principal Miniduke (conocida como TinyBaron o CosmicDuke) está compilada utilizando un marco personalizable llamado "BotGenStudio", que permite activar/desactivar los componentes de forma flexible cuando se construye el bot.

Los componentes pueden dividirse en 3 grupos:

  1. Persistencia
  2. Reconocimiento
  3. Exfiltración

Persistencia

Miniduke/CosmicDuke puede iniciarse mediante Windows Task Scheduler, por medio de un binario de servicio personalizado que genera un nuevo proceso ubicado en la llave de registro especial, o cuando el usuario no está usando el equipo y se activa el protector de pantalla.

Reconocimiento

El malware puede robar una variedad de información, incluyendo archivos que escoge en base a sus extensiones y palabras clave en su nombre:

*.exe;*.ndb;*.mp3;*.avi;*.rar;*.docx;*.url;*.xlsx;*.pptx;*.ppsx;*.pst;*.ost;*psw*;*pass*;
*login*;*admin*;*sifr*;*sifer*;*vpn;*.jpg;*.txt;*.lnk; *.dll;*.tmp;*.obj;*.ocx;*.js

Nota: Creemos que las palabras clave “*sifr*” y “*sifer*” de arriba se refieren a la transliteración de la palabra ingresa "Cypher" en algunos idiomas.

La puerta trasera también tiene muchas otras capacidades, como:

  • Capturador de teclado (keylogger)
  • Ladrón de contraseñas de Skype
  • Recolector de información general de la red
  • Capturador de pantalla (captura imágenes cada 5 minutos)
  • Capturador del portapapeles (captura los contenidos del portapapeles cada 30 segundos)
  • Ladrón de Microsoft Outlook y Windows Address Book
  • Ladrón de contraseñas de Google Chrome
  • Ladrón de contraseñas de Google Talk
  • Ladrón de contraseñas de Opera
  • Ladrón de contraseñas de TheBat!
  • Ladrón de contraseñas de Firefox, Thunderbird
  • Recolector de datos almacenados en Drives/location/locale/installed software
  • Recolector de información de la red/adaptador WiFi
  • Recolector de los secretos guardados por LSA
  • Recolector de los secretos guardados en Almacenamiento Protegido
  • Exportador de certificados/llaves privadas
  • Recolector de historiales de URL
  • Recolector de secretos de InteliForms
  • Recolector de los secretos guardados por autocompletar de IE y Outlook Express
  • Y más…

Exfiltración

El programa malicioso emplea varios métodos para exfiltrar información, incluyendo subir datos mediante FTP y tres variantes de mecanismos de comunicación basados en HTTP. Varios conectores HTTP diferentes actúan como asistentes, probando diferentes métodos por si las reglas de seguridad locales o los programas de seguridad del equipo restringen alguno. Estos tres métodos son:

  • Conexión directa a un TCP y a una sesión HTTP mediante la biblioteca Winsock
  • Sesión HTTP mediante Urlmon.dll
  • Sesión HTTP mediante casos invisibles de Internet Explorer como objeto OLE

Implementación

Cada víctima recibe una ID única que le permite publicar actualizaciones específicas para una víctima en particular. Como hemos dicho, Miniduke/CosmicDuke está protegido con un cargador ofuscado personalizado que consume muchos recursos del CPU durante 3 a 5 minutos antes de ejecutar la carga explosiva. Esto no sólo complica el análisis del malware, también agota los recursos reservados para la ejecución en los emuladores de los programas de seguridad. Además de tener su propio ofuscador, hace mucho uso de algoritmos de cifrado y compresión basados en RC4 y LZRW, respectivamente. La implementación de estos algoritmos tiene pequeñas diferencias con el código estandarizado, lo que hasta puede parecer un error. Pero creemos que estos cambios se hicieron a propósito, para de confundir a los investigadores.

Una de las partes con mayor avance técnico de Miniduke es el almacenamiento de datos. La configuración interna del malware está cifrada, comprimida y serializada como una compleja estructura similar a la de un registro que tiene varios tipos de informes, incluyendo cadenas de caracteres, números enteros y referencias internas. Además, Miniduke utiliza un método inusual para guardar los datos exfiltrados. Antes de subir un archivo al servidor C&C, se divide en pequeñas partes de alrededor de 3KB que se comprimen, cifran y guardan en un contenedor. Si el archivo de origen es grande, se guarda en cientos de contenedores que se suben de forma individual. Es probable que se realice un análisis sintáctico de estas partes, se descifren, desempaquen, extraigan y se vuelvan a ensamblar en el lado del atacante. Este método se utiliza para subir capturas de pantallas que se toman del equipo de la víctima. Crear un almacenamiento tan complejo puede ser exagerado, pero todas esas capas de procesamiento adicionales garantizan que muy pocos investigadores vayan a conseguir los datos originales y, a la vez, evitan los errores de red.

Perfiles y ubicación de las víctimas

Nuestro análisis mostró que las víctimas de Miniduke y CosmicDuke pueden agruparse en las siguientes categorías:

  • gobiernos
  • diplomáticos
  • energía
  • operadores de telecomunicaciones
  • militares, incluyendo contratistas del ejército
  • individuos que se dedican al tráfico y venta de substancias ilícitas y controladas

Extrajimos una lista de víctimas con sus países correspondientes de uno de los servidores de Miniduke antiguos. Identificamos a las víctimas de tres de estos países, que pertenecían a la categoría "gobiernos". Esta es una lista de los países afectados:

  • Australia
  • Bélgica
  • Francia
  • Alemania
  • Hungría
  • Holanda
  • España
  • Ucrania
  • Estados Unidos

Uno de los servidores de CosmicDuke que analizamos tenía una larga lista de víctimas que databa de abril 2012. El servidor tenía 265 identificadores únicos asignados a las víctimas desde 139 IPs únicas. La distribución geográfica de las víctimas era la siguiente (top10):

84Georgia
61Rusia
34Estados Unidos
14Reino Unido
9Kazajistán
8India
8Bielorrusia
6Chipre
4Ucrania
4Lituania


Según nuestro análisis, los atacantes estaban más interesados en expandir sus operaciones y analizaron los rangos de IP y servidores en Azerbaiyán, Grecia y Ucrania.

Análisis de las herramientas de ataque y los servidores de Comando y Control

Mientras realizábamos el análisis pudimos conseguir una copia de uno de los servidores de comando y control de CosmicDuke. Parece que también se usaron en otras operaciones del grupo, como para irrumpir en otros servidores de Internet.

Los atacantes han desplegado herramientas disponibles al público en este servidor para escanear y comprometer sitios web de las organizaciones que quieren atacar, así como para recolectar información para ataques dirigidos en el futuro.

Esta es la lista de herramientas de ataque que encontramos en el servidor:

Hydra: “Un cracker muy rápido de datos de acceso a redes que es compatible con diferentes servicios”

Fierce2: "Un escáner de enumeración liviano que ayuda a los evaluadores de penetración a localizar los espacios IP que no son contiguos y los hostnames de dominios específicos usando DNS, Whois y ARIN, entre otros”.

The Harvester: “El objetivo de este programa es recolectar correos electrónicos, subdominios, alojadores, nombres de empleados, puertos abiertos y anuncios publicitarios de diferentes fuentes públicas como motores de búsqueda, servidores de llaves PGP y bases de datos informáticas SHODAN”.

RitX: “Una Herramienta de Búsquedas IP Inversas que permite usar una dirección IP o nombre de dominio para identificar todos los dominios alojados en un servidor usando múltiples servicios y diferentes técnicas”.

Joomscan: "Escáner de vulnerabilidades en OWASP Joomla!"

Ncrack: “Herramienta de alta velocidad para romper la autentificación de redes. Permite realizar auditorías rápidas y confiables de múltiples hosts a gran escala".

Sqlmap: “Una herramienta de análisis de penetración de código abierto que automatiza el proceso de detectar y explotar vulnerabilidades de inyecciones SQL y tomar el control de los servidores de las bases de datos”.

WPScan: “Un escáner de vulnerabilidades de black box WordPress"

Nota: las descripciones de las herramientas son una copia traducida de las que ofrecen en sus sitios web públicos

Atribución y artefactos, vínculos con otras operaciones

Los atacantes utilizan el idioma inglés en varios lugares, lo que demuestra que conocen el idioma, pero hay ciertos indicadores que sugieren que ésta no es su lengua nativa.

Las siguientes cadenas de caracteres se descubrieron en un bloque de memoria anexado al componente de malware que se utiliza para perdurar.

www.mirea.ru
e.mail.ru
gmt4
c:\documents and settings\владимир\local settings\...

Parece que los atacantes comprometieron los servidores C&C y subieron una webshell específica.



Webshell de los atacantes de Miniduke en los servidores comprometidos

Es interesante notar que se usa Codepage 1251 en la webshell, que se suele emplear para representar los caracteres cirílicos. La contraseña que protege el shell se revisa comparándola con el hash MD5 “35c7c2d1fe03f0eeaa4630332c242a36”. (Por cierto, ¿puedes romperla? ¡Nos tomó unos cuantos días hacerlo!)

Tal vez hay que mencionar que la misma webshell se ha observado en las operaciones de otro actor de amenazas avanzadas conocido como Turla, Snake o Uroburos.

Otro aspecto interesante es la ruta de caracteres de depuración del malware, que lleva a miles de entornos o grupos de “usuarios” del “Bot Gen Studio", “NITRO" y "Nemesis Gemina”:

c:\botgenstudio\generations\fdd88801\bin\Bot.pdb
c:\botgenstudio\generations\fed14e50\bin\Bot.pdb
D:\SVA\ NITRO\BotGenStudio \Interface\Generations\80051A85\bin\bot.pdb
d:\sva\nitro\botgenstudio\interface\generations\805f8183\bin\Bot.pdb
d:\production\nitro\sva\generations\80deae99\bin\Bot.pdb
C:\Projects\nemesis-gemina\nemesis\bin\carriers\ezlzma_x86_exe.pdb
C:\Projects\NEMESIS\nemesis-gemina\nemesis\bin\carriers\ezlzma-boost-kitchen_sink_x86_exe.pdb
D:\PRODUCTION\NITRO\SVA\Generations\80911F82\bin\bot.pdb

Hemos armado este gráfico basándonos en la fecha estampada para indicar la actividad de los atacantes de Miniduke/CosmicDuke según el “Día de la semana”:

Parece que los atacantes prefieren trabajar de lunes a viernes, aunque de vez en cuando también lo hacen los fines de semana.

Su horario preferido de trabajo es entre las 6am y las 7pm GMT. La mayor parte del trabajo se hace entre las 6am y las 4pm.


Conclusiones

Los cibercriminales de Miniduke han detenido sus ataques, o al menos bajado su intensidad después de nuestro anuncio del año pasado, pero ahora están volviendo al campo de batalla. El viejo malware Miniduke se sigue usando, desplegando tácticas conocidas empacadas con un nuevo ofuscador que se observó con el misterioso “Bot Gen Studio” para los proyectos “NITRO” y “Nemesis Gemina”.

Mientras las versiones viejas de Miniduke se siguen usando para atacar a sectores del gobierno, el nuevo CosmicDuke apunta a víctimas diferentes. Las más inusuales son aquellas que participan en el tráfico de substancias controladas e ilícitas, como esteroides y hormonas. Este tipo de víctimas en el proyecto NITRO sólo se ha encontrado en Rusia. Una posibilidad es que "Bot Gen Studio" sea una plataforma de malware que también funcione como una herramienta de "spyware legal" similar a otras, como RCS de HackingTeam, que las autoridades utilizan con frecuencia. Otra posibilidad es que sólo esté en el mercado negro virtual para que las compañías farmacéuticas se espíen entre sí.

A la vez, el proyecto "Nemesis Gemina" tiene como objetivo atacar a gobiernos, diplomáticos, sectores energéticos, militares y operadores de telecomunicaciones.

Una de las grandes cuestiones es: ¿Siguen siendo una “élite” los atacantes de Miniduke? Aunque el viejo programa sigue usándose, el nuevo no está escrito solo en Assembler; está escrito en C/C++.

Los nuevos ejemplares de Miniduke/CosmicDuke utilizan un ofuscador muy poderoso. Para casi todas las muestras que analizamos, salta a los inicios del cargador de PE dinámico – siempre desde la misma dirección “l33t” (si la organización de la memoria lo permitió durante la construcción del bot):


¡Es por eso que CosmicDuke sigue siendo de la élite “l33t”!

Microsoft confisca 22 dominios NO-IP y perjudica las operaciones de cibercriminales y programas maliciosos


  Costin        8 julio 2014 | 08:09  MSK

Comentar  

NO-IP es uno de los muchos proveedores de DNS dinámicos que se pueden utilizar gratis para registrar un subdominio en nombres populares como “servepics.com” o “servebeer.com”. Por mucho tiempo, ha sido uno de los métodos favoritos de los cibercriminales para registrar nombres de servidores (hostnames) fáciles de actualizar que les permitan controlar sus programas maliciosos. Ayer, Microsoft se pronunció contra NO-IP y confiscó 22 de sus dominios . También realizó una demanda civil contra "Mohamed Benabdellah y Naser Al Mutairi, y la compañía estadounidense Vitalwerks Internet Solutions, LLC (que hace negocios con No-IP.com), por su participación en la creación, control y asistencia para infectar millones de ordenadores con programas maliciosos, dañando así a Microsoft, sus clientes y al público en general".

Microsoft mencionó dos familias de malware específicas que se usaron “para infectar a víctimas inocentes con las familias de malware Bladabindi (NJrat) y Jenxcus (NJw0rm)". Muchos cibercriminales y grupos de activistas han utilizado estos programas para atacar a los usuarios, incluyendo el famoso e infame Syrian Electronic Army (pronto publicaremos una entrada del blog con más detalles al respecto).

Además, el cierre afectó muchas otras operaciones de Amenazas Persistentes Avanzadas (APT) que empleaban NO-IP en su infraestructura C&C. Algunas de ellas son:


  • Flame/Miniflame

  • Turla/Snake/Uroburos, including Epic

  • Cycldek

  • Shiqiang

  • HackingTeam RCS customers

  • Banechant

  • Ladyoffice

  • etc...

Según nuestras estadísticas, el cierre ha afectado de una u otra forma por lo menos al 25% de los grupos de APTs que estamos observando. Algunos de estos servidores se habían utilizado antes en operaciones de ciberespionaje avanzadas y ahora dirigen a lo que parece ser una trampa sinkhole de Microsoft en 204.95.99.59.

Algunos de los dominios de nivel superior que se sacaron de Vitalwerks y ahora utilizan la infraestructura DNS de Microsoft son:


  • BOUNCEME.NET

  • MYFTP.BIZ

  • MYVNC.COM

  • NO-IP.BIZ

  • NO-IP.INFO

  • REDIRECTME.NET

  • SERVEBEER.COM

  • SERVEBLOG.NET

  • SERVECOUNTERSTRIKE.COM

  • SERVEGAME.COM

  • SERVEHALFLIFE.COM

  • SERVEHTTP.COM

  • SERVEMP3.COM

  • SERVEPICS.COM

  • SERVEQUAKE.COM

  • SYTES.NET

Mientras tanto, NO-IP / Vitalwerks ha publicado su respuesta en Internet :

“Parece que la infraestructura de Microsoft no puede manejar los miles de millones de solicitudes de nuestros clientes. Millones de usuarios inocentes están sufriendo cortes en sus servicios debido a los intentos de Microsoft de remediar los servidores de unos pocos usuarios maliciosos".

Creemos que las acciones de ayer han sido un duro golpe contra muchos cibercriminales y operaciones APT de todo el mundo.

En el futuro, estos grupos tendrán más cuidado cuando usen servidores DNS dinámicos y aumentarán su dependencia hacia sitios comprometidos y direcciones IP directas para la gestión de sus infraestructuras de Comando y Control.


RECON 2014


  Nicolas Brulez        1 julio 2014 | 12:15  MSK

Comentar  


Hoy fue el último día de la conferencia REcon 2014, en la que expertos en ingeniería inversa de todo el mundo se dieron cita para conocerse y compartir sus investigaciones.

La conferencia comenzó con entrenamientos, y yo estuve a cargo de uno, que duró cuatro días, sobre ingeniería inversa de programas maliciosos. En esos días tratamos variostemas: cómo desempaquetar / descifrar programas maliciosos, cómo identificar algoritmos codificadores, cómo tratar códigos ofuscados, cómo analizar shellcodes, etc.

Mi colega Marta Janus dio una charla en la que explicó las diferentes técnicas que usan los programas maliciosos para evadir la detección antimalware y las cajas de arena, y se refirió a muchos de los trucos de ofuscación que se usan en los programas maliciosos modernos.

Las presentaciones este año fueron bastante interesantes y algunas tuvieron mucho que ver con lo que hacemos en los laboratorios, incluyendo la representación gráfica de binarios, las herramientas que ayudan a acelerar el análisis y cómo se tratan las ofuscaciones de códigos.

Aquí puedes encontrar el programa completo de la conferencia.

Las diapositivas y los videos de cada una de las charlas pronto estarán disponibles en el sitio web de REcon.



Mientras tanto, ya puedes descargar algunas de las herramientas de investigación:

PANDA es la Plataforma para Análisis Dinámico neutral en Arquitectura. Se trata de una plataforma basada en QEMU 1.0.1 y LLVM 3.3 para realizar análisis dinámicos de software, obviando los detalles a nivel de arquitectura, mediante una sencilla interfaz plugin. En este momento se encuentra en desarrollo en colaboración con MIT Lincoln Laboratory, Georgia Tech y Northeastern University.

FUNCAP es un script para registrar llamadas de funciones (y retornos) a través de un ejecutable utilizando el API depurador IDA, junto a todos los argumentos aceptados. Vacía la información en un archivo de texto, y también la inserta en los comentarios inline de IDA. De esta manera, el análisis estático que suele continuar al análisis runtime de comportamiento de programas maliciosos, puede alimentarse directamente con información runtime, como hilos decodificados retornados en los argumentos de la función.

Una de las presentaciones se refirió al marco de trabajo para la ingeniería inversa, y creo que merece mencionarse aquí.

MIASM 2 es un marco de trabajo para ingeniería inversa gratuito y de código abierto (GPLv2). Miasm apunta al análisis, modificación y generación de programas binarios. Posee la capacidad de representar la semántica de ensamblaje mediante lenguaje intermedio, emulando el uso de jit (análisis de código dinámico, desempaque) y la simplificación de expresiones para desofuscación automática.

Nos vemos el próximo año en RECON 2015

Twitter: @nicolasbrulez


Page Top  |  Archivo >>

 

Copyright © 1996 - 2014
Kaspersky Lab
Todos los derechos reservados

Correo electrónico: webmaster@viruslist.com