Sexo, Exploit Kits y Ransomware

Para gustos los colores. Cada uno tiene gustos diferentes y más si hablamos de artistas y actrices. A algunos les gusta Carlos Latre o Dani Martinez, a otros Lady Gaga o Camela y otros se decantan por Laura Lion o Nacho Vidal. No pasa nada con esto, a no ser que el hecho de visualizar algunos vídeos de estos profesionales pueda llevar a que tu equipo se infecte y no puedas volver a usarlo a no ser que pagues por ello. Esto es lo que le pasó a un conocido debido a su amor por la mencionada Laura Lion.

El caso es que el sistema no se podía utilizar, ya que nada más arrancar, y pasados unos segundos de que apareciera el Escritorio, sólo se podía ver una pantalla con un aviso, supuestamente enviado por el “Cuerpo Nacional de Policía”, alertando de que el equipo se había usado para realizar acciones ilegales tales como pornografía infantil, temas relacionados con terrorismo, violencia sobre menores, etc. : "Fue detectado un caso de actividad ilegal. El sistema operativo fue bloqueado por violación de las leyes de España!". Realmente es un aviso impactante para un usuario normal y puede llegar a preocupar bastante, por lo que se puede decir que la ingeniería social en este caso ha superado con creces su propósito de engañar. Sin embargo, el aviso también menciona que si se quiere quitar el bloqueo del ordenador se debe pagar una multa de 100€ mediante los sistemas de pago Ukash o Paysafecard, dato del que se puede desconfiar con facilidad y hace que se llame casi de inmediato al teléfono de la policía. Una vez que esta pantalla aparecía no se podía ejecutar el Administrador de Tareas, volver al Escritorio ni realizar ninguna otra acción.

Después de analizar el sistema infectado en Modo Seguro y sabiendo cuándo se utilizó correctamente por última vez se puede realizar una búsqueda de archivos creados ese día, estableciendo una línea temporal, y así conocer cómo se llegó a infectar el equipo. Gracias a esto se puede encontrar el ejecutable en cuestión y otros archivos interesantes, como unos *.idx con las peticiones HTTP realizadas a un dominio malicioso y un .jar. Las URLs encontradas fueron las siguientes:

http://car.xxxx.info/content/v1.jar

http://car.xxxx.info/w.php?f=23&e=0

Los paths de estas URLs son bastante familiares y pertenecen a un Exploit Kit, más concretamente BlackHole, como se puede ver si se realiza una búsqueda rápida. En este caso la vulnerabilidad que se explotó de forma satisfactoria fue la CVE-2011-3544 de Java, llevando a la descarga de la segunda URL y la ejecución del código malicioso.

El malware encontrado forma parte de la familia de los Ransomware, que, como se ha visto, bloquean el sistema o cifran los archivos pidiendo cierta cantidad de dinero a cambio de desbloquearlo. Normalmente se pide una especie de rescate (del inglés ransom) para liberar el sistema, pero en este caso se hace uso de ingeniería social para engañar al usuario y obtener el dinero. Las acciones más relevantes que realiza son las siguientes:

• Asegura su inicio creando un acceso directo en \Documents and Settings\$USUARIO\Menú Inicio\Programas\Inicio para ejecutar rundll32.exe con la DLL descargada.

• Deshabilita la seguridad de las zonas de Internet Explorer.

• Deshabilita el atajo de teclado para el Administrador de Tareas (Ctrl+Alt+Supr).

• Muestra el citado aviso, que no es más que una ventana de Internet Explorer con el contenido de la siguiente URL (todavía activa):

http://xxx.yyy.73.43/

• De la misma forma, intenta descargar un módulo para el robo de credenciales de FTP, VPN, Mensajería instantánea, Navegadores y aplicaciones de Poker de la siguiente URL:

http://xxx.yyy.73.43/images.rar

La forma de eliminarlo en este caso sería entrar en el Modo Seguro de Windows y ejecutar alguna solución Anti-Spyware / Anti-Malware, o, de forma manual, localizar el acceso directo en \Documents and Settings\$USUARIO\Menú Inicio\Programas\Inicio y la DLL comentada, y eliminarlos. Para esta infección los archivos se llamaban 0.1998781520909214.exe.lnk y 0.1998781520909214.exe, aunque estos nombres podrían variar. También se podría hacer uso de un Live-CD para realizar la misma tarea.

Este incidente se ha repetido en diferentes puntos de España (y anteriormente en el extranjero) y es una campaña todavía en uso, por lo que es recomendable el uso de protección al visitar ciertos sitios. No sólo hablo de un antivirus actualizado, que en este caso lo estaba, sino de estar al día con las actualizaciones de aplicaciones de terceros y del propio sistema operativo. Como comentaba, cada uno tiene sus gustos y aficiones, pero os recomendaría tener cuidado con ellos cuando se relacionan con las tecnologías, ya que la seguridad debe estar presente siempre ;)


Jose Miguel Esparza
S21sec e-crime
(Blog / Twitter)

Un Año de Fraude (1ª Parte)

Una vez concluido el año llega el momento de realizar un pequeño resumen sobre todo lo que hemos visto en el pasado año 2011. Los datos que vamos a presentar hoy son relativos a los incidentes de fraude cerrados por el SOC/CERT de S21sec.

En total hemos actuado en 4759 incidentes de fraude que afectaban directamente a nuestros clientes, un número ligeramente inferior a los registrados en el año anterior. Se puede observar la distribución de estos incidentes en la siguiente gráfica.

Una vez más el número de incidentes relacionados con phishings es muy superior a los relacionados con código malicioso, esto es debido principalmente a nuestros clientes de Latinoamérica donde las incidencias de código malicioso son mínimas.

En la siguiente gráfica apilada se muestra la distribución mensual de todos los incidentes.

Se puede observar muy claramente que existen dos picos en la cantidad de incidentes registrados, este incremento de incidentes se repite año tras año. Normalmente suceden en fechas coincidentes con los periodos vacacionales, donde generalmente los usuarios están más relajados y menos concienciados con la seguridad.

A modo de reflexión personal de 2011 debo decir que han pasado los meses y aun continuo expectante de novedades, que finalmente no han llegado a producirse. El año 2010 fue un año muy interesante, donde pudimos observar tanto nuevas formas de ataques (MiTB, MitMo) cómo nuevas familias de código malicioso (Tatanga, SpyEye,…)

¿Qué ha pasado en 2011?

Ahora que podemos analizar 2011 desde con una vista completa podemos considerarlo un año de transición, donde hemos observado cómo los ciberdelincuentes han mejorados los métodos y herramientas utilizados en el fraude, pero sin introducir ninguna novedad notoria.

¿Se debe este estancamiento a la crisis económica mundial?

Es difícil relacionar los cambios en la tipología del fraude con la realidad económica, pero es indudable que hay ciertos aspectos que han influido en los últimos meses.

Los ataques de ingeniería social, realizados generalmente por individuos no organizados, han aumentado considerablemente. Esto es debido principalmente a que los costes asociados los mismos son mínimos, que ha provocado que entren en escena numerosos nuevos individuos que intentan obtener resultados rápidos con una mínima inversión. Este dato es muy interesante sobre todo en Latinoamérica, único lugar del mundo donde hemos observado un incremento de incidentes respecto a años anteriores.

En el lado opuesto tenemos a los ataques relacionados con código malicioso, mucho más complejos y costosos. Estos generalmente están realizados por mafias con abundantes recursos y muy bien organizadas. En este año esperábamos el despegue de SpyEye ya que ZeuS, su principal rival, abandonó su desarrollo a finales del año 2010 y su código fuente fue publicado. Sin embargo este hecho no se ha producido, probablemente debido a su alto precio. Hemos visto además cómo algunas “bandas” han aprovechado el código de ZeuS para desarrollar nuevas familias de malware sin tener que asumir un coste asociado.

David Ávila

S21sec ecrime

Tourist Periscope gestionará la información del sector turístico en la Red

Desde S21sec labs estamos liderando el proyecto Tourist Periscope, con el objetivo de desarrollar la solución tecnológica que ayudará a detectar diferentes oportunidades del mercado y a reducir el riesgo en la toma de decisiones estratégicas, previendo las tendencias turísticas.

Internet es fuente de innumerable cantidad de información, lo que en muchas ocasiones constituye una amenaza para una empresa por no poder gestionar el volumen de información o puede ofrecerle una oportunidad de negocio difícil de detectar entre tantos datos que circulan por la Red.

El gran incremento de información en el sector turístico supone graves dificultades para las empresas turísticas, instituciones y administraciones a la hora de gestionar, identificar y optimizar la búsqueda de contenidos de interés para su negocio.

Por esta razón S21sec creará, gracias a su experiencia en el desarrollo de tecnologías de búsqueda de información, indexación y clasificación de información de fuentes abiertas, la aplicación Tourist Periscope en su centro de I+D+i en seguridad S21sec labs y en colaboración con agentes especializados del sector turístico, tanto a nivel universitario como empresarial. Este proyecto de I+D+i está enmarcado dentro de los proyecto INNPACTO del Ministerio de Economía y Competitividad. La nueva plataforma TIC estará orientada al sector turístico y será capaz de gestionar y racionalizar la información en función del perfil del demandante y el objetivo que éste quiera conseguir. Esta nueva herramienta es capaz de analizar el entorno turístico de forma particularizada e integrada con las redes sociales generando así una unidad de Inteligencia Turística.

El objetivo de Tourist Periscope es dotar a las empresas del sector turístico de una nueva solución tecnológica de fácil uso para detectar las diferentes oportunidades del mercado y reducir el riesgo en la toma de decisiones estratégicas a través de la anticipación a los movimientos turísticos.

Dpto. Marketing S21sec

Nueva convocatoria planes de carrera online

En S21sec seguimos apostando por la formación continua en seguridad, por lo que con el objetivo de seguir generando cultura de seguridad digital, el próximo 24 de enero damos el pistoletazo de salida al primer nivel de los planes de carrera online:

• Network Security Administrator (NSA)
• Information Security Professional (ISP)
• Professional Security Auditor (PSA)

Puedes consultar nuestro catálogo completo de formación en nuestra web.

S21sec

Nueva campaña SpyEye + complemento móvil

Hace ya más de un año que vimos por primera vez cómo ZeuS incorporaba un componente móvil para tratar de robar el SMS enviado por nuestro bando al realizar una transferencia. Más adelante fue SpyEye el que incorporaba esta misma técnica.

Estos días se ha podido ver una nueva campaña afectando a entidades españolas, en las que se insta al usuario a instalar un componente si su teléfono es Android. Si bien las primeras muestras eran para Symbian y BlackBerry, las siguientes incorporaban Android entre sus objetivos, y es que el uso generalizado de esta plataforma, junto con la facilidad para desarrollar aplicaciones para la misma, han hecho que se convierta en uno de los objetivos favorito de los creadores de malware.

La infección del terminal móvil no es trivial, por lo que se trata de engañar al usuario para que sea él mismo quien infecte el móvil, utilizando para ello la ingeniería social. Es por este motivo que es muy importante que se conozca la amenaza, ya que un usuario que no es consciente de que su móvil puede ser infectado es totalmente vulnerable a este ataque.

En el caso que nos ocupa, al visitar la página de la entidad bancaria, un ordenador infectado tratará de convencer al usuario para que instale una aplicación en el móvil haciéndole creer que está instalando un programa para asegurar las comunicaciones.

Se procede a la verificación de la instalación, pidiendo un número que el móvil enseñará nada más instalarse

Por último, se mostrará el mensaje de instalación satisfactoria.

Si el móvil no es Android, el SpyEye simplemente nos dirá que no necesitamos más seguridad.

A pesar de que muchas veces hayamos podido oir el mal utilizado término "SpyEye para Android", debemos aclarar que el componente que infecta el móvil no se trata de una versión de SpyEye para el mismo, ya que no es capaz de interceptar la navegación en la banca electrónica ni nada parecido. Se trata una aplicación muy simple, pero capaz de reenviar los SMS recibidos a un servidor externo mediante una sencilla petición GET, con los datos como parámetros. Se trata de un mero complemento totalmente ajeno al malware que infecta el PC y que podría ser utilizado indistintamente por cualquier troyano bancario.

Como ejemplo de la simpilicidad de la aplicación, decir que el cifrado de la cadena de caracteres referente al servidor de envío de los SMS consiste únicamente en intercalar valores "=", "-" y "q", tal y como se puede ver en el siguiente ejemplo, muy similar a la URI original.

Por lo tanto, nos encontramos ante una nueva campaña de infección que realmente no tiene nada nuevo desde el punto de vista técnico, pero debemos recalcar la importancia de que la gente vaya conociendo este tipo de amenazas para evitar caer en el engaño.

Mikel Gastesi

S21sec e-crime

Murofet: cambiando a zlib

El tiempo pasa, y en el mundo del malware van a apareciendo nuevas amenazas, pero las ya consolidadas siguen evolucionando, y parece ser que todo apunta a que seguirán haciéndolo.

En esta ocasión vamos a volver de hablar de ZeuS, concretamente de la versión conocida como Murofet.

Alla por junio hablábamos de las diferentes ramificaciones del mismo, y también hemos visto que los desarrolladores de esta variante han implementado nuevas funcionalidades como el P2P o la generación de nombres de dominio, en lo también conocido como Murofet 2.0.

En una de las últimas muestras recibidas vimos que algo no encajaba con el comportamiento habitual, por lo que, tras analizarla con un poco más de calma, hemos podido comprobar que ciertas secciones que están comprimidas, en vez de utilizar UCL, ahora han pasado a ser comprimidas con zlib.

Uso de zlib v1.2.5

Zeus ha evolucionado mucho. Atrás queda el tiempo en el que cada botnet no tenía su clave y el cifrado constaba tan solo de un xor y poco más. Observando la evolución, se ha podido observar como los creadores han madurado, han dejado de reinventar la rueda y han incorporando algoritmos criptográficos ya existentes, mucho más robustos que los primeros, algo totalmente lógico.

Y hablando particularmente del gang detrás de Murofet, podemos observar una constante evolución, separándose cada vez más de la versión oficial. Los cambios que han incorporado poco a poco, tanto a nivel más interno (en cuanto a la modificación de características en la codificación del fichero de configuración) como el añadir las características antes mencionadas, indican un buen conocimiento de lo que se traen entre manos.

Además, no olvidemos el detalle de que la primera variante la pudimos ver antes de que el código fuente se filtrase, por lo que está claro que hay detrás un grupo con los objetivos claros.

Seguiremos jugando.

Jozsef Gegeny y Mikel Gastesi

S21sec e-crime

Campaña navideña de robo de contraseñas

En estos días tan señalados, y como viene siendo habitual, proliferan las campañas realizadas a través de correo electrónico, con temática navideña, con la intención de vender Viagra, distribuir malware o intentar robar contraseñas de correo. Estos días he recibido varios correos de mis contactos para que visitara una postal navideña de un usuario anónimo, en nombre de Correos.

Está claro que no tiene buena pinta, y si seguimos el enlace nos encontramos con una pantalla de login, donde debemos meter nuestra contraseña de correo para, supuestamente, ver nuestra postal. Este login aparece en primer plano, mientras que de fondo se carga la página legítima de Correos para parecer más real y verídico.

Nuestra cuenta de correo se pasa como parámetro al pulsar el enlace y está codificada en Base64:

Lo curioso es que el servidor lleva un registro de las cuentas válidas y no muestra el login siempre, sino que debe ser una cuenta a la que se haya enviado anteriormente el correo. En caso contrario muestra un error:

El objetivo de esta campaña parece claro, y no es otro que el robo de contraseñas de correo electrónico. Se trata de una cadena, en la que cuando suministras una contraseña correcta de correo, se registra y se buscan los contactos de esa cuenta para enviarles a su vez el mismo correo. La finalidad de esta recolección puede ir desde la venta de esta información en el mercado underground al uso de las cuentas para el envío de SPAM u otras campañas similares, por lo que se recomienda el cambio de la contraseña si se ha llegado a introducir en esta página fraudulenta.

También es destacable la firma y el contenido del correo. Se firma en nombre de una persona que realmente existe y está relacionada con el mundo del Marketing, como indica la firma del correo fraudulento. Si echamos un vistazo a la página web de la empresa para la que trabaja, vemos que se pueden enviar regalos navideños, y si nos fijamos en su texto promocional, éste coincide exactamente con el texto que se incluye en el correo electrónico. Por lo menos parece que los delincuentes se han molestado en usar identidades y textos reales para realizar esta campaña, dotándola de mayor realismo de cara a obtener el mayor número de contraseñas posibles.

El dominio se creó el 12 de diciembre (hace 15 días) y la IP a la que resuelve pertenece a un bloque de direcciones localizadas en China.

Como ya he comentado, es necesario que en estas fechas se esté más atento si cabe a este tipo de correos, evitando cualquier tipo de interacción con los servidores maliciosos. ¡Felices fiestas a todos! pero sin olvidarse de la seguridad... ;)

Jose Miguel Esparza
S21sec e-crime
(Blog / Twitter)