Informe de McAfee Labs sobre amenazas: Junio de 2017

Temas principales: Técnicas de evasión del malware, la amenaza oculta de la esteganografía digital y el ladrón de contraseñas Fareit
Como nueva entidad independiente, McAfee continúa su tradición de investigación sobre amenazas de primer nivel. En abril, nuestros investigadores de inteligencia estratégicapublicaron pruebas de que los ataques de Shamoon contra países del Golfo Pérsico y en especial, contra Arabia Saudí, fueron obra de grupos de hackers apoyados y coordinados por un mismo ciberdelincuente y no son atribuibles a iniciativas aleatorias de ciberdelincuentes de la región.

Además, aportamos nuestra experiencia al Verizon 2017 Data Breach Investigations Report, (Informe sobre las investigaciones de fugas de datos de 2017), que examinaba en profundidad la amenaza del ransomware, puesta de manifiesto por los ataques del ransomware WannaCry a nivel mundial en mayo.

Estamos muy orgullosos de continuar poniendo a su disposición los análisis más detallados sobre las amenazas actuales en nuestro trabajo más reciente, —el Informe de McAfee® Labs sobre amenazas: Junio de 2017.

Temas principales:
  • Evasión del malware: técnicas, tendencias y el mercado negro
  • Esteganografía digital: cómo los ciberdelincuentes introducen mensajes maliciosos en los sistemas de seguridad ocultos imágenes, audio, vídeo y texto
  • Fareit, el ladrón de contraseñas: sus orígenes, evolución y funcionamiento interno, y cómo probablemente se utilizó en la filtración del Comité Nacional Demócrata (DNC, por sus siglas en inglés) de EE. UU.
Más información sobre temas y seguridad de actualidad del Informe de McAfee Labs sobre amenazas: Junio de 2017.
McAfee Labs
McAfee Labs es uno de los líderes mundiales en investigación e información sobre amenazas, e innovación en ciberseguridad. Gracias a la información que recibe de millones de sensores situados en los principales vectores de amenazas: archivos, la Web, la mensajería y las redes, McAfee Labs proporciona información sobre amenazas en tiempo real, análisis críticos y opiniones de expertos que permiten mejorar la protección y reducir los riesgos.

www.mcafee.com/es/mcafee-labs.aspx

Analizando REYPTSON: Ransomware dirigido a hispanohablantes

Nos topamos con un ransomware con temática Española, el mensaje de
rescate se encuentra únicamente en este idioma, por lo que podemos
concluir que el foco de esta amenaza esta dirigido a usuarios de habla
hispana.

 

 

Imágenes de ejecución del troyano.

Esto es lo que nos encontramos una vez nuestros archivos quedan
cifrados.

Ejecución del proceso

REYPTSON ejecuta un archivo con extensión .pdf dentro de la carpeta de
%APPDATA% de Spotify. Enumera los discos instalados y cambia el archivo
.pdf a SpotifyWebHelper.exe para hacerse pasar por una aplicación
legítima, y se añade al registro de Windows con un script vbs para
asegurarse su ejecución, cuyo nombre de tarea será “Spotify Web Helper
v1.0”. Descarga un archivo comprimido de http://www.melvinmusicals.
com/facefiles/factura.pdf.rar llamado por el método enviador() que
veremos más adelante.

El ransomware cuenta con una comprobación de la ruta de instalación de
Firefox, y del cliente de correo de la misma marca, Thunderbird. ¿Para
qué lo hace? Primero intenta obtener las credenciales del usuario que ya
se encuentra guardado en el sistema, y luego se autopropaga por e-mail
haciendo uso de estas credenciales.


Comprobación de ruta de instalación de Thunderbird.

El correo que nos llegaría, con asunto Folcan S.L. Facturación, tendría
el siguiente aspecto:

E-mail enviado a los usuarios robados de Thunderbird.

El alcance de este método de propagación, está por ver, pero es
interesante verlo incluido dentro del ransomware. Como podemos ver a
continuación, también recolecta los contactos almacenados en
Thunderbird, a los que posteriormente les es enviado el correo anterior.


Recolección de usuarios de Thunderbird.

Tenemos también el método AES_Encrypt, para el cifrado de archivos y
modifica su extensión a “.REYPTSON”:


Método de cifrado de archivos, llamado con outputFile + ‘.REYPTSON’

Se envía al usuario un enlace, con el identificador de su usuario
accesible únicamente a través de la red TOR.

Petición GET al servidor remoto con los datos de usuario
Finalmente, tenemos la nota de rescate, cuyo texto podemos ver a
continuación:


Nota de acceso a los datos robados, que podemos ver al inicio del post

De momento, la muestra es detectada por 34 motores antivirus. Ante este
tipo de amenazas donde los antivirus pueden no llegan a tiempo, la pauta
a seguir es comprobar que el correo electrónico está realmente emitido
por la entidad, y en caso de tener adjuntos evitar abrirlos en su
totalidad. Si fuese necesario, llamar a la entidad para comprobar que el
correo realmente esté emitido por ellos o tenga alguna relación.

Detecciones en VirusTotal