Etiqueta: malware

Backswap ataca ahora a la banca española

Nueva versión de Backswap ataca ahora a seis entidades bancarias españolas.

 

Ya hablamos en la Una al Día de BackSwapuna variante de Tinba, un pequeño (10-50kB) pero sofisticado troyano bancario que implementa algoritmos de generación de dominios(para la comunicación con el C&C), captura de credenciales de usuario desde formularios o la inyección en diferentes procesos.

Existen múltiples versiones de Backswap, la mayoría tienen como objetivo bancos polacos o monederos de criptomonedas.

Como su nombre indica, el malware “intercambia” (swap) el número de cuenta de la víctima directamente por el de la “mula” que retirará el dinero.

Mediante un ataque MitB (Man-in-the-Browser), el atacante intercambia los números de cuenta inyectando código JavaScript directamente en la consola del navegador. Todo ello sin que la víctima se de cuenta.

Las últimas muestras encontradas han ampliado sus objetivos y apuntan ahora a bancos españoles. En total seis importantes entidades se han visto afectadas por este malware.

Backswap se propaga en campañas de spam, por lo que recomendamos no abrir nunca correos con adjuntos no solicitados. Además de mantener siempre actualizados sus sistemas de seguridad.


Indicadores de compromiso:

  • hxxps://5[.]61[.]47[.]74/batya/give.php
  • hxxps://103[.]242[.]117[.]248/batya/give.php
  • hxxps://mta116[.]megaonline[.]in
  • hxxps://czcmail[.]com (IP: 119[.]23[.]128[.]176)

Muestras recientes:

Más información:
 

El ransomware SamSam ataca a entidades financieras peruanas

Desde Hispasec tenemos conocimiento de los ataques sufridos por entidades financieras peruanas, ataques que han tenido como objetivo principal la instalación del ransomware SamSam (también conocido como Samsa o Samas)

SamSam no es más que la herramienta principal de un ataque dirigido a entidades concretas. No es un malware de distribución masiva, sino que es ejecutado de forma manual dentro de la red de la organización víctima. Para ello, el atacante necesita encontrar previamente una forma de acceder a la red. Las primeras versiones del ataque usaban exploits conocidos contra servicios de la organización expuestos a Internet, pero las últimas versiones han optado por atacar usando fuerza bruta (probando contraseñas una tras otra) contra un servicio en concreto: el servicio RDP (Remote Desktop Protocol), usado para permitir el acceso remoto a otro ordenador compartiendo la pantalla.

Características principales del ransomware

Una característica del malware que impide su análisis en profundidad es que su parte principal viene cifrada con una clave que sólo conoce el atacante. Evidentemente, para su ejecución es necesario descifrarla, pero lo hace el atacante proporcionando la contraseña al ejecutarlo manualmente. Por tanto, para poder analizar el malware en profundidad, sería necesario pillar al atacante in fraganti y capturar la contraseña, ya que apenas se ejecuta el malware se borra la contraseña usada para descifrarlo.

El resto de partes son piezas de apoyo que ayudan a descifrar y lanzar el malware de forma automática. Adicionalmente, el ataque hace uso de diversas herramientas de apoyo, entre otras una herramienta de administración remota (RAT) con capacidad para realizar cualquier acción en el sistema y herramientas públicas de terceros para realizar el reconocimiento de la red y moverse lateralmente en ésta (es decir, saltar de un punto de la red a otro). De nuevo, recordamos que estamos ante un ataque dirigido, donde un atacante entra en la red por algún medio externo al ransomware, y una vez dentro, reconoce y ataca manualmente otros puntos de la red, para finalmente ejecutar el ransomware en los puntos de la red que considere dignos de secuestrar.

Flujo del ataque

A continuación se describe las fases del ataque que tienen como objetivo final la ejecución del ransomware SamSam. Se presupone que la entidad ya ha sido seleccionada por el atacante. Para ello, puede haber sido elegida manualmente por su importancia y valor, o bien haber sido elegida tras buscar organizaciones con redes con una seguridad débil. Para esto último, los atacantes se suelen valer de herramientas como el buscador Shodan, que permiten buscar qué puntos de Internet corren ciertos servicios que se conocen vulnerables, para intentar explotarlos luego. También existen listas de servicios vulnerables previamente confeccionadas puestas a la venta por otros criminales.

1. Intrusión en la red

Se conocen tres métodos por los cuales el atacante accede a la red en este paso:

  1. Ataque de fuerza bruta sobre el servicio RDP de Windows, que corre en el puerto 3389, buscando credenciales débiles.
  2. Aprovechando vulnerabilidades de servicios expuestos a Internet. En el pasado aprovecharon vulnerabilidades en el servidor de aplicaciones JBoss.
  3. Ingeniería social, especialmente a través de correos adjuntos infectados. Se desconocen los detalles de esta forma de entrada.

Una vez completado este punto, el atacante puede ejecutar código en la máquina afectada, si bien dependiendo de la configuración del sistema comprometido o del nivel de la cuenta de usuario comprometida, estaríamos hablando de ejecución a nivel de usuario sin privilegios o a nivel de administrador. Si el atacante no ha conseguido privilegios de administrador, procede al siguiente paso:

2. Elevación de privilegios

Tras conseguir entrar en la red con una cuenta de usuario sin privilegios, el atacante tiene que escalar privilegios y obtener acceso como controlador de dominio. Para ello hace uso de distintas herramientas y exploits, herramientas la mayoría de código abierto y gratuitas, y también creadas por el mismo atacante.  No se ha documentado una relación directa entre un exploit en particular y estos ataques en esta fase. Se sabe que en esta fase el atacante ha podido estar días, por ejemplo debido al uso de herramientas que aprovechan la entrada de un controlador de dominio al sistema para robarle el acceso.

3. Movimiento lateral

Con el objetivo de afectar el número máximo de sistemas, el atacante procede a escanear la red y comprometer los sistemas accesibles. Para ello, y con el acceso de administrador, accede de forma normal a un servidor de la compañía, desde el cual procede a escanear la red. Una vez seleccionados los posibles objetivos, accede a todos los que puede y realiza una prueba para ver si efectivamente puede acceder al sistema de archivos de ese sistema. El que esto sea realizado por parte del atacante de forma manual permite hacer el menor ruido posible.

4. Ejecución del malware

Tras establecerse como controlador de dominio desde un servidor de la compañía, el atacante procede a instalar y ejecutar el ransomwareSamSam en los objetivos disponibles. Para ello, usa principalmente una herramienta legal llamada PsExec. La ejecución del malware se realiza de una forma atípica: se proporciona una contraseña como parámetro de línea de comandos al ejecutable del ransomware en el momento de ejecución. Esta contraseña se usa para descifrar el malware, que viene cifrado. De esta forma, el atacante mantiene en secreto el funcionamiento concreto del malware, ya que en un análisis post mortem del sistema víctima no se encuentra el código que ha provocado el desastre.

5. Espera del pago y soporte técnico

Tras infectar todos los sistemas objetivo de una forma coordinada (con segundos de diferencia entre ellos), al atacante sólo le queda limpiar todos los rastros que pueda y esperar a que la víctima pague. Tras completarse la ejecución del ransomware, como en casi todos los casos, el malware deja una nota de rescate. En ésta se especifica la cantidad de Bitcoins a pagar para obtener la contraseña de descifrado (con precios en dólares actualmente de unos 500 dólares por máquina y 4.000 por todas) y la dirección a la que realizar el pago. También se especifica una dirección de una web contenida en la red Tor (una red pública y gratuita que mantiene el anonimato de los usuarios, pero que requiere la instalación de software adicional para navegar por ella). En esa dirección se encuentra una forma de contactar con el atacante e incluso poder descifrar algunos archivos gratuitamente. Como el acceso a la red Tor no es conocido para la mayoría de los usuarios, el atacante incluye instrucciones accesibles para poder acceder a ella.

Precisamente uno de los puntos más llamativos de este ransomware es la calidad del “soporte técnico” que se ofrece por parte del atacante para solucionar problemas relacionados con el pago y el descifrado de los archivos, llegando hasta el punto de enviarse una decena de mensajes por parte del atacante para solucionar un problema particular de un usuario que ya había pagado. O disculparse por la tardanza al responder a un mensaje de un usuario. También es reseñable que el atacante parece haber proporcionado la clave de descifrado a todas las víctimas que han pagado, si bien desde Hispasec recomendamos nunca pagar el rescate, ya que contribuiríamos a alimentar este tipo de fraude.

Soluciones y contramedidas

Este malware tiene un sistema de cifrado para el que no se han documentado fallos. Por tanto, en este momento no hay solución más allá de pagar el rescate. Ahora pasamos a diferenciar entre la infección por ransomware y la intrusión a la red para explicar qué medidas se deben tomar con antelación para protegerse de estas amenazas:

Infección por ransomware

En el primer caso, infección por ransomware, existen una serie de medidas específicas para detectar que un malware de este tipo se encuentra ejecutándose y bloquearlo, pero existen otras medidas más básicas y generales de protegerse. Hablamos de las copias de seguridad y los entornos de usuario fácilmente restaurables. Las copias de seguridad son imprescindibles para casos como éste, pero son igualmente vitales en casos de rotura del almacenamiento principal de un sistema y otras catástrofes. Es especialmente interesante que estas copias no estén conectadas a red alguna, o que se encuentren en otro lugar físico.

Adicionalmente, poder restaurar los equipos de los usuarios con un sistema de replicación de imagen de disco duro o un sistema de virtualización distribuido son las otras medidas que complementan a las copias de seguridad de los datos. Ambas medidas combinadas proporcionan una excelente protección contra la amenaza de un ransomware. Incluso en uno de los peores casos: entra un ransomware de propagación automática e infecta los sistemas de todos los usuarios de la red usando un exploit desconocido. Si tienes copias de seguridad diarias, habrás perdido como mucho un día de información. Y si los entornos de tus usuarios son fácilmente restaurables, en unas horas puedes estar funcionando de nuevo con equipos limpios.

Intrusión en la red

Finalmente, queda comentar contramedidas contra intrusiones en la red. En este tipo de casos, empresas grandes con mucho que perder y redes bastante complejas, no se puede ofrecer una serie de contramedidas generales y pensar que eso es suficiente. Es necesario invertir en seguridad informática, tanto en personal como en equipos, y apoyar firmemente desde dirección la implementación y respeto de la política de seguridad diseñada por personal cualificado. En este caso en particular, dados los tres tipos de entradas que se conoce realiza el atacante, podemos comentar las medidas básicas de protección contra cada uno de ellos:

  1. Credenciales débiles: Forzar que todo método de autenticación basado en contraseña respete unos requisitos mínimos de longitud y variedad de caracteres en la contraseña.
  2. Servicios vulnerables expuestos a Internet: Lo primero es exponer el mínimo número de servicios posibles a Internet. Lo segundo es actualizar el software para protegerse al menos de vulnerabilidades conocidas. Finalmente, aislar en la medida de lo posible estos servicios del resto de la red interna.
  3. Ingeniería social: Cursos de conciención a todos los niveles de la compañía, siempre procurando que sean prácticos y amenos. Las políticas de seguridad deben ser razonables y no requerir un esfuerzo sobrehumano para ser respetadas, o los usuarios no las respetarán.

Muestras relacionadas

b6829ddc762f8e218e34006ed0892e880d3efcedbbbbb7cc133e3326a9a89512
338fdf3626aa4a48a5972f291aacf3d6172dd920fe16ac4da4dd6c5b999d2f13
591a97d42f895139ceacc4e79cf59ef2cc565f7c3905d872448ff246d7e66cd2
ebba97948a468526820cce002cf0222c91784376c52a1706fef118642b14c726
c99da4b3f96a678dcec9bcb9b06b0e2b7d713e6761a9f43773fcb92722838498

Más información:
 

ZNIU: un malware para Android basado en Dirty COW

ZNIU es un malware que afecta a dispositivos Android basado en el famoso CVE-2016-5195, también conocido como “Dirty COW”.

Ya hablamos en su momento de Dirty COW, una condición de carrera en el subsistema de memoria del kernel que permitiría elevar privilegios a ‘root’ en sistemas Linux.

A pesar de que ya existen familias que explotan esta vulnerabilidad, es la primera vez que se han encontrado muestras de una que afecta a la plataforma Android. Los investigadores de Trend Micro, sus descubridores, la han bautizado como ZNIU.

Cómo infecta ZNIU

Para lograr la infección, ZNIU se camufla como una aplicación pornográfica o como un videojuego que la víctima descarga desde una página web maliciosa.

Una vez instalada la aplicación, ZNIU se comunica con el panel de control, desde donde descarga e implanta la última versión disponible del virus. Mientras tanto, el malware intenta escalar privilegios en el sistema a través de‘Dirty COW’, con el objetivo de instalar una puerta trasera en el dispositivo para futuros ataques remotos.

Proceso de infección. Extraída de http://blog.trendmicro.com

Cuando ZNIU está instalado en nuestro sistema, el atacante se identifica como el propietario de nuestro móvil y nuestra línea de teléfono aprovechando toda la información recolectada de nuestro dispositivo. El objetivo será interceptar los servicios de “pago móvil y transferir dinero a cuentas controladas por el atacante.

Petición de una transacción enviada por el malware. Extraída de http://blog.trendmicro.com

Hasta el momento, las muestras analizadas por Trend Micro parecen afectar sólo a operadoras de telefonía Chinas. Aunque todos los dispositivos infectados (más de 5.000 a lo largo de más de 40 países) disponen de una puerta trasera que podría ser utilizada para actualizar el virus y apuntar a operadoras de otros países.

Algunas muestras de ZNIU


Más información:
 

FacexWorm: el malware que se extiende a través de Facebook

Descubierto por Trend Micro, este malware se camufla tras una extensión de Google Chrome para robar criptomonedas a las víctimas.

Esquema de funcionamiento de Facexworm. Obtenida de Hacker News.

La técnica de ataque utilizada por la extensión maliciosa surgió por primera vez en agosto del año pasado, pero los investigadores han descubierto que se añadieron nuevas capacidades a principios de este mes.

Estas novedades incluyen el robo de credenciales de sitios web, redirigir a las víctimas a estafas de criptomonedas y/o al enlace de referencia del atacante en programas relacionados con criptomonedas e inyectar mineros en las webs.

A finales del año pasado, se descubrió un bot de minería llamado Digmine el cual se propagaba a través de Facebook Messenger y tenía como objetivo a ordenadores Windows, así como a Google Chrome.

Instalación de la extensión fraudulenta. Obtenida de Hacker News.
Al igual que el malware que acabamos de mencionar, FacexWorm también se propaga mediante ingeniería social a través de Facebook Messenger para redirigir a las víctimas a versiones falsas de sitios webs populares tales como YouTube.
Cabe señalar que la extensión solo se diseñó para usuarios de Chrome. Si el malware detecta cualquier otro navegador web en el dispositivo de la víctima, redirige a un anuncio de aspecto inofensivo.
Cómo funciona
Si el enlace al vídeo malicioso se abre con Chrome, FacexWorm redirecciona a la víctima a una página falsa de YouTube, donde se aconseja al usuario a descargar una extensión maliciosa para el navegador como si de un códec para reproducir el vídeo se tratase.
Una vez instalada, la extensión descarga más módulos para realizar varias tareas maliciosas.
“FacexWorm es un clon de una extensión legítima de Chrome, pero se le inyectó un código que contiene su rutina principal. Descarga el código JavaScript adicional del servidor C&C cuando se abre el navegador”, explican los investigadores.
Dado que la extensión toma todos los permisos extendidos en el momento de la instalación, el malware puede acceder o modificar datos para cualquier web que el usuario abra.
A día de hoy, las criptomonedas reconocidas a las que se dirige FacexWorm incluyenBitcoin (BTC), Bitcoin Gold (BTG), Bitcoin Cash (BCH), Dash (DASH), Ethereum (ETH), Ethereum Classic (ETC), Ripple (XRP), Litecoin (LTC), Zcash (ZEC) y Monero (XMR).
Dado que las campañas de spam en Facebook son bastantes comunes, se aconseja a los usuarios estar atentos al hacer clic en enlaces y archivos proporcionados a través de la plataforma del sitio.