Todas las amenazas

Virus

Hackers

Spam

Todo el sitio    Sólo virus
  
Enciclopedia de virus
Alertas
Análisis
Noticias
Glosario
Bitácora

 
Archivo

<< 2014  
ene feb mar
abr may jun
jul    
     
Sobre los autores de la bitácora del analista antivirus
About Diary's Authors

La bitácora del analista antivirus es un weblog mantenido por los analistas antivirus de Kaspersky Lab, encabezado por Eugene Kaspersky. Lea más sobre los autores de esta bitácora

 

  Home / Bitácora

Bitácora del analista antivirus

Bajo fuego APT


  Kurt Baumgartner       23 julio 2014 | 18:16  MSK

Comentar  

Durante la anterior década, los ataques APT se enfocaron intensamente en usuarios corporativos e individuales en toda India. Su creciente desarrollo tecnológico, su ubicación geográfica y sus fronteras, sus características políticas, y su cada vez mayor peso económico hacen de esta nación un blanco atractivo para los ciberdelincuentes. La lista de grupos que lanzan ataques APT contra organizaciones indias, por desgracia, es bastante extensa. Sólo por mencionar algunos, citaremos a Gh0stNet, Shadownet, Enfal, Red October, NetTraveler, LuckyCat, Turla, Mirage, y Naikon. Pero hay muchos más. Y, en casos únicos, hemos visto nuevas e inusuales técnicas, como las utilizadas para infiltrar dispositivos móviles (atacantes Chuli), los ataques de Sabpub contra dispositivos con plataforma OS X, varios efectivos ataques ‘abrevadero’, y las usualmente ruidosas actividades dirigidas que esperaríamos de la mayoría de estos actores.

En marzo de este año, vimos un aumento en los ataques contra organizaciones indias relacionadas con políticas gubernamentales, económicas y medioambientales. Este equipo ha estado atacando estas organizaciones por años con una singular técnica de ataque WMI que no pierde su efectividad. Los componentes se conocen como WMIGhost o Shadow. Estos atacantes, como otros actualmente activos, suelen reutilizar temas geopolíticos coyunturales como spearphishing para establecer una cabecera de playa en las organizaciones atacadas. Por ejemplo, en un ataque en marzo de este año, se utilizó una inminente reunión entre los laboratorios de energía nacionales y los departamentos de energía como carnada spearphishing, hasta con errores ortográficos en el nombre del archivo: "India US strategic dialouge press release.doc" (000150415302D7898F56D89C610DE4A9).

A partir de ahí, la cadena del componente y el descargador es la misma que utilizaron con anterioridad. El exploit descarga "dw20.exe" (803e8f531989abd5c11b424d8890b407) --> "gupdate.exe" (481f8320b016d7f57997c8d9f200fe18) y "~tmpinst.js" (6a279a35141e9a7c73a8b25f23470d80). El script define objetos WMI para comunicaciones junto a sus instrucciones en un sitio wordpress cifradas al estilo de Comment Crew para desviar el troyano puerta trasera al servidor de comando y control apropiado en espera de instrucciones.

Junto a otros grupos, WMIGhost ataca activamente a blancos indios. En otra reciente campaña de WMIGhost en este año, se envió simultáneamente a varios blancos indios un falso documento militar no clasificado con la consistente cadena de herramientas de WMIGhost, "united states air force unmanned aircraft systems flight plan 2009-2047.doc".

Observamos otros ataques en todo el territorio contra agencias gubernamentales y militares, ONGs, subcontratistas y desarrolladores de tecnología, y una lista creciente de blancos.

De estos grupos, hasta la fecha, NetTraveler ha sido el más prolífico, y de varias formas el más exitoso en la extracción de grandes volúmenes de datos. El equipo de NetTraveler puso mucho esfuerzo y atención para extraer datos de organizaciones indias. NetTraveler está robando gigabytes de datos de sus víctimas en todo el mundo, muchas de ellas en India. Aquí mostramos un ejemplo de la carnada que utilizaron para su spearphish desplegado en India. El contenido abarca temas políticos indios vigentes en el momento de su distribución:

Mientras tanto, otros grupos se encuentran trabajando en la extracción de más datos en India. Muchas organizaciones indias a todo nivel están sufriendo severos daños ocasionados por el spearphish y ataques contra servidores, y no se vislumbra su fin.

Un vistazo al troyano Shylock/Caphaw


  15 julio 2014 | 12:49  MSK

Comentar  

Kaspersky Lab

Hace poco, Kaspersky Lab contribuyó a una alianza entre autoridades gubernamentales y organizaciones de la industria para tomar las medidas debidas en contra de los dominios de Internet y servidores que forman el centro de una infraestructura cibercriminal avanzada que usa el troyano Shylock para atacar los sistemas de bancos en Internet de todo el mundo.

Shylock es un troyano bancario que se descubrió por primera vez en 2011. Utiliza ataques de intermediario en el navegador (man-in-the-browser) diseñados para robar las credenciales de acceso a cuentas de bancos desde los ordenadores de los clientes de una lista predeterminada de organizaciones. La mayoría de estas organizaciones son bancos ubicados en diferentes países.

Los productos Kaspersky Lab detectan el malware Shylock como Backdoor.Win32.Caphaw y Trojan-Spy.Win32.Shylock.

Detectamos este programa malicioso de forma genérica desde fines de agosto de 2011 como Backdoor.Win32.Bifrose.fly. La detección específica de esta familia en particular se agregó en febrero de 2012. Desde entonces, hemos detectado muy pocos ejemplares: alrededor de 24.000 intentos de infectar ordenadores protegidos por Kaspersky Lab en todo el mundo.

Son números muy modestos, en especial si se los compara con otros programas bancarios infames como ZeuS, SpyEye y Carberp, que han generado (y algunos de ellos, como ZeuS, siguen generando) decenas o cientos de miles de detecciones. Por supuesto, estas cifras no nos dicen todo sobre cuán expandido está Shylock o cuán efectivos son sus ataques, porque Kaspersky Lab “ve” sólo una parte de la cantidad total de usuarios, sólo a aquellos que usan nuestros productos.

Pero su baja popularidad no hace que Shylock sea menos peligroso. Las técnicas siniestras que utiliza no son menos peligrosas que las que emplean otros programas similares. Puede inyectar su cuerpo en múltiples procesos en ejecución, tiene herramientas que evitan la detección de programas antivirus, utiliza plugins que agregan funciones maliciosas adicionales para burlar los programas antivirus, recolecta contraseñas para servidores ftp, se propaga mediante servicios de mensajería y servidores, consigue acceso remoto al equipo infectado, puede grabar videos e inyectar sitios web.

Utiliza esta última función para robar las credenciales de acceso a cuentas bancarias por Internet inyectando campos de entrada falsos en la página web del navegador de su víctima.

En todo este periodo hemos visto dos picos relativamente altos en las tasas de detección de este malware.

El primero fue en noviembre de 2012 y el segundo en diciembre de 2013.

La distribución geográfica de los picos de noviembre 12 fue así:

Reino Unido
Italia
Polonia
Federación Rusa
México
Tailandia
Irán
Turquía
India
España

La tabla de arriba muestra los 10 países en los que se registraron más ataques del programa Shylock. Poco más de un año después, en diciembre 2013, la imagen había dado un vuelco dramático.

Brasil
Federación Rusa
Vietnam
Italia
Ucrania
India
Reino Unido
Bielorrusia
Turquía
Taiwán

Como se ve en estas tablas, los criminales responsables de este programa dejaron de prestar tanta atención a los mercados de monedas virtuales desarrollados del Reino Unido, Italia y Polonia para concentrarse en los que se están desarrollando de un modo más activo en Brasil, Rusia y Vietnam. También es interesante que ambos picos ocurrieron a finales de otoño y comienzos de invierno, una temporada donde las ventas suben en muchos países del mundo.

Datos de Europol indican que este programa ha infectado más de 30.000 ordenadores en todo el mundo. Es una escala que puede causar importantes daños financieros, por lo que el desmantelamiento de Shylock es una muy buena noticia.

Y, por si esto fuera poco, la operación reciente, coordinada por la Agencia de Crimen Nacional (NCA) del Reino Unido, unió a miembros del sector público y privado, incluyendo – además de Kaspersky Lab – a la EUROPOL, el FBI, BAE Systems Applied Intelligence, Dell SecureWorks y el Cuartel General de Comunicaciones del Gobierno (GCHQ) del Reino Unido para combatir juntos. Nosotros, en Kaspersky Lab, nos sentimos honrados de haber podido hacer una modesta contribución a esta operación. Las acciones globales traen resultados positivos, y la operación contra Shylock es un claro ejemplo de ello.

Nuevos gTLDs, viejos ataques


  Fabio       14 julio 2014 | 18:11  MSK

Comentar  

Cibercriminales en todo el mundo han comenzado a apuntar sus ataques hacia los nuevos gTLDs, “Dominios genéricos de Nivel Superior”, aprobados por la ICANN (La Corporación de Internet para la Asignación de Nombres y Números), que los registradores de dominios están ofreciendo a los interesados en comprar un nuevo nombre de dominio. Hace poco descubrimos nuevas actividades maliciosas, como amenazas de programas maliciosos y estafas virtuales, en los dominios de nivel superior .club, .berlin, .blue, .computer, .camera, .futbol, .link, .pink, .report, .travel, .vacations y .xyz.

Los nuevos gTDLs que la ICANN y los registros aprobaron hace poco están en oferta como una alternativa para quienes se hayan aburrido de los dominios .com y .org tradicionales y quieran más posibilidades a la hora de registrar dominios de Internet. Prepárate para ver sitios web como “funny.dance”, “joe.dentist” y hasta “my.creditcard” .

Según nTLDStats.com , se ha registrado más de 1,4 millones de dominios con estos nuevos gTLDs:

Ahora hay más de 322 nuevos dominios de nivel superior otorgados por la ICANN, entre los que han ganado popularidad los dominios .xyz (designado en febrero de 2014), .berlin y .club (ambos designados en enero de 2014):

Los estafadores brasileños y los okupas de dominios tienen un interés particular en estos nuevos gTLDs y ya han registrado muchos dominios nuevos usando nombres de marcas locales de bancos, tiendas virtuales y compañías de tarjetas de crédito. Por ejemplo:


  • cielo-seucartaobateumbolao.xyz

  • megasaldao-americanas.xyz

  • lojadoricardoeletro.xyz

  • hsbc.club

  • santander.club

  • bradesco.club

  • ricardoeletro.club

  • ricardoeletro.computer

  • ricardoeletro.camera

Se registraron estos dominios para usarlos en estafas virtuales, así que no es ninguna sorpresa que la información de registro en las bases de datos "whois" sea falsa:

El malware también ha entrado en juego. Conocemos casos de cibercriminales que han utilizado estos dominios para alojar sus paquetes de exploits – el investigador de seguridad Frank Denis ha informado que el paquete de exploits Nuclear está utilizando los gTLDs .blue, .pink, .futbol y .report.

Pero los criminales brasileños no son los únicos que se sienten atraídos hacia los nuevos gTLDs: los usuarios maliciosos anglosajones han demostrado un interés similar al haber creado un dominio fraudulento en el que venden monedas para juegos de internet como Fifa '14.

Otros estafadores virtuales ya han comenzado sus operaciones fraudulentas, aunque sea usando TLDs más antiguos como .travel (que comenzó en 2005), como puedes ver en el siguiente dominio malicioso que aloja una estafa para los clientes de un banco brasileño:

Si eres un usuario regular de Internet, debes estar consciente de que los enlaces a gTLDs que aparecen en correos electrónicos y redes sociales pueden ser tan peligrosos como los tradicionales. Si tienes una compañía, sería una buena idea que inicies un proceso de vigilancia de tu marca para asegurarte de que el nombre de tu compañía no se esté utilizando en operaciones maliciosas con estas nuevas TLDs.

Los usuarios de Kaspersky están protegidos contra todos estos ataques.


Petición falsa en defensa de Suárez engaña a los usuarios y sus amigos


  Nadezhda Demidova       10 julio 2014 | 10:45  MSK

Comentar  

La semana pasada descubrimos un método interesante para distribuir enlaces que dirigen a una página de phishing que recolecta los datos personales de los usuarios.

El Mundial de fútbol de la FIFA en Brasil no sólo atrae a fanáticos de todo el mundo, también es de gran interés para los cibercriminales. La página fraudulenta está diseñada para imitar el sitio web de la FIFA. Allí se pide a los visitantes que firmen una solicitud en defensa de Luis Alberto Suárez, delantero de la selección uruguaya. (El 24 de junio, en el partido entre Uruguay e Italia, Suarez mordió al defensor italiano Giorgio Chiellini en el hombro. Como sanción, la FIFA descalificó a Suarez de nueve juegos en la selección nacional y le prohibió la participación en todas las actividades relacionadas al fútbol por cuatro meses. También lo castigó con una multa).

Para firmar la petición, el usuario debe llenar un formulario con su nombre, país de residencia, número de teléfono móvil y dirección de correo electrónico.


Página fraudulenta que pide a los fanáticos que firmen una petición

La página fraudulenta imita el diseño del sitio oficial de la FIFA y todos sus enlaces redirigen a fifa.com. El dominio se creó el 27 de junio de 2014. La base de datos whois indica que está registrado a nombre de una persona que reside en Londres. Los estafadores crearon el formulario para recolectar datos en Google Docs. La información que recopilan se puede emplear para enviar spam, phishing, mensajes SMS y aplicaciones maliciosas. Es más, si los cibercriminales están armados con las direcciones de correo y números de teléfono de los usuarios, pueden lanzar ataques dirigidos con programas troyanos para infectar los ordenadores y teléfonos móviles de sus víctimas. Esta técnica se utiliza para burlar la autentificación de dos factores de los sistemas de bancos en línea cuando envían una contraseña desechable por SMS.

Después de llenar el formulario de "petición", las víctimas pueden compartir el enlace con sus amigos de Facebook:


Ventana que pide a los usuarios que compartan el enlace a la “petición” con sus amigos


Ventana emergente de Facebook

Los fanáticos, entusiasmados, compartieron los enlaces a la petición falsa en sus páginas de Facebook. Es así como el enlace fraudulento tardó sólo días en propagarse en la red social.


Ejemplo de un usuario desprevenido compartiendo el enlace a la página fraudulenta en una red social

También se encontraron mensajes con enlaces a la página en foros sobre fútbol, donde deben haberse comenzado a difundir antes de llegar a las redes sociales.


Brechas en la defensa de la red corporativa: servicios “en la nube”


  Kirill Kruglov        9 julio 2014 | 15:00  MSK

Comentar  

En la lista de las aplicaciones más difundidas de los servicios “en la nube” entran: almacenamiento de imágenes escaneadas del pasaporte y otros documentos personales; sincronización de bases de datos de contraseñas, contactos y cartas; almacenamiento de diferentes versiones de códigos fuente, etc. Cuando el servicio de almacenamiento de datos “en la nube” Dropbox notificó que había neutralizado una vulnerabilidad en el generador de enlaces, en Internet se empezó a hablar de nuevo de la importancia que tiene cifrar los datos confidenciales antes de almacenarlos en algún recurso, incluso si se trata de uno privado. El cifrado de datos (FLE) de verdad permite garantizar la defensa de la información confidencial “en la nube”, incluso si se descubren vulnerabilidades en el control de acceso a los documentos de los usuarios en uno u otro servicio.

Podría parecer que si no se guardan datos secretos “en la nube” o se los cifra, no habría ningún riesgo. Pero… ¿es así? La realidad ha demostrado que no lo es del todo.

En Internet encontramos con frecuencia recomendaciones de cómo “usar con efectividad los servicios de almacenamiento de ficheros en la nube”, por ejemplo: instrucciones de administración remota de equipos, vigilancia del equipo durante la ausencia del dueño, administración de descargas torrent y muchas más. En otras palabras, son los mismos usuarios quienes crean toda clase de brechas que usan con facilidad los troyanos, gusanos, y con más razón lo hackers, sobre todo si se trata de ataques selectivos.

No hicimos la pregunta ¿cuán grande es el riesgo de que una red corporativa se contagie mediante un servicio “en la nube”?

En la conferencia Black Hat 2013 Jacob Williams), científico en jefe de CSRgroup Computer Security Consultants dio una ponencia sobre el uso de Dropbox para penetrar en la red corporativa. Durante la ejecución de una prueba de penetración hecha a pedido (pen test) Jacob usó un cliente thin de Dropbox instalado en un portátil que se encontraba fuera de la red corporativa para propagar software malicioso en los dispositivos que estaban dentro de la red.

Al principio, usando phishing, Jacob infectó el portátil de un empleado y más adelante incrustó scripts maliciosos en los documentos almacenados en el directorio “en la nube” del equipo. Dropbox actualizó automáticamente (sincronizó) los documentos infectados en todos los dispositivos relacionados con la cuenta del usuario. En este sentido Dropbox no es el único sistema que tiene este comportamiento: la función de sincronización automática está presente en todas las aplicaciones populares de acceso a servicios “en la nube”, entre ellas Onedrive (Skydrive), Google Disk, Yandex Disk, etc.

Cuando el usuario abrió el documento infectado en su equipo de trabajo, dentro de la red corporativa, los scripts incrustados en el documento instalaron en el sistema el backdoor DropSmack, creado por Jacob especialmente para esta prueba de penetración. Como se puede adivinar por su nombre, la función clave de DropSmack es usar el sistema Dropbox como canal de administración del backdoor y enviar los documentos corporativos al mundo externo a través del cortafuegos corporativo.


Esquema del experimento de Jacob Williams

El método de penetración en la red corporativa usado por Jacob durante la prueba sorprende por su simplicidad… sí, es una brecha evidente.

Nosotros decidimos verificar si los verdaderos delincuentes usan Dropbox, OneDrive, Yandex Disk y Google Disk para propagar software malicioso. Habiendo recopilado información de KSN sobre las detecciones de malware en los directorios “en la nube” de los equipos de los usuarios de los productos de Kaspersky Lab descubrimos que estas infecciones se registraron en un número muy pequeño de usuarios: en mayo de 2014 sólo 8700 personas se toparon con infecciones de sus directorios “en la nube”. Entre los usuarios domésticos de los productos de Kaspersky Lab estos programas maliciosos representaron el 0,42% de todas las detecciones, y el 0,24% entre los usuarios de los programas corporativos.

Es necesario remarcar un importante detalle: si el programa malicioso ingresa a la nube desde un dispositivo, todos los otros dispositivos vinculados a la cuenta infectada lo descargarán usando el protocolo HTTPS. Incluso si en uno de los dispositivos el antivirus detecta y elimina la infección en el directorio sincronizado, el software cliente, cumpliendo su deber, luchará contra la desincronización descargando una y otra vez el malware de “la nube”.

Según nuestros datos, cerca del 30% del software malicioso detectado en los directorios “en la nube” en los equipos domésticos ingresa mediante mecanismos de sincronización. Entre los usuarios corporativos este índice alcanza el 50%. De esta manera, el mecanismo usado por el software en la prueba de Jacob Williams conduce a infecciones en la vida real. Por suerte, todavía no hemos detectado ataques selectivos que usen los servicios de almacenamiento de datos “en la nube”.

Entre el software malicioso que hemos detectado en los directorios “en la nube” en los ordenadores de los usuarios predominan los ficheros de formatos Win32, MSIL, VBS, PHP, JS, Excel, Word y Java. Merece la pena mencionar que entre los usuarios domésticos y corporativos existe una pequeña diferencia: en los equipos de los primeros se detectan con mayor frecuencia ficheros MS Office infectados, en los de los segundos en la lista hay unas criaturas peculiares: aplicaciones maliciosas para Android.

TOP 10 de veredictos:

 

Usuarios particularesUsuarios corporativos
1Email-Worm.Win32.Runouce.bEmail-Worm.Win32.Brontok.dam.a
2Email-Worm.Win32.Brontok.qVirus.Win32.Sality.gen
3not-a-virus:AdWare.Win32.RivalGame.krVirus.Win32.Tenga.a
4Virus.Win32.Nimnul.aTrojan-Dropper.VBS.Agent.bp
5Trojan-Clicker.HTML.IFrame.agaTrojan.Win32.Agent.ada
6Exploit.Win32.CVE-2010-2568.genTrojan.Win32.MicroFake.ba
7Virus.Win32.Sality.genExploit.Win32.CVE-2010-2568.gen
8Worm.Win32.AutoRun.dtbvWorm.Win32.AutoRun.dtbv
9Trojan-Dropper.VBS.Agent.bpTrojan.Win32.Qhost.afes
10Trojan.Win32.Genome.vqzzVirus.Win32.Nimnul.a

En la mayoría de los casos los escritores de virus no usan los sistemas de almacenamiento “en la nube” como plataforma de distribución, sino como hospedaje para programas maliciosos. Durante la investigación no encontramos ni un solo gusano o backdor (sin contar a DropSmack) especialmente dirigido a los sistemas de almacenamiento de ficheros “en la nube”. Por supuesto, los servicios en sí tratan de luchar activamente con los programas maliciosos que usan el espacio libre en “la nube”. Además, el hospedaje de programas maliciosos ejerce una influencia negativa en la reputación de los servicios, a pesar de que estos no asumen responsabilidad sobre qué ficheros guardan los clientes en el sistema. Es evidente que el escaneo regular de todos los ficheros contenidos en la nube exigiría demasiados recursos, que los servicios prefieren usar para almacenar ficheros.

El resultado de la investigación llevada a cabo es la comprensión de que el riesgo de infección de la red corporativa mediante sistemas de almacenamiento en la nube es comparativamente pequeño: durante un año uno de cada mil usuarios corporativos que usen sistemas en la nube corre el riesgo de infectarse. Pero hay que tomar en cuenta que en algunos casos incluso un caso aislado de infección de un equipo en la red corporativa puede provocar daños graves.

Para proteger la red corporativa se pueden usar los siguientes métodos:

  • Apretar las tuercas en el cortafuegos o IDS, bloquear el acceso a los servidores de servicios conocidos. Un gran defecto de este método es que ocupa muchos recursos: hay que estar atento a la aparición de nuevos candidatos para la lista negra.
  • Instalar una suite de seguridad multifuncional que incluya un antivirus heurístico y de comportamiento, funciones de limitación de acceso (HIPS), control del funcionamiento del sistema operativo (System Watcher o Hypervisor), protección contra la explotación de vulnerabilidades, etc. Y es necesario configurar todo esto con mucho cuidado.
  • Debido a que incluso la suite de seguridad más sofisticada puede dejar pasar APT, hay que prestar atención a la tecnología de control de aplicaciones (en el modo “prohibido por defecto”). En nuestra opinión este es uno de los métodos más seguros de bloquear cualquier software desconocido (incluso el que se usa durante los ataques específicos). La tarea más compleja que surge durante la implementación del Control de aplicaciones es la configuración de las reglas que haga que todas las aplicaciones permitidas puedan ejecutarse y actualizarse sin problemas. Con este objetivo los fabricantes de productos que tengan la función Control de aplicaciones han desarrollado instrumentos especiales: la función de actualización del software mediante programas de confianza, listas blancas predeterminadas de software que incluyen todos los ficheros del sistema y del usuario, acceso a enormes servicios en la nube y bases de información sobre toda la diversidad de software “blanco”.
  • En casos especiales hay que usar el Control de aplicaciones para limitar el uso de servicios en la nube en la red local, es decir, permitir la ejecución de aplicaciones de sincronización de directorios en la nube solo a los empleados de confianza.

Y para los sistemas más cerrados, aquellos que controlan el funcionamiento de centrales eléctricas, sistemas de agua potable, o que guardan secretos de estado, o que permiten lanzar misiles intercontinentales recomendamos no utilizar de ninguna forma los servicios de almacenamiento en la nube.


Miniduke ha vuelto: Nemesis Gemina y el Botgen Studio


  Global Research & Analysis Team (GReAT), Kaspersky Lab        8 julio 2014 | 13:00  MSK

Comentar  

Una actualización de 2014 para conocer las novedades de una de las operaciones de Amenazas Persistentes Avanzadas (APT) más inusuales

En 2013, junto a nuestros socios de CrySyS Lab, dimos a conocer nuestra investigación sobre un nuevo actor de APT que llamamos “Miniduke”. Se destacaba de las demás APTs por muchas razones, entre ellas:

  • Su uso de una puerta trasera personalizada escrita en Assembler (¿quién sigue usando Assembler en la era de Java y .NET?)
  • Un mecanismo de comando y control único que emplea múltiples rutas de redundancia, incluyendo cuentas de Twitter
  • La transferencia sigilosa de actualizaciones en forma de ejecutables escondidos dentro de archivos GIF (una forma de esteganografía)

Ya hemos indicado que esta amenaza empleaba malware que se había desarrollado utilizando técnicas de escritura de virus anticuadas.

Los investigadores de CIRCL/Luxemburgo y otras compañías antivirus continuaron nuestro análisis. Hace poco, nos enteramos de que F-Secure había publicado un estudio sobre la misma amenaza (a la que llama "CosmicDuke”).

Desde que nuestros informes salieron a la luz en 2013, las operaciones de Miniduke se han detenido o, al menos, su intensidad ha bajado. Sin embargo, a principios de 2014 reinició sus ataques con fuerza y volvió a llamar nuestra atención.

Creemos que es hora de revelar más información sobre sus operaciones.

El “viejo” Miniduke en 2014

Las viejas versiones de Miniduke de 2013 siguen dando vueltas en la red y se están utilizando en ataques actuales.

Sigue dependiendo de cuentas de Twitter que tienen una URL de Comando y Control que dirige al servidor C&C. Esta es una de estas cuentas en febrero de 2014:

Aunque el formato de la URL de C&C ha cambiado en relación a las variantes anteriores, el algoritmo de codificación es el mismo. La línea de arriba se puede decodificar para obtener la URL de C&C completa:

hxxp://algherolido.it/img/common/thumb/thumb.php

La URL decodificada era una C&C activa, de la cual se obtuvieron varias actualizaciones:

Actualización 1:

MD593382e0b2db1a1283dbed5d9866c7bf2
Tamaño705536 bytes
Fecha de compilaciónSat Dec 14 18:44:11 2013

Este troyano es pesado porque se compiló con un empaquetador personalizado. La compilación tiene una cadena de caracteres de depuración específica en su interior:

C:\Projects\nemesis-gemina\nemesis\bin\carriers\ezlzma_x86_exe.pdb

El paquete ejecuta un módulo del troyano de menor tamaño:

MD5b80232f25dbceb6953994e45fb7ff749
Tamaño27648 bytes
Fecha de compilaciónWed Mar 05 09:44:36 2014
C&Chxxp://rtproductionsusa.com/wp-includes/images/smilies/icon_gif.php

Otra actualización que se detectó en el servidor C&C es:

Actualización 2:

MD57fcf05f7773dc3714ebad1a9b28ea8b9
Tamaño28160 bytes
Fecha de compilaciónFri Mar 07 10:04:58 2014
C&Chxxp://tangentialreality.com/cache/template/yoo_cache.php

Hemos encontrado un troyano similar, aunque no se encuentra en el C&C:

MD5edf7a81dab0bf0520bfb8204a010b730,
ba57f95eba99722ebdeae433fc168d72 (dropped)
Tamaño700K, 28160 (dropped)
Fechas de compilaciónSat Dec 14 18:44:11 2013 (top)
Fri Jan 10 12:59:36 2014 (dropped)
C&Chxxp://store.extremesportsevents.net/index.php?i=62B...[snip]

El uso del empaquetador Nemesis Gemina en las cargas explosivas de Miniduke nos hizo buscar más ejemplares en nuestra colección. Así descubrimos muchas cosas nuevas.

El “nuevo” malware Miniduke (el “CosmicDuke”)

Parece que, después de haber sido expuesto en 2013, el creador de Miniduke pasó a usar otra puerta trasera personalizada que le permite robar información de varios tipos.

El programa malicioso falsifica aplicaciones populares diseñadas para ejecutarse en un segundo plano, incluyendo información sobre los archivos, íconos y hasta el tamaño del archivo:

La "nueva” puerta trasera principal Miniduke (conocida como TinyBaron o CosmicDuke) está compilada utilizando un marco personalizable llamado "BotGenStudio", que permite activar/desactivar los componentes de forma flexible cuando se construye el bot.

Los componentes pueden dividirse en 3 grupos:

  1. Persistencia
  2. Reconocimiento
  3. Exfiltración

Persistencia

Miniduke/CosmicDuke puede iniciarse mediante Windows Task Scheduler, por medio de un binario de servicio personalizado que genera un nuevo proceso ubicado en la llave de registro especial, o cuando el usuario no está usando el equipo y se activa el protector de pantalla.

Reconocimiento

El malware puede robar una variedad de información, incluyendo archivos que escoge en base a sus extensiones y palabras clave en su nombre:

*.exe;*.ndb;*.mp3;*.avi;*.rar;*.docx;*.url;*.xlsx;*.pptx;*.ppsx;*.pst;*.ost;*psw*;*pass*;
*login*;*admin*;*sifr*;*sifer*;*vpn;*.jpg;*.txt;*.lnk; *.dll;*.tmp;*.obj;*.ocx;*.js

Nota: Creemos que las palabras clave “*sifr*” y “*sifer*” de arriba se refieren a la transliteración de la palabra ingresa "Cypher" en algunos idiomas.

La puerta trasera también tiene muchas otras capacidades, como:

  • Capturador de teclado (keylogger)
  • Ladrón de contraseñas de Skype
  • Recolector de información general de la red
  • Capturador de pantalla (captura imágenes cada 5 minutos)
  • Capturador del portapapeles (captura los contenidos del portapapeles cada 30 segundos)
  • Ladrón de Microsoft Outlook y Windows Address Book
  • Ladrón de contraseñas de Google Chrome
  • Ladrón de contraseñas de Google Talk
  • Ladrón de contraseñas de Opera
  • Ladrón de contraseñas de TheBat!
  • Ladrón de contraseñas de Firefox, Thunderbird
  • Recolector de datos almacenados en Drives/location/locale/installed software
  • Recolector de información de la red/adaptador WiFi
  • Recolector de los secretos guardados por LSA
  • Recolector de los secretos guardados en Almacenamiento Protegido
  • Exportador de certificados/llaves privadas
  • Recolector de historiales de URL
  • Recolector de secretos de InteliForms
  • Recolector de los secretos guardados por autocompletar de IE y Outlook Express
  • Y más…

Exfiltración

El programa malicioso emplea varios métodos para exfiltrar información, incluyendo subir datos mediante FTP y tres variantes de mecanismos de comunicación basados en HTTP. Varios conectores HTTP diferentes actúan como asistentes, probando diferentes métodos por si las reglas de seguridad locales o los programas de seguridad del equipo restringen alguno. Estos tres métodos son:

  • Conexión directa a un TCP y a una sesión HTTP mediante la biblioteca Winsock
  • Sesión HTTP mediante Urlmon.dll
  • Sesión HTTP mediante casos invisibles de Internet Explorer como objeto OLE

Implementación

Cada víctima recibe una ID única que le permite publicar actualizaciones específicas para una víctima en particular. Como hemos dicho, Miniduke/CosmicDuke está protegido con un cargador ofuscado personalizado que consume muchos recursos del CPU durante 3 a 5 minutos antes de ejecutar la carga explosiva. Esto no sólo complica el análisis del malware, también agota los recursos reservados para la ejecución en los emuladores de los programas de seguridad. Además de tener su propio ofuscador, hace mucho uso de algoritmos de cifrado y compresión basados en RC4 y LZRW, respectivamente. La implementación de estos algoritmos tiene pequeñas diferencias con el código estandarizado, lo que hasta puede parecer un error. Pero creemos que estos cambios se hicieron a propósito, para de confundir a los investigadores.

Una de las partes con mayor avance técnico de Miniduke es el almacenamiento de datos. La configuración interna del malware está cifrada, comprimida y serializada como una compleja estructura similar a la de un registro que tiene varios tipos de informes, incluyendo cadenas de caracteres, números enteros y referencias internas. Además, Miniduke utiliza un método inusual para guardar los datos exfiltrados. Antes de subir un archivo al servidor C&C, se divide en pequeñas partes de alrededor de 3KB que se comprimen, cifran y guardan en un contenedor. Si el archivo de origen es grande, se guarda en cientos de contenedores que se suben de forma individual. Es probable que se realice un análisis sintáctico de estas partes, se descifren, desempaquen, extraigan y se vuelvan a ensamblar en el lado del atacante. Este método se utiliza para subir capturas de pantallas que se toman del equipo de la víctima. Crear un almacenamiento tan complejo puede ser exagerado, pero todas esas capas de procesamiento adicionales garantizan que muy pocos investigadores vayan a conseguir los datos originales y, a la vez, evitan los errores de red.

Perfiles y ubicación de las víctimas

Nuestro análisis mostró que las víctimas de Miniduke y CosmicDuke pueden agruparse en las siguientes categorías:

  • gobiernos
  • diplomáticos
  • energía
  • operadores de telecomunicaciones
  • militares, incluyendo contratistas del ejército
  • individuos que se dedican al tráfico y venta de substancias ilícitas y controladas

Extrajimos una lista de víctimas con sus países correspondientes de uno de los servidores de Miniduke antiguos. Identificamos a las víctimas de tres de estos países, que pertenecían a la categoría "gobiernos". Esta es una lista de los países afectados:

  • Australia
  • Bélgica
  • Francia
  • Alemania
  • Hungría
  • Holanda
  • España
  • Ucrania
  • Estados Unidos

Uno de los servidores de CosmicDuke que analizamos tenía una larga lista de víctimas que databa de abril 2012. El servidor tenía 265 identificadores únicos asignados a las víctimas desde 139 IPs únicas. La distribución geográfica de las víctimas era la siguiente (top10):

84Georgia
61Rusia
34Estados Unidos
14Reino Unido
9Kazajistán
8India
8Bielorrusia
6Chipre
4Ucrania
4Lituania


Según nuestro análisis, los atacantes estaban más interesados en expandir sus operaciones y analizaron los rangos de IP y servidores en Azerbaiyán, Grecia y Ucrania.

Análisis de las herramientas de ataque y los servidores de Comando y Control

Mientras realizábamos el análisis pudimos conseguir una copia de uno de los servidores de comando y control de CosmicDuke. Parece que también se usaron en otras operaciones del grupo, como para irrumpir en otros servidores de Internet.

Los atacantes han desplegado herramientas disponibles al público en este servidor para escanear y comprometer sitios web de las organizaciones que quieren atacar, así como para recolectar información para ataques dirigidos en el futuro.

Esta es la lista de herramientas de ataque que encontramos en el servidor:

Hydra: “Un cracker muy rápido de datos de acceso a redes que es compatible con diferentes servicios”

Fierce2: "Un escáner de enumeración liviano que ayuda a los evaluadores de penetración a localizar los espacios IP que no son contiguos y los hostnames de dominios específicos usando DNS, Whois y ARIN, entre otros”.

The Harvester: “El objetivo de este programa es recolectar correos electrónicos, subdominios, alojadores, nombres de empleados, puertos abiertos y anuncios publicitarios de diferentes fuentes públicas como motores de búsqueda, servidores de llaves PGP y bases de datos informáticas SHODAN”.

RitX: “Una Herramienta de Búsquedas IP Inversas que permite usar una dirección IP o nombre de dominio para identificar todos los dominios alojados en un servidor usando múltiples servicios y diferentes técnicas”.

Joomscan: "Escáner de vulnerabilidades en OWASP Joomla!"

Ncrack: “Herramienta de alta velocidad para romper la autentificación de redes. Permite realizar auditorías rápidas y confiables de múltiples hosts a gran escala".

Sqlmap: “Una herramienta de análisis de penetración de código abierto que automatiza el proceso de detectar y explotar vulnerabilidades de inyecciones SQL y tomar el control de los servidores de las bases de datos”.

WPScan: “Un escáner de vulnerabilidades de black box WordPress"

Nota: las descripciones de las herramientas son una copia traducida de las que ofrecen en sus sitios web públicos

Atribución y artefactos, vínculos con otras operaciones

Los atacantes utilizan el idioma inglés en varios lugares, lo que demuestra que conocen el idioma, pero hay ciertos indicadores que sugieren que ésta no es su lengua nativa.

Las siguientes cadenas de caracteres se descubrieron en un bloque de memoria anexado al componente de malware que se utiliza para perdurar.

www.mirea.ru
e.mail.ru
gmt4
c:\documents and settings\владимир\local settings\...

Parece que los atacantes comprometieron los servidores C&C y subieron una webshell específica.



Webshell de los atacantes de Miniduke en los servidores comprometidos

Es interesante notar que se usa Codepage 1251 en la webshell, que se suele emplear para representar los caracteres cirílicos. La contraseña que protege el shell se revisa comparándola con el hash MD5 “35c7c2d1fe03f0eeaa4630332c242a36”. (Por cierto, ¿puedes romperla? ¡Nos tomó unos cuantos días hacerlo!)

Tal vez hay que mencionar que la misma webshell se ha observado en las operaciones de otro actor de amenazas avanzadas conocido como Turla, Snake o Uroburos.

Otro aspecto interesante es la ruta de caracteres de depuración del malware, que lleva a miles de entornos o grupos de “usuarios” del “Bot Gen Studio", “NITRO" y "Nemesis Gemina”:

c:\botgenstudio\generations\fdd88801\bin\Bot.pdb
c:\botgenstudio\generations\fed14e50\bin\Bot.pdb
D:\SVA\ NITRO\BotGenStudio \Interface\Generations\80051A85\bin\bot.pdb
d:\sva\nitro\botgenstudio\interface\generations\805f8183\bin\Bot.pdb
d:\production\nitro\sva\generations\80deae99\bin\Bot.pdb
C:\Projects\nemesis-gemina\nemesis\bin\carriers\ezlzma_x86_exe.pdb
C:\Projects\NEMESIS\nemesis-gemina\nemesis\bin\carriers\ezlzma-boost-kitchen_sink_x86_exe.pdb
D:\PRODUCTION\NITRO\SVA\Generations\80911F82\bin\bot.pdb

Hemos armado este gráfico basándonos en la fecha estampada para indicar la actividad de los atacantes de Miniduke/CosmicDuke según el “Día de la semana”:

Parece que los atacantes prefieren trabajar de lunes a viernes, aunque de vez en cuando también lo hacen los fines de semana.

Su horario preferido de trabajo es entre las 6am y las 7pm GMT. La mayor parte del trabajo se hace entre las 6am y las 4pm.


Conclusiones

Los cibercriminales de Miniduke han detenido sus ataques, o al menos bajado su intensidad después de nuestro anuncio del año pasado, pero ahora están volviendo al campo de batalla. El viejo malware Miniduke se sigue usando, desplegando tácticas conocidas empacadas con un nuevo ofuscador que se observó con el misterioso “Bot Gen Studio” para los proyectos “NITRO” y “Nemesis Gemina”.

Mientras las versiones viejas de Miniduke se siguen usando para atacar a sectores del gobierno, el nuevo CosmicDuke apunta a víctimas diferentes. Las más inusuales son aquellas que participan en el tráfico de substancias controladas e ilícitas, como esteroides y hormonas. Este tipo de víctimas en el proyecto NITRO sólo se ha encontrado en Rusia. Una posibilidad es que "Bot Gen Studio" sea una plataforma de malware que también funcione como una herramienta de "spyware legal" similar a otras, como RCS de HackingTeam, que las autoridades utilizan con frecuencia. Otra posibilidad es que sólo esté en el mercado negro virtual para que las compañías farmacéuticas se espíen entre sí.

A la vez, el proyecto "Nemesis Gemina" tiene como objetivo atacar a gobiernos, diplomáticos, sectores energéticos, militares y operadores de telecomunicaciones.

Una de las grandes cuestiones es: ¿Siguen siendo una “élite” los atacantes de Miniduke? Aunque el viejo programa sigue usándose, el nuevo no está escrito solo en Assembler; está escrito en C/C++.

Los nuevos ejemplares de Miniduke/CosmicDuke utilizan un ofuscador muy poderoso. Para casi todas las muestras que analizamos, salta a los inicios del cargador de PE dinámico – siempre desde la misma dirección “l33t” (si la organización de la memoria lo permitió durante la construcción del bot):


¡Es por eso que CosmicDuke sigue siendo de la élite “l33t”!

Microsoft confisca 22 dominios NO-IP y perjudica las operaciones de cibercriminales y programas maliciosos


  Costin        8 julio 2014 | 08:09  MSK

Comentar  

NO-IP es uno de los muchos proveedores de DNS dinámicos que se pueden utilizar gratis para registrar un subdominio en nombres populares como “servepics.com” o “servebeer.com”. Por mucho tiempo, ha sido uno de los métodos favoritos de los cibercriminales para registrar nombres de servidores (hostnames) fáciles de actualizar que les permitan controlar sus programas maliciosos. Ayer, Microsoft se pronunció contra NO-IP y confiscó 22 de sus dominios . También realizó una demanda civil contra "Mohamed Benabdellah y Naser Al Mutairi, y la compañía estadounidense Vitalwerks Internet Solutions, LLC (que hace negocios con No-IP.com), por su participación en la creación, control y asistencia para infectar millones de ordenadores con programas maliciosos, dañando así a Microsoft, sus clientes y al público en general".

Microsoft mencionó dos familias de malware específicas que se usaron “para infectar a víctimas inocentes con las familias de malware Bladabindi (NJrat) y Jenxcus (NJw0rm)". Muchos cibercriminales y grupos de activistas han utilizado estos programas para atacar a los usuarios, incluyendo el famoso e infame Syrian Electronic Army (pronto publicaremos una entrada del blog con más detalles al respecto).

Además, el cierre afectó muchas otras operaciones de Amenazas Persistentes Avanzadas (APT) que empleaban NO-IP en su infraestructura C&C. Algunas de ellas son:


  • Flame/Miniflame

  • Turla/Snake/Uroburos, including Epic

  • Cycldek

  • Shiqiang

  • HackingTeam RCS customers

  • Banechant

  • Ladyoffice

  • etc...

Según nuestras estadísticas, el cierre ha afectado de una u otra forma por lo menos al 25% de los grupos de APTs que estamos observando. Algunos de estos servidores se habían utilizado antes en operaciones de ciberespionaje avanzadas y ahora dirigen a lo que parece ser una trampa sinkhole de Microsoft en 204.95.99.59.

Algunos de los dominios de nivel superior que se sacaron de Vitalwerks y ahora utilizan la infraestructura DNS de Microsoft son:


  • BOUNCEME.NET

  • MYFTP.BIZ

  • MYVNC.COM

  • NO-IP.BIZ

  • NO-IP.INFO

  • REDIRECTME.NET

  • SERVEBEER.COM

  • SERVEBLOG.NET

  • SERVECOUNTERSTRIKE.COM

  • SERVEGAME.COM

  • SERVEHALFLIFE.COM

  • SERVEHTTP.COM

  • SERVEMP3.COM

  • SERVEPICS.COM

  • SERVEQUAKE.COM

  • SYTES.NET

Mientras tanto, NO-IP / Vitalwerks ha publicado su respuesta en Internet :

“Parece que la infraestructura de Microsoft no puede manejar los miles de millones de solicitudes de nuestros clientes. Millones de usuarios inocentes están sufriendo cortes en sus servicios debido a los intentos de Microsoft de remediar los servidores de unos pocos usuarios maliciosos".

Creemos que las acciones de ayer han sido un duro golpe contra muchos cibercriminales y operaciones APT de todo el mundo.

En el futuro, estos grupos tendrán más cuidado cuando usen servidores DNS dinámicos y aumentarán su dependencia hacia sitios comprometidos y direcciones IP directas para la gestión de sus infraestructuras de Comando y Control.


RECON 2014


  Nicolas Brulez        1 julio 2014 | 12:15  MSK

Comentar  


Hoy fue el último día de la conferencia REcon 2014, en la que expertos en ingeniería inversa de todo el mundo se dieron cita para conocerse y compartir sus investigaciones.

La conferencia comenzó con entrenamientos, y yo estuve a cargo de uno, que duró cuatro días, sobre ingeniería inversa de programas maliciosos. En esos días tratamos variostemas: cómo desempaquetar / descifrar programas maliciosos, cómo identificar algoritmos codificadores, cómo tratar códigos ofuscados, cómo analizar shellcodes, etc.

Mi colega Marta Janus dio una charla en la que explicó las diferentes técnicas que usan los programas maliciosos para evadir la detección antimalware y las cajas de arena, y se refirió a muchos de los trucos de ofuscación que se usan en los programas maliciosos modernos.

Las presentaciones este año fueron bastante interesantes y algunas tuvieron mucho que ver con lo que hacemos en los laboratorios, incluyendo la representación gráfica de binarios, las herramientas que ayudan a acelerar el análisis y cómo se tratan las ofuscaciones de códigos.

Aquí puedes encontrar el programa completo de la conferencia.

Las diapositivas y los videos de cada una de las charlas pronto estarán disponibles en el sitio web de REcon.



Mientras tanto, ya puedes descargar algunas de las herramientas de investigación:

PANDA es la Plataforma para Análisis Dinámico neutral en Arquitectura. Se trata de una plataforma basada en QEMU 1.0.1 y LLVM 3.3 para realizar análisis dinámicos de software, obviando los detalles a nivel de arquitectura, mediante una sencilla interfaz plugin. En este momento se encuentra en desarrollo en colaboración con MIT Lincoln Laboratory, Georgia Tech y Northeastern University.

FUNCAP es un script para registrar llamadas de funciones (y retornos) a través de un ejecutable utilizando el API depurador IDA, junto a todos los argumentos aceptados. Vacía la información en un archivo de texto, y también la inserta en los comentarios inline de IDA. De esta manera, el análisis estático que suele continuar al análisis runtime de comportamiento de programas maliciosos, puede alimentarse directamente con información runtime, como hilos decodificados retornados en los argumentos de la función.

Una de las presentaciones se refirió al marco de trabajo para la ingeniería inversa, y creo que merece mencionarse aquí.

MIASM 2 es un marco de trabajo para ingeniería inversa gratuito y de código abierto (GPLv2). Miasm apunta al análisis, modificación y generación de programas binarios. Posee la capacidad de representar la semántica de ensamblaje mediante lenguaje intermedio, emulando el uso de jit (análisis de código dinámico, desempaque) y la simplificación de expresiones para desofuscación automática.

Nos vemos el próximo año en RECON 2015

Twitter: @nicolasbrulez


El ascenso de la ciberdelincuencia en Dubai y en EAU


  30 junio 2014 | 14:25  MSK

Comentar  

Gran parte de nuestras actividades cotidianas comerciales y de comunicación se llevan a cabo en Internet, y aumentan las amenazas de los ciberdelincuentes contra ciudadanos, negocios y gobiernos.

Las organizaciones y los ciudadanos están preocupados por el incremento de los ciberdelitos, no sólo por los daños financieros, sino por la pérdida de su privacidad y de su propiedad intelectual, además del deterioro que causan a su reputación.

Los últimos datos estadísticos revelan un dramático crecimiento de las actividades de ciberdelincuentes en los Emiratos Árabes Unidos (EAU). Los mercados emergentes han sido por mucho tiempo uno de los blancos favoritos de los ciberpiratas.

Los datos estadísticos oficiales de Dubai muestran un incremento dramático del 88% en la cantidad de casos de ciberdelincuencia denunciados en 2013 en comparación al año previo. El departamento de ciberinvestigaciones de la policía de Dubai informó sobre 1.419 casos en 2013, 792 en 2012 y 588 en 2011.





Estadísticas de Kaspersky sobre malware en EAU y en el mundo

El aumento en el número de ataques en EAU y en la región se refleja también en la cantidad de ataques e intentos de infección que Kaspersky Security Network ha detectado en la región. La red en nube KSN utiliza las más modernas tecnologías de inteligencia para elaborar informes y análisis de las amenazas en todo el mundo.


Estadísticas de Kaspersky sobre las detecciones más importantes en el mundo en 2014

Adware.Win32.Amonetize.heur

3,700,000+

Worm.VBS.Dinihou.r

1,800,000+

Virus.Win32.Sality.gen

1,780,000+


AdWare.Win32.BetterSurf.b

1,500,000+

AdWare.Win32.Yotoon.heur

1,500,000+

Exploit.Win32.CVE-2010-2568.gen

1,388,000+

Worm.Win32.Debris.a

1,094,000+

Trojan.Win32.Starter.lgb

1,007,000+

AdWare.Win32.Skyli.a

883,000+

Exploit.Java.Generic

850,000+

Trojan.Win32.AntiFW.b

829,000+

Virus.Win32.Nimnul.a

713,000+

Trojan.WinLNK.Runner.ea

676,000+


Las razones para el ascenso del ciberdelito en EAU

En los últimos años, el uso de dispositivos electrónicos inteligentes y de servicios de Internet ha tenido un aumento significativo, ya que todos los dispositivos se conectan a Internet.


Aumento en el uso de servicios online

Según los últimos datos estadísticos, la cantidad de usuarios de Internet en EAU ha llegado al 92%, debido a que mucha gente ahora recurre a los servicios online para realizar sus transacciones financieras cotidianas. Los principales servicios son:


  1. Transacciones electrónicas gubernamentales, pago electrónico de cuentas
  2. Banca electrónica
  3. Compras electrónicas


Si bien los beneficios que los servicios online ofrecen son evidentes, también aparecen las amenazas de ataques en busca de la información personal de los usuarios.


Amenazas por smartphones

La mayoría de las personas en EAU y en la región del golfo posee dispositivos móviles inteligentes, porque les brindan muchas ventajas, como el acceso a servicios online. Los usuarios creen que, por su elevado precio, sus dispositivos vienen protegidos desde la fábrica, pero están equivocados.

La plataforma móvil más atacada es Android. En Kaspersky Lab hemos detectado hasta ahora más de 10 millones de programas maliciosos únicos.

En el primer trimestre de este año, el porcentaje de amenazas contra los dispositivos Android superó en un 99% al resto de las otras amenazas. Las detecciones en los últimos tres meses incluyeron:


  • 1.258.436 paquetes de instalación.
  • 110.324 programas maliciosos nuevos para dispositivos móviles.
  • 1.182 troyanos banqueros móviles nuevos.

Intereses monetarios

El notable aumento en el uso de servicios de pago electrónico y otros, además de la amplia disponibilidad de smartphones desprotegidos, ha motivado a los ciberdelincuentes a lanzar ataques con programas maliciosos y ataques phishing contra los usuarios de todo tipo de dispositivos.

Tal como sucede con los delitos en el mundo real, el dinero es el gran motivador también en el caso de las amenazas que circulan en Internet, pues la percepción de bajo riesgo y alta recompensa lucrativa estimula a los ciberdelincuentes a robar la identidad de sus víctimas y cometer fraudes.


Intereses personales

Los delitos pueden estar estimulados por emociones personales y venganzas. Desde empleados irritados hasta novios celosos, muchos delitos tienen motivos emocionales.


Intereses ideológicos y políticos

Este tipo de ataques, inspirados por razones morales, ideológicas o políticas, puede dañar o deshabilitar servicios y redes online como protesta contra personas, corporaciones o gobiernos. El grupo Anonymous es un ejemplo conocido de hackers con motivaciones ideológicas.

Los ataques más peligrosos contra los usuarios en EAU

Programas maliciosos bancarios

EAU es un país bien conocido por sus recursos financieros, por lo que los ataques con programas maliciosos bancarios apuntan a robarles a sus víctimas su información financiera, como los datos de sus tarjetas de crédito y de sus cuentas bancarias. Después, los ciberdelincuentes usan la información robada para transferir dinero desde las cuentas comprometidas.


Los programas maliciosos bancarios más populares en EAU son:


  • Zeus (Windows)
  • Carberp (Windows)
  • mToken (Android)


Zeus y Carberp hace mucho que atacan a los usuarios de Windows, y la disponibilidad de códigos de acceso público ha permitido a los ciberdelincuentes desarrollar variantes de estos programas maliciosos. Zeus Gameover, la última variante de Zeus, ha causado muchos daños en EAU, siendo éste el tercer país más golpeado del mundo. El FBI y Microsoft lograron desartucular Zeus Gameover el 2 de junio de 2014.





Número de ataques ZeuS y Carberp y archivos bloqueados entre el 5 y el 12 de Junio de 2014 en EAU


La organización Intercrawler fue la primera en detectar y denunciar mToken. Se trata de un programa malicioso distinto, que ataca sobre todo dispositivos Android, y que se usa para robar datos de cuentas bancarias y mensajes token SMS de los bancos. El número de ataques mToken llegó a 513.000 en el primer trimestre de este año en la región GCC, según los datos de la Autoridad Regulatoria de Telecomunicaciones. mToken se camufla como un generador de tokens bancarios para algunos de los bancos más conocidos en Arabia Saudita y EAU. La mayoría de las víctimas se encuentra en estos dos países.


Los productos de Kaspersky Lab han detectado y bloqueado las variantes de Zeus desde 2010, y las variantes de mToken desde 2012.


Programas ransomware: Bloqueadores y cifradores

Los troyanos ransomware pueden ser cifradores y bloqueadores. Un ataque puede provenir de diferentes fuentes, y puede camuflarse como adjuntos legítimos en mensajes de correo.

Algunos de estos programas bloqueadores pueden eliminarse sin causar daños al sistema ni a los archivos, pero otros pueden cifrar los archivos mediante el sistema criptográfico de clave pública RSA, y sólo los hackers tienen las claves para descifrarlos y recuperarlos.

El programa malicioso muestra un mensaje que ofrece desbloquear/descifrar el dispositivo y los datos del usuario si paga un rescate en un determinado plazo (mediante Bitcoin o cupones prepagados), y amenaza con eliminar la clave si se pasa el plazo.


Los bloqueadores y cifradores atacan principalmente a los dispositivos Windows, aunque han aparecido variantes que atacan a la plataforma Android.




Número de ataques ransomware y archivos bloqueados entre el 5 y el 12 de Junio de 2014 en EAU





Aunque un poco antiguo, el programa malicioso CashU sigue activo en EAU





Cryptolocker cifra los archivos del usuario y la única forma de recuperarlos es con la clave que poseen los ciberpiratas





Ransomware dirigido contra dispositivos Android, camuflado como una solución de seguridad


Los ataques más comunes en EAU

La cantidad total de ataques en 2014, hasta el 1 de junio, es de 12.713.890


Top 3 de adware en EAU en 2014

AdWare.Win32.BetterSurf.b

1,228,000+

AdWare.Win32.BrainInst.u

1,189,000+

AdWare.Win32.BHO.batb

680,000+


Top 3 de ataques malware en EAU en 2014

Virus.Win32.Sality.gen

378,000+

Net-Worm.Win32.Kido.ih

348,000+

Exploit.Win32.CVE-2010-2568.gen

339,000+


Virus Sality: bloquea algunas funciones de seguridad y utilidades en ordenadores Windows. También descarga programas maliciosos desde otros servidores. Infecta los archivos de Windows y se copia en unidades extraíbles y remotas.

Gusano Kido: también conocido como Conficker, es un programa malicioso que ataca el sistema operativo Windows, especialmente la vulnerabilidad MS08-067; también utiliza ataques de diccionario contra las contraseñas del administrador para propagar una botnet.

CVE-2010-2568 es una de las debilidades más conocidas del sistema operativo de Microsoft explotada con ataques de programas maliciosos para ejecutar códigos a través de un acceso directo (.lnk) que el sistema operativo no maneja correctamente.

El virus Sality, el gusano Kido y el exploit CVE-2010-2568 son ataques heredados que se usaron para infectar millones de equipos en todo el mundo y que siguen propagándose por su facilidad de infectar nuevos equipos y porque están disponibles al público y que los ciberdelincuentes aprovechan, lo que explica el tremendo índice de infecciones en equipos desprotegidos.

Al observar los últimos datos estadísticos, vemos que los ataques más comunes en EAU no son nuevos:


Fecha de la primera detección de malware por familia

BetterSurf adware

Oct 2013

BrainInst adware

Dec 2013

BHO adware

Mar 2006

Sality virus

Oct 2009

Kido worm

Nov 2008

CVE-2010-2568 exploit

Jul 2010


Las principales razones para que los antiguos ataques sigan tan vigentes son estas:


  • Falta de parches apropiados en el sistema operativo del usuario.
  • Uso de software pirata.
  • Falta de soluciones de seguridad en los dispositivos de los usuarios.
  • Falta de buenas prácticas para manejar dispositivos inteligentes, como contraseñas sólidas y conciencia sobre la seguridad en Internet.


Conclusión y expectativas de futuro

Los programas maliciosos suelen funcionar en modo oculto, por lo que no es fácil darse cuenta de su presencia en el equipo; controlan y roban la información del usuario y la utilizan para robarle su dinero, o se revelan para extorsionar al usuario y exigir dinero. En la mayoría de los casos los ciberdelincuentes no están interesados en la información en los equipos de usuarios personales y de corporaciones. Pero estos datos son de vital importancia para el propietario, y los ciberdelincuentes manipulan la necesidad de confidencialidad, integridad y disponibilidad de sus víctimas para causarles daños financieros y de reputación.

EAU tiene una población diversa, cosmopolita y multicultural, un acelerado crecimiento económico y un desarrollo en la región que alienta a los ciberpiratas a atacar a sus ciudadanos, mediante las tecnologías más modernas a su alcance.

El aumento en la cantidad y complejidad de las amenazas contra los usuarios individuales y corporativos en EAU requiere una mejor protección y concienciación sobre las amenazas que circulan en Internet.


Sígueme en Twitter: @mahasbini

HackingTeam 2.0: La historia se moviliza


  Global Research & Analysis Team (GReAT), Kaspersky Lab       25 junio 2014 | 18:30  MSK

Comentar  

Ha pasado más de un año desde la publicación de nuestro último artículo sobre HackingTeam, la compañía italiana que desarrolla una herramienta spyware “legal” conocida como Sistema de Control Remoto (RCS). Desde entonces, muchas cosas han sucedido, por lo que es tiempo de actualizar los resultados de nuestra investigación sobre el programa malicioso RCS.

Localización de los servidores de comando


Una de las cosas más importantes que hemos descubierto durante nuestra prolongada y extensa investigación es una característica específica que puede usarse para localizar los servidores de comando de RCS. En la conferencia Virus Bulletin 2013 presentamos los detalles de esta metodología.

En resumen, cuando una petición especial se envía a un servidor HackingTeam RCS C&C “inofensivo”, este responde con el siguiente mensaje de error:



Imagen de nuestra presentación en VB 2013 con la huella digital del servidor C&C de HackingTeam.


En primer lugar, aparece el identificador ‘RCS’. Bien. No estábamos seguros acerca del ‘Collector’ mencionado en la respuesta. Quizás se refiera al hecho de que el servidor ‘recopila’ información de sus víctimas. Utilizamos este particular método de huellas digitales para analizar todo el espacio IPv4, lo que nos permitió encontrar todas las direcciones IP de los servidores C&C de RCS en todo el mundo e identificarlos en un mapa. En total, identificamos 326 servidores C&C.


Cantidad de servidores C&C País
64 Estados Unidos
49 Kazajistán
35 Ecuador
32 Reino Unido
24 Canadá
15 China
12 Colombia
7 Polonia
7 Nueva Zelandia
6 Perú
6 Indonesia
6 Brasil
6 Bolivia
6 Argentina
5 Federación Rusa
5 India
4 Hong Kong
4 Australia
3 España
2 Arabia Saudita
2 Malasia
2 Italia
2 Alemania
2 Francia
2 Egipto
1 Ucrania
1 Tailandia
1 Suecia
1 Singapur
1 Rumania
1 Paraguay
1 Marruecos
1 Lituania
1 Kenia
1 Japón
1 Irlanda
1 Hungría
1 Dinamarca
1 República Checa
1 Chipre
1 Bélgica
1 Azerbaiyán
1 Otros


Mapa con los países que alojan a servidores de HackingTeam


La mayor cantidad de servidores identificados se encontraba en Estados Unidos, Kazajistán y Ecuador. Por desgracia, no estamos seguros si los LEAs de un determinado país utilizan los servidores de ese país. Sin embargo, tendría sentido si los LEAs ponen sus servidores C&C en sus propios países para evitar problemas legales internacionales y la captura de los servidores. Sin embargo, identificamos varias IPs relacionadas con “gobiernos” en base a su información WHOIS lo que nos dio una clara indicación de quiénes son sus dueños.


Módulos móviles

Por algún tiempo se sabía que los productos de HackingTeam incluían programas maliciosos para teléfonos móviles, pero rara vez se los veía. En particular, nunca se habían detectado los troyanos para iOS y Android y representaban uno de los vacíos en la historia. A principios de este año descubrimos varios módulos de programas maliciosos móviles provenientes de HackingTeam para las siguientes plataformas:


  • Android

  • iOS

  • Windows Mobile

  • BlackBerry


Todos estos módulos se controlan con el mismo tipo de configuración, lo que es un buen indicio de que están relacionados y que pertenecen a la misma familia de productos.


Archivo de configuración de los módulos móviles de RCS


Sin duda, nuestro principal interés durante el análisis de los módulos móviles se centraba en iOS y Android, por su popularidad. El módulo iOS funciona sólo en dispositivos decodificados. La siguiente es una descripción de la función principal del módulo iOS:

  • Control de Wi-Fi, GPS, GPRS.

  • Grabación de voz.

  • E-mail, SMS, MMS.

  • Listado de archivos.

  • Cookies.

  • URLs visitadas.

  • Páginas web en caché.

  • Libreta de direcciones.

  • Historial de llamadas.

  • Notas.

  • Calendario.

  • Portapapeles.

  • Lista de aplicaciones.

  • Cambio de SIM.

  • Micrófono en vivo.

  • Uso de la cámara.

  • Conversaciones en WhatsApp, Skype, Viber.

  • Registro de actividades en el teclado para todas las aplicaciones y ventanas mediante libinjection.


Código desarticulado del módulo iOS.


El módulo Android está protegido por el optimizador/ofuscador DexGuard y por eso resulta muy difícil de analizar. Sin embargo, descubrimos (ver el rastro debajo) que la muestra tiene todas las funciones del módulo iOS que hemos mencionado arriba, además de soporte para robar información de la siguientes aplicaciones:


  • com.tencent.mm

  • com.google.android.gm

  • android.calendar

  • com.facebook

  • jp.naver.line.android

  • com.google.android.talk



Rastro de una muestra de RCS Android.


Infectadores móviles

Otro aspecto de particular interés para nosotros era la forma en que los programas maliciosos se instalaban en los dispositivos móviles. Descubrimos varios módulos que infectaban los dispositivos móviles conectados a ordenadores Windows o Mac OS X infectados.

Como ya hemos mencionado, el módulo iOS sirve sólo en dispositivos decodificados. Es por eso que el infectador iOS utiliza el protocolo de transferencia AFP2. El ‘infectador’ posee una agradable GUI que le permite la instalación si tiene acceso físico al dispositivo de la víctima o acceso al administrador remoto de un ordenador infectado.


Ventana principal del infectador iOS


iPhone1,1 iPhone1,2 iPhone2,1
iPhone3,1 iPhone3,2 iPhone3,3
iPhone4,1 iPhone5,1 iPhone5,2
iPad1,1 iPad2,1 iPad2,2
iPad2,3 iPad2,4 iPad3,1
iPad3,2 iPad3,3 iPad3,4
iPad3,5 iPad3,6 iPhone
iPhone 3G iPhone 3GS iPhone 4
iPhone 4 iPhone 4 (cdma) iPhone 4s
iPhone 5 (gsm) iPhone 5 iPad
iPad2 (Wi-Fi) iPad2 (gsm) iPad2 (cdma)
iPad2 (Wi-Fi) iPad3 (Wi-Fi) iPad3 (gsm)
iPad3 iPad4 (Wi-Fi) iPad4 (gsm)
iPad4    

Lista de dispositivos Apple compatibles con el infectador iOS.

Después de conectarse, el infectador iOS copia varios archivos en el iOS y ejecuta el archivo install.sh:


Segmento del archivo install.sh que se ejecuta en un dispositivo iOS infectado.


Como hemos mencionado más arriba, el acceso al administrador remoto de un ordenador infectado es una de las posibles formas en que se instala el programa malicioso en un dispositivo móvil conectado. El hecho de que sólo los dispositivos iOS decodificados sean compatibles puede ser un factor limitante, pero este no es un problema grave puesto que el atacante también puede ejecutar una herramienta decodificadora como Evasi0n a través del mismo ordenador infectado. En este caso, lo único que puede proteger al usuario contra una decodificación remota e infección de su dispositivo, es su clave de acceso. Sin embargo, si el dispositivo no está protegido mientras está conectado a un ordenador infectado, el atacante podrá infectarlo.

Otro interesante infectador móvil es el desarrollado para los dispositivos BlackBerry, que usa la aplicación JavaLoader para cargar programas maliciosos en BB 4.5 y 5.0. Cuando desarticulamos su código encontramos una ruta al archivo depurador PDB, que al parecer sus autores cometieron el error de olvidarlo. El proyecto original se encontraba en ‘C:\HT\RCSBlackBerry\Workspace\RCS_BB_Infection_Agent\’ cuando se creó este programa malicioso.


Segmento del código de un infectador Blackberry con una ruta al archivo PDB.


Resumen

En la última entrega de nuestra investigación descubrimos una enorme infraestructura utilizada para controlar los implantes de programas maliciosos RCS. En nuestra investigación más reciente hemos identificado módulos móviles que funcionan en todas las plataformas móviles de renombre, incluyendo iOS y Android. Estos módulos se instalan mediante infectadores especiales para Windows o Mac que se ejecutan en ordenadores ya infectados. Estos infectadores toman el control total del ambiente interno y externo del ordenador de la víctima. Mediante la activación secreta del micrófono y capturas regulares de pantalla ejercen una vigilancia permanente de la víctima, lo que es una forma mucho más poderosa que las tradicionales operaciones a capa y espada.

Los nuevos datos que publicamos sobre el RCS de HackingTeam son de máxima importancia porque muestran el grado de sofisticación y la escala que alcanzaron estas herramientas de vigilancia. Quisiéramos creer que si logramos proteger a nuestros clientes contra estas avanzadas amenazas, con seguridad no tendremos problemas con otras amenazas menores y más comunes propias de los ciberpiratas.


Apéndice:


MD5s de infectadores móviles:

  • 14b03ada92dd81d6ce57f43889810087 – infectador BlackBerry

  • 35c4f9f242aae60edbd1fe150bc952d5 – infectador iOS


MD5s de muestras Android:

  • ff8e7f09232198d6529d9194c86c0791

  • 36ab980a954b02a26d3af4378f6c04b4

  • a2a659d66e83ffe66b6d728a52130b72

  • 9f06db99d2e5b27b01113f78b745ff28

  • a43ea939e883cc33fc766dd0bcac9f6a

  • a465ead1fd61afe72238306c7ed048fe


MD5s de muestras Windows:


  • bf8aba6f7640f470a8f75e9adc5b940d

  • b04ab81b9b796042c46966705cd2d201

  • 1be71818a228e88918dac0a8140dbd34

  • c7268b341fd68cf334fc92269f07503a


Lista de servidores C&C activos en 19.06.2014:

  • 50.63.180.***

  • 146.185.30.***

  • 204.188.221.***

  • 91.109.17.***

  • 106.186.17.***

  • 119.59.123.***

  • 95.141.46.***

  • 192.71.245.***

  • 106.187.99.***

  • 93.95.219.***

  • 106.187.96.***

  • 124.217.245.***

  • 23.92.30.***

  • 82.146.58.***

  • 93.95.219.***

  • 209.59.205.***


Módulos RCS (con los nombres de clasificación de Kaspersky Lab):

  • Backdoor.OSX.Morcut

  • Rootkit.OSX.Morcut

  • Trojan.OSX.Morcut

  • Backdoor.Win32.Korablin

  • Backdoor.Win64.Korablin

  • Rootkit.Win32.Korablin

  • Rootkit.Win64.Korablin

  • Trojan.Multi.Korablin

  • Trojan-Dropper.Win32.Korablin

  • Backdoor.AndroidOS.Criag

  • Trojan-Spy.AndroidOS.Mekir

  • Trojan.Win32.BBInfector

  • Trojan.Win32.IOSinfector

  • Trojan.OSX.IOSinfector

  • Trojan-Spy.IphoneOS.Mekir

  • Trojan-Spy.WinCE.Mekir

  • Trojan-Spy.BlackberryOS.Mekir

Page Top  |  Archivo >>

 

Copyright © 1996 - 2014
Kaspersky Lab
Todos los derechos reservados

Correo electrónico: webmaster@viruslist.com