Español | English
rss facebook linkedin Twitter

Nuevo troyano bancario 'Slave' afectando a bancos de Polonia

Hemos detectado un nuevo troyano desconocido que utiliza inyecciones en formato JSON. Después de ver tantos troyanos usando inyecciones tipo ZeuS, es interesante encontrarse algo así. Actualmente afecta a entidades polacas. El análisis preliminar de las inyecciones nos ha permitido ver que en ciertas entidades se incluye el código necesario para realizar transferencias automáticas (ATS).


La muestra tiene un chequeo que evita que pueda ser ejecutada a partir del 1 de abril de 2015. Esto no quiere decir que a partir de ese día desaparaezca la amenaza, es muy probable que el botmaster envíe una actualización del binario antes de esa fecha. El objetivo de la medida es, probablemente, el limitar la ventana de tiempo en la que las muestras pueden ser analizadas de forma automática en sandboxes. 


Existen indicios de que el autor usó el código fuente de chromium para crear el troyano al cual hemos decidido bautizar como Slave.


Uno de los nombres con los que se ha distribuido el troyano es Faktura V_388_02_20_2015.doc.scr lo cual parece indicar que al menos una de las vías de distribución del malware con las campañas de spam.

En un futuro, y una vez hayamos analizado las inyecciones en detalle, actualizaremos el blog para mostrar cómo funciona el módulo ATS de las mismas.

S21sec Ecrime

El retorno de Stuxnet

No es realmente cierto que el virus Stuxnet pueda volver a penetrar en un sistema de control y provocar un ataque como hizo ya hace 5 años; pero hace un mes se ha conocido que una de las vulnerabilidades que aprovechaba este virus sigue existiendo, y que afecta a los sistemas Windows.

Pongamos en antecedentes. Hace ya unos años os contamos en este post y este otro cuál era el funcionamiento de Stuxnet a bajo nivel y cómo se aprovechaba de las vulnerabilidades. Básicamente el virus entró en el sistema a través de una memoria USB infectando un equipo y a partir de ahí se extendió a diferentes equipos y dispositivos de la red de control.

El funcionamiento de la vulnerabilidad ahora redescubierta es sencillo, se aprovecha de la carga de ficheros de iconos (.cpl) por ficheros de enlaces (.lnk) para ejecutar código arbitrario. Los ficheros de iconos funcionan como dlls, haciéndose una carga dinámica de ellos.

Supuestamente Microsoft solucionó la vulnerabilidad con un parche de seguridad publicado en el verano de 2010, o eso se pensaba. El problema es que este parche no soluciona el problema, así lo han demostrado a principios de éste 2015 técnicos de Kaspersky Labs, y los sistemas llevan conviviendo con la vulnerabilidad durante 4 años pensando que ya estaba solucionada. Microsoft ha publicado un nuevo parche de seguridad para solucionar esta vulnerabilidad, esperemos que esta vez hayan acertado.

Podéis encontrar más información leyendo esta noticia.

Jairo Alonso Ortiz
IACS&SCADA Security Researcher

CARBANAK APT: Ciberataque dirigido a cajeros (ATM)

En octubre de 2014, una investigación de la organización policial internacional Interpol alertó de un nuevo tipo de malware bancario denominado Tyupkin, que facilitaba a los criminales la obtención de control completo sobre los cajeros automáticos, permitiéndoles el robo de importantes cantidades de dinero en efectivo sin necesidad de uso de tarjetas de crédito o débito (para más información puede consultar nuestro blog post).

Lejos de ser un caso aislado, recientes eventos muestran un aumento de los ataques basados en malware dirigidos al entorno de cajeros automáticos, con una variedad de vectores de ataques que comparten un objetivo, el robo del dinero almacenado en efectivo, atacando directamente al banco sin necesidad de involucrar a los clientes.

El último incidente que ha atraido el interés de la industria es el denominado Carbanak APT (también conocido como Anunak), un sofisticado cibertatque que afecta a entidades financieras en más de 30 países con una pérdidas acumuladas cercanas a los mil millones de dólares.

El vector de ataque consiste en el compromiso de la red de la víctima mediante el envío de emails de spear phishing que permitían la descarga del código malicioso que a posteriori se propagaba por sistemas críticos.

Habiendo infectado a usuarios clave, los atacantes les espiaban para obtener un conocimiento detallado de las herramientas y procedimientos de trabajo internos, posibilitándoles copiar estos procedimientos para llevar a cabo sus actividades fraudulentas sin ser detectados por las contramedidas de seguridad del banco.

Aunque los cibercriminales utilizaron múltiples rutas, una de las más relevantes fue el control de la red de cajeros automáticos.

Control de una red de cajeros con  Carbanak

Una vez que la APT  Carbanak comprometía satisfactoriamente la red de la víctima, los atacantes ganaban acceso a la infraestructura de gestión de la red de cajeros infectando esos sistemas con su propio malware.


Campaña masiva de Dalexis + CTB-Locker

Campaña

En los últimos días se ha detectado una campaña masiva de SPAM en la que está siendo distribuido el downloader conocido como Dalexis. Debajo de estás lineas se puede apreciar una captura de pantalla de uno de los correos fraudulentos:




Los archivos adjuntos al correo de spam son ficheros comprimidos con extensiones .zip o .cab. En su interior contienen un archivo .scr que una vez ejecutado mostrará uno de los siguientes documentos:


  • Documento 1


  • Documento 2



  • Documento 3


Este downloader está vinculado al Ransomware CTB-Locker. Este cripto malware  se caracteriza por cifrar entre otras las siguientes extensiones de archivos: pdf, xls, ppt, txt, py, wb2, jpg, odb, dbf, md, js, pl, etc.

Así mismo es capaz de cifrar aquellas unidades de disco que estén mapeadas y sean accesibles como unidades locales.



Una vez cifrados los archivos la siguiente nota de rescate será mostrada:


Esta nota se mostrará dependiendo de la localización de la víctima en uno de los siguientes idiomas: francés, inglés, italiano, alemán y holandés. Los criminales han añadido información para guiar a la víctima en los pasos para realizar el pago del rescate




La descarga del ransomware se hace mediante un a petición a la red TOR (The Onion Router) con el fin de ocultar el contenido de la comunicación e impedir la inspección de los paquetes, esta petición se hace mediante una pasarela por lo que a simple vista parece una sesión de TLS normal.
El fichero descargado está a su vez cifrado siendo el downloader responsable de descifrarlo y lanzarlo a ejecución.

Hasta el momento hemos identificado los siguientes dominios :

•    hxxp[s]://voigt-its.de/fit/pack.tar.gz
•    hxxp[s]://scolapedia.org/histoiredesarts/pack.tar.gz
•    hxxp[s]://pleiade.asso.fr/piwigotest/pack.tar.gz
•    hxxp[s]://maisondessources.com/assets/pack.tar.gz
•    hxxp[s]://jbmsystem.fr/jb/pack.tar.gz
•    hxxp[s]://breteau-photographe.com/tmp/pack.tar.gz
•    hxxp[s]://www.cpeconsultores.com/tmp/pack.tar.gz
•    hxxp[s]://siestahealthtrack.com/media/pack.tar.gz
•    hxxp[s]://peche-sportive-martinique.com/wp-includes/pack.tar.gz
•    hxxp[s]://microneedle.com/menu_files/pack.tar.gz
•    hxxp[s]://hotel-mas-saint-joseph.com/css/pack.tar.gz
•    hxxp[s]://springtree.cba.pl/modules/cario.tar.gz
•    hxxp[s]://smartoptionsinc.com/data-test/nero.tar.gz
•    hxxp[s]://ppc.cba.pl/cache/nero.tar.gz
•    hxxp[s]://mmadolec.ipower.com/me/cario.tar.gz
•    hxxp[s]://masterbranditalia.com/downloader/cario.tar.gz
•    hxxp[s]://integritysites.net/files/nero.tar.gz
•    hxxp[s]://evalero.com/img/cario.tar.gz
•    hxxp[s]://compassfx.com/OLD/cario.tar.gz
•    hxxp[s]://collection-opus.fr/_gfx/cario.tar.gz
•    hxxp[s]://cargol.cat/IESABP/nero.tar.gz
•    hxxp[s]://bikeceuta.com/templates/nero.tar.gz
•    hxxp[s]://www.lamas.si/picture_library/upupup.tar.gz
•    hxxp[s]://wcicinc.org/flv/dostanes_do_drzky.tar.gz
•    hxxp[s]://thinkonthis.net/style/dostanes_do_drzky.tar.gz
•    hxxp[s]://stmarys-andover.org.uk/audio_files/upupup.tar.gz
•    hxxp[s]://sp107.home.pl/logs/dostanes_do_drzky.tar.gz
•    hxxp[s]://ohayons.com/dostanes_do_drzky.tar.gz
•    hxxp[s]://fotocb.de/php/upupup.tar.gz
•    hxxp[s]://dequinnzangersborne.nl/language/upupup.tar.gz
•    hxxp[s]://dariocasati.it/logs/dostanes_do_drzky.tar.gz
•    hxxp[s]://thomasottogalli.com/webtest/sancho.tar.gz
•    hxxp[s]://ourtrainingacademy.com/LeadingRE/sancho.tar.gz
•    hxxp[s]://m-a-metare.fr/media/sancho.tar.gz
•    hxxp[s]://locamat-antilles.com/memo/sancho.tar.gz
•    hxxp[s]://joefel.com/easyscripts/sancho.tar.gz
•    hxxp[s]://cds-chartreuse.fr/locales/sancho.tar.gz

Recuperación de los archivos infectados:

CTB-Locker usa un algoritmo de cifrado basado en curvas elípticas por lo que se puede considerar lo bastante fuerte como para garantizar que los ficheros no podrán ser recuperados, al menos a corto plazo.

Contramedidas

Como de costumbre la prevención es la mejor contramedida, el no abrir ficheros adjuntos en correos no solicitados y establecer una política adecuada que limite los permisos de los usuarios en las unidades compartidas de red.

Así mismo el impedir que una vez infectado el downloader pueda descargar el binario del ransomware. S21Sec analiza diariamente miles de muestras de malware la información extraída de dichas muestras alimenta el servicio de listas negras y la solución Lookwise Threat Intelligence para la detección de amenazas en la red interna de la organización.

Campaña de TorrentLocker afectando a España e Italia

En los últimos días S21sec ha detectado una campaña de spam centrada en España e Italia con la finalidad de distribuir el malware conocido como TorrentLocker.

TorrentLocker pertenece a la variedad de malware conocida como ransomware, este tipo de amenaza bien bloquea el escritorio o bien cifra los ficheros de las víctimas. En ambos casos los criminales exigen el pago de un rescate a cambio de la liberación del equipo. Este pago se suele exigir en Bitcoins o en otro tipo de divisa digital.

Durante los dos últimos años han aparecido diversas amenazas con similar funcionalidad, tanto para equipos de sobremesa como para teléfonos móviles: CryptoLocker, Reventon, Netra, CryptoWall, Decode@india, TorLocker, Urausy…


El malware

TorrentLocker afecta a sistemas operativos Microsoft Windows y guarda semejanzas, si bien solo superficiales, con el desaparecido CryptoLocker. Este parecido no se trata de una casualidad ya que los creadores de TorrentLocker utilizan el nombre del mucho más conocido ransomware en la nota de extorsión. 



Sin embargo si se examinan ambas implementaciones se pueden ver diferencias sustanciales que hacen patente que no nos encontramos ante la misma amenaza.

El ransomware que nos ocupa cifrará cualquier archivo contenido en unidades de disco mapeadas y que tenga una extensión de las abajo mostradas.



Esto quiere decir que no cifrará las carpetas compartidas a menos que estas se encuentren accesibles como si fueran unidades de disco locales. Así mismo no cifra las particiones de recuperación si estas no son accesibles desde el sistema de ficheros.

Una vez infectado el equipo TorrentLocker establece una sesión TLS con su servidor de comando y control (C&C) en la que este le proporciona la clave con la que se procederá a cifrar los archivos. Si la comunicación con el C&C no se realiza el malware no realizará ninguna acción.

Actualmente se han detectado dos versiones del troyano que se diferencian fundamentalmente en el modo en que los ficheros son cifrados.

Primeras versiones

Las primeras noticias de la versión original de TorrentLocker se tuvieron en agosto del 2014 y la campaña de difusión se centró en Australia con una campaña de Spam suplantando al servicio postal del país.

Esta primera variante utilizaba un algoritmo de cifrado bastante rudimentario que se limitaba a aplicar una mascara XOR con una clave estática. Este algoritmo tan solo cifraba los 2 primeros MB de cada fichero, con lo cual si se disponía de una copia anterior al cifrado del archivo era posible extraer la clave y recuperar el resto de ficheros del sistema usando la siguente herramienta.

Es debido a este cifrado débil por lo que creemos que adoptaron la apariencia de CryptoLocker con la esperanza de que la reputación de éste les ayudara a conseguir que sus víctimas pagaran el rescate.

TorrentLocker AES

A principios del mes de diciembre de 2014 aparece una nueva variante del troyano que pasa a utilizar AES (Advanced Encryption Standard). que al tratarse de un algoritmo de cifrado robusto invalida el método de recuperación de archivos mencionado anteriormente.

En este caso la recuperación de los archivos cifrados pasaría por utilizar herramientas de tipo file carving ya que el malware no elimina los ficheros de forma segura (p. ej. sobreescribiéndolos) por lo que es recomendable evitar el seguir trabajando con el sistema tras la infección y montar el disco del sistema afectado en modo "solo lectura" de cara a intentar recuperar los datos. 

Para más información sobre el malware se puede consultar el análisis original del troyano llevado a cabo por iSHIGHT Partners.

La campaña

La campaña que nos ocupa comenzó a principios de diciembre y permaneció activa hasta el día 5 a las 20:09 (GMT+1) momento en el que los servidores de C&C dejaron de mostrar actividad.

Correos de Spam

Durante la campaña se han usado varios correos con la finalidad de inducir a los usuarios a descargar archivos adjuntos. Si bien no es una aproximación muy sofisticada resulta bastante efectiva. Hemos identificado al menos tres correos "tipo" dirigidos contra usuarios españoles

Correo 1 

Correo 2

Correo 3


Los enlaces servían archivos .zip que, una vez descomprimidos, contenían ejecutables con los siguientes nombres:

   Informe.Pdf_____________________________________________________________.exe
   Perfil.Pdf _____________________________________________________________.exe
   Processing.Pdf_____________________________________________________________.exe
   Mensaje.pdf_____________________________________________________________.exe


De nuevo, los atacantes usan una técnica rudimentaria -pero a juzgar por los resultados efectiva- para ocultar la extensión del archivo.

Impacto por países

Durante el curso de la investigación fuimos capaces de identificar al menos 6.000 víctimas de esta campaña distribuidas de la siguiente manera: 



Como se puede ver, más del 80% de los afectados se encuentran en España e Italia con afectación marginal en otros países. Como nota curiosa, hemos localizado afectados incluso dentro del Estado de la ciudad del Vaticano.

Adicionalmente hemos detectado otra campaña en curso enfocada en Turquía que está utilizando un patrón similar al usado para España e Italia.


Conclusión

Debido a su fácil monetización y la relativa simplicidad de la infraestructura necesaria para darles soporte estamos viendo un incremento en el número de infecciones ocasionadas por las diferentes variedades de ransomware.

En estos casos, la prevención es la mejor herramienta para el usuario ya que como hemos visto puede resultar muy difícil llegar a recuperar los datos una vez cifrados. En redes corporativas es importante limitar el acceso y nivel de privilegios  de los usuarios a las unidades compartidas con el fin de limitar el alcance de estas amenazas.

Dridex aprende un nuevo truco: P2P sobre HTTP



Después de varios meses por fin tenemos una respuesta a la pregunta lanzada por nuestro amigo Roman en este post sobre la saga Cridex/Feodo/Geodo/Dridex. Entonces presenciamos el nacimiento de una nueva versión de de Feodo bautizada como Dridex y hace unos días el departamento de Ecrime de S21Sec detectó una nueva variante de Dridex que incorporaba cambios evidentes.


Mas allá del cifrado de la configuración (previamente esta siempre se encontraba en texto plano), el cambio que inmediatamente capto nuestra atención fue la presencia de una nueva etiqueta dentro del XML intercambiado durante la comunicación del troyano con el panel de control.

La muestra fue detectada por nuestro sistema de seguimiento para la botnet de Dridex cuando este falló en actualizar automáticamente la actualización de los binarios del C&C. Quedamos sorprendidos al comprobar que la versión de este nuevo binario era 2.0.17 (131089), lo que supone un gran salto respecto a actualizaciones anteriores las cuales habían incrementado gradualmente la versión desde 1.0.135 (65671) a 1.0.158 (65694).


En la siguiente imagen se puede apreciar como se hace referencia a la nueva etiqueta dentro en el código de la muestra:


Otro cambio evidente es que la nueva variante ejecuta un servidor de HTTP que se sitúa a al escucha en el puerto 80.

Como se puede comprobar en la captura del Wireshark bajo estas lineas, los nodos usan un esquema básico de autenticación para conectarse.


El bot notifica su existencia al resto de nodos su existencia enviando el siguiente mensaje:



Durante los últimos tres días, todas las peticiones enviadas a esta botnet han resultado en una respuesta vacía. Por ello asumimos que se está utilizando el protocolo de comunicación tanto para la administración como para la actualización de la botnet.

Nos gustaría señalar que la comunicación P2P se realiza sobre HTTP. Solo podemos conjeturar los motivos de los sus desolladores para hacerlo así, pero partimos de la base que no ha sido para incrementar el rendimiento o eficiencia sino para incrementar la resistencia de la botnet ante intentos de cierre e así como incrementar el sigilo de la misma.

Hasta donde hemos podido ver, los ficheros de configuración actualizados afectan a más de 120 entidades en más de 20 paises, incluyendo muchos del Sudeste Asiático, afectando a diversos sectores más allá del bancario tales como: medios digitales, hosting y publicidad online.

Como se puede ver los des arrolladores de malware siguen mejorando su código y añadiendo nuevas funcionalidades para dificultar el cierre y seguimiento de las botnets. Esta vez ha sido Dridex, sin embargo hemos apreciado cambios en otras familias que esperamos discutir en futuras publicaciones



El verdadero peligro de BadUSB

En la última BlackHat USA se presentó una técnica de ataque llamada BadUSB que está dando mucho que hablar y que aunque no es totalmente nueva si ha sacado a la luz pública unos riesgos muy importantes para el mundo de la seguridad en relación a los dispositivos USB.

Un ataque de BadUSB consiste básicamente en reprogramar un dispositivo USB de uso común (normalmente un pendrive basado en algún microcontrolador reprogramable cuya arquitectura sea conocida) para que actúe de forma maliciosa.

Usar dispositivos USB para actividades maliciosas ya era una técnica ampliamente conocida, como fue comentado en la propia charla, por ejemplo:
  1. Los ataques de CD-ROM virtual con Autorun mediante un pendrive de tipo USB U3.
  2. Los ataques con teclado malicioso mediante el uso de herramientas de tipo USB Rubber Ducky o Teensy.


Los creadores de BadUSB proponen además de estas, otras tácticas bastante interesantes. Por ejemplo configurar un dispositivo USB para que se comporte como una tarjeta de red Ethernet y asigne por DHCP una nueva puerta de enlace o un nuevo servidor DNS para el equipo y así poder interceptar su tráfico posteriormente.

Todos estos ataques implican por si solos un riesgo para los equipos, pero existen ya múltiples medidas de seguridad para evitarlos.

El propio hecho de reprogramar un dispositivo USB legítimo para que actúe de forma maliciosa tampoco es nuevo, ya en 2013 se presentó una técnica para reprogramar el firmware de una Webcam y deshabilitar la luz que avisa cuando está grabando y además menciona la posibilidad de aprovechar esta actualización de firmware para llevar a cabo otras tareas maliciosas.


Pero extender esta técnica a cualquier dispositivo USB cuyo firmware cuente con capacidad para ser actualizado, es lo que empieza a convertir esta idea en peligrosa.

Y lo que acaba convirtiendo a un ataque BadUSB en algo realmente temible es la posibilidad de utilizar de forma combinada estas técnicas y reprogramar varios dispositivos USB legítimos aparentemente inocuos para convertirlos en un ataque combinado.

Estos ataques además conllevan una serie de dificultades técnicas a la hora de su detección:
  1. La infección es más difícil de detectar en los equipos ya que el dispositivo modificado es algo externo al sistema principal.
  2. Algunos dispositivos USB son portables de forma que pueden ser utilizados para extender la infección.
  3. La infección se mantendrá incluso aunque se formatee el disco duro o se cambie la CPU del equipo.
Algunos dispositivos USB son incluso internos al PC (p.e. la mayoría de webcams, lectores de SD, lectores de smartcard, biométricos que van en los portátiles) y por tanto es más fácil conseguir la persistencia en ellos porque están fijos.

Combinando esta técnica con distintos tipos de dispositivos, podemos encontrar escenarios de ataque bastante serios, como por ejemplo utilizar un pendrive como el vector de entrada inicial para una infección y utilizar algún dispositivo que esté conectado de forma permanente al equipo (por ejemplo una webcam o una impresora) como vector de permanencia de la infección. Por ejemplo: haciendo que el dispositivo detecte cuando el equipo está arrancando para convertirse en un pendrive bootable que cargue una versión modificada del sistema operativo.

Se podría incluso hacer que trabajen en modo anti-forense, si el microcontrolador lo permite, el dispositivo podría pasar a funcionar en su estado original o borrarse a sí mismo una vez conseguida la infección.

Es por tanto probable que en poco tiempo empecemos a ver casos reales del uso combinado de varios dispositivos infectados de este tipo funcionando como implantes, al estilo de los sugeridos en el catálogo ANT de la NSA.

Ramón Pinuaga
S21sec assessment



(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login