Protección de datos – el viento está cambiando

Protección de datos – el viento está cambiando

Fue una presentación memorable de Mark Zuckerberg ante el Comité del Senado de los EE. UU .: el jefe de Facebook tuvo que responder ante el escándalo de datos que involucra a su red social. Durante el proceso, que duró cinco horas, este fue cuestionado sobre cómo a una empresa externa le fue posible tener acceso a los datos personales de 87 millones de usuarios de Facebook.

Los gigantes tecnológicos de Silicon Valley se han vuelto muy poderosos a través de los datos que recopilan de sus usuarios. Hoy en día,  a los anunciantes les resulta muy difícil esquivar a los grandes como Google, Facebook y Co., cuando quieren promocionarse a sí mismos y a sus productos. Al mismo tiempo, estos datos pueden usarse para influir en las opiniones, manipular estados de ánimo y determinar temas discutidos públicamente. Debería ser aún más importante para estas plataformas publicitarias ser sensatos, conscientes y sensibles al tratar con los datos del usuario. Este obviamente no es el caso.

Hasta el momento, las grandes compañías tecnológicas no necesitaban preocuparse por la sobrerregulación del gobierno de los EE. UU. Por el contrario, estas establecen el estándar sobre como debe ser el manejo de los datos personales y su acceso por parte de terceros. Estrictas reglas de protección de datos tal como las que se aplican en Europa y más aún en Alemania – p.ej., el Reglamento de Protección Básica de Datos (DSGVO), que entró en vigor en mayo pasado, serían percibidas como un obstáculo mayor. Mientras tanto, la legislatura estadounidense parece despertar y ha descubierto que las cosas se les han ido un poco de la manos.

En una conferencia telefónica, Zuckerberg reconoció que el GDPR y otras regulaciones son “muy positivas” y añadió: “pretendemos hacer todos los mismos controles disponibles en todas partes, no solo en Europa”. (fuente: techcrunch) El plan sería adherirse a las reglas de protección de datos en todo el mundo y no solo ajustar algunas configuraciones.

Por lo tanto, Facebook acepta de facto la Directiva Europea de Protección de Datos como estándar, un cambio fundamental en la filosofía de la compañía. Sí Facebook realmente pone en práctica este anuncio, pondría a las demás compañías tecnológicas importantes en una posición forzada. Los senadores de EE. UU. También insinuaron que Google y Co., están a poco de entrar en el foco: “En el pasado, muchos de mis colegas de ambos lados estaban dispuestos a ceder ante los esfuerzos de las compañías tecnológicas para autorregularse. Pero esto puede estar cambiando “. (Fuente)

Parece que la UE ha logrado con el Reglamento de Protección de Datos, algo que parecía impensable hasta hace poco: que una ley Europea tenga un impacto mucho más allá de sus mismas fronteras.

Los tiempos de manejo laxo de los datos del usuario deberían, por lo tanto, ser cosa del pasado.

Virus, gusanos, troyanos – un rayo de luz en el mundo oscuro y confuso de estos nombres

Virus, gusanos, troyanos – un rayo de luz en el mundo oscuro y confuso de estos nombres

Malware, ataques cibernéticos y el cómo protegerse contra estos – esta temática ocupa no solo a personas individuales sino también a los responsables de TI. Por lo tanto, nos gustaría proporcionar una serie de información básica sobre este tema en una secuencia de publicaciones. En la primera publicación proporcionamos una definición y clasificación general de malware. Esta no es exhaustiva, pero cubre los tipos de malware más relevantes.

Existen desde hace millones de años – los virus.  En comparación con este periodo de tiempo, estos son solo conocidos por la humanidad desde lo que llamamos un abrir y cerrar de ojos, ya que su evidencia científica se presentó solo hasta finales del siglo XIX. Los virus son responsables de diferentes enfermedades, y en la naturaleza siempre ha existido una batalla constante entre la evolución de los virus y la defensa contra los mismos.

En el área de las tecnologías de la información la situación es bastante similar. También allí existe una variedad muy grande de software malicioso, y los proveedores de software de defensa se ven obligados a desarrollar constantemente métodos de defensa para evitar el acceso a intrusos y evitar así consecuencias negativas en los sistemas TI o en datos sensibles. En la denominación conceptual de estos códigos maliciosos suele usarse el término “virus”.

 

Desde el punto de vista histórico este nombre es totalmente razonable, ya que solamente los gusanos y los virus surgieron como amenaza, sin embargo teniendo en cuenta la riqueza en variedad que hoy en día se presenta, este término resulta insuficiente. Por este motivo, queremos brindar un poco de luz en el túnel y ofrecer una visión general sobre la terminología correcta y hacer una breve mención sobre los códigos maliciosos más comunes.

Virus

 

El término “Virus” se utiliza comúnmente de forma errónea, ya que por lo general es un símbolo del término más general: “Malware“. Esto a su vez, no es correcto, ya que malware abarca todo el conjunto de software malicioso.

La palabra “virus” describe solo la forma de propagación específica de un tipo particular de malware. Este infecta un tipo de fichero definido e inyecta allí su código malicioso. El fichero infectado transmite el virus al identificar e infectar ficheros de tipo similar.

El paso del virus de ordenador a ordenador no se realiza de forma activa, sino a través de medios de almacenamiento externos, E-Mails o dentro de redes.

Gusanos

La tipificación “gusano” identifica, como el virus, un tipo de distribución específico. El código malicioso se propaga, al contrario del virus de ordenador, activa e inmediatamente mediante el aprovechamiento de brechas de seguridad existentes. Un ejemplo actual es un gusano el cual se propaga en el área de Internet of Things (IoT por sus siglas en inglés), es decir, entre dispositivos que utilizan internet, usando puertos abiertos de depuración Android.

Al contrario de un software de extorsión, el cual tiene como único objetivo el cifrar los datos del ordenador y solicitar un rescate, un gusano de ordenador no tiene un objetivo claro. Este puede realizar cambios en el sistema y comprometerlo, incrementar la carga de la infraestructura de internet o desencadenar ataques DDoS.

Troyanos / Caballos de Troya

 

Una gran parte del malware, que actualmente existe, se puede describir como un “Caballo de Troya”. El término es bastante genérico y describe que el malware se camufla como benigno. Esto quiere decir que el usuario solo ve la aplicación positiva sin reconocer el resultado negativo de la aplicación por lo que no puede tener ninguna influencia sobre los resultados finales.

El nombre “Caballo de Troya” se remonta a la estrategia legendaria de la mitología griega, en la que los invasores griegos engañaron a los habitantes de Troya utilizando un caballo de madera. Por este motivo, es igualmente erróneo el uso del término “troyano” ya que los troyanos eran los habitantes de la ciudad y fueron las víctimas. El caballo era entonces, el atacante.

Variedad de nuevos tipos de amenazas

Además de la terminología de malware más común, todavía hay una gran cantidad de malware que se puede dividir en las siguientes categorías.

  • RATRemote Access Trojans (Troyanos de Acceso Remoto): Este tipo de malware permite a los atacantes hacerse cargo de las computadoras y controlarlas de forma remota. De este modo, pueden ejecutar comandos en los sistemas de las víctimas
  • Backdoor (Puerta trasera): Un malware Backdoor se basa en una visión similar a una RAT, pero utiliza un enfoque diferente. Los atacantes usan las llamadas puertas traseras las cuales son colocadas deliberadamente en programas o sistemas operativos. Sin embargo, también pueden haber sido instaladas en secreto. La peculiaridad de las puertas traseras es el hecho de que pueden pasar desapercibidas por los mecanismos de defensa habituales y, por lo tanto, son muy atractivas para los criminales cibernéticos siendo así, por ejemplo, muy populares para crear botnets.
  • Botnet y zombis: Botnets son grandes acumulaciones de computadoras infectadas que el atacante construye. Zombis se llaman las máquinas afectadas, siendo así las partes individuales del botnet. El atacante puede enviar comandos a todas las máquinas al mismo tiempo para desencadenar actividades como ataques DDoS o para extraer bitcoins con la ayuda de computadoras zombi. Lo malévolo de esta situación es que el propietario del ordenador solo nota la “membresía” en un botnet cuando ya se han llevado a cabo las actividades controladas externamente.
  • SpywareEste es un malware que recopila información del ordenador de la víctima. Estos pueden ser los denominados Credenciales Stealers (ladrones de credenciales), que roban los datos de acceso de cuentas de usuario, tales como la propia cuenta de buzón de correo electrónico, Amazon o Google. Los keyloggers, por otro lado, graban o copian apartados, o hacen capturas de pantalla de lo que los usuarios hablan o escriben. Los Stealers de Bitcoins buscan carteras de Bitcoin y las roban.
  • Downloader/DropperLos descargadores o los droppers son pequeños programas que tienen un solo propósito: volver a cargar más malware desde el Internet. Al principio, la víctima no puede reconocer qué contenido se está descargando porque solo está visible una URL. La principal ventaja del atacante con este método es que constantemente puede proporcionar malware nuevo para su descarga, distribuyendo malware actualizado y difícil de detectar.
  • RootkitLos rootkits son el tipo de malware más peligroso, que no es necesariamente malware. Más bien, un rootkit puede ocultar código malicioso contra descubrimiento. En esta forma de ataque, el atacante penetra profundamente en el sistema informático, obtiene privilegios de root y obtiene derechos de acceso general. Los cibercriminales cambian el sistema para que el usuario ya no reconozca cuándo se inician los procesos y las actividades. Es muy difícil encontrar ataques basados ​​en la ofuscación de rootkits.

Por supuesto, hay otras categorías y definiciones de malware que no se enumeran aquí. Sin embargo, debería agregarse que el malware que circula en la actualidad es en su mayoría una mezcla de diferentes tipos. Por ejemplo, hay caballos de Troya que también incluyen una puerta trasera.

A menudo, los diferentes tipos de ataque se pueden ensamblar dinámicamente de acuerdo con el principio modular. Por esta razón el malware encontrado hoy en día ya no puede asignarse claramente a una de las categorías mencionadas anteriormente.

 

En la próxima publicación hablaremos sobre los actores que toman parte del malware y de los ataques cibernéticos.

Más información:

  1. Hornetsecurity Advanced Threat Protection
  2. Filtro de spam y virus
Muy escondido .NET Spyware Camolog roba datos de acceso

Muy escondido .NET Spyware Camolog roba datos de acceso

Siempre que sale un nuevo tipo de malware, la pregunta es, cual es su meta. Actualmente estamos observando un nuevo tipo de .NET spyware sobre el cual no se ha reportado. Este se caracteriza por el uso de fuertes técnicas anti-análisis las cuales se implementan a través del empaquetador Confuser. Aparte de esto, este no invierte bastante tiempo en su camuflaje, dejando a la luz sus intenciones. El spyware recopila datos de acceso de diferentes programas y utiliza un ‘Keylogger’ para acceder a la información.

 

El spyware .NET que hemos denominado Camolog se está extendiendo a través de una campaña de phishing actualmente en curso. Ella trae un keylogger y recoge datos de inicio de sesión de clientes de correo, navegadores, FTP y clientes de mensajería instantánea. Los datos de acceso recopilados de esta manera generalmente son vendidos por ciberdelincuentes o utilizados para el seguimiento después de tales campañas de recopilación de información.

 

Correos de suplantación como “abre latas”

 

Las líneas de asunto y los archivos adjuntos de los correos electrónicos individuales, parte de una ola de correo no deseado bastante grande (ver captura de pantalla) varían ligeramente. Los archivos adjuntos que envían el malware eran en su mayoría entre 400 KB y 1,3 MB de tamaño. La siguiente captura de pantalla muestra uno de estos correos electrónicos de suplantación, la información de contacto ha sido tachada, ya que a menudo se trata de información robada de personas reales.

 

Ejemplo de un correo de suplantación con el cual se entrega el malware.

Ejemplo de un correo de suplantación con el cual se entrega el malware.

 

El correo electrónico de suplantación engañó al destinatario solicitando una oferta y lo motivó a abrir el archivo adjunto. Sin embargo, este contiene un archivo RAR llamado Sample Product 9076_pdf.rar. El archivo oculta el archivo ejecutable .NET SampleProduct9076_pdf.exe, que actúa como un cuentagotas para el spyware y ha sido protegido por una variante de la herramienta de ofuscación de acceso público Confuser.

 

El uso de Confuser se vuelve obvio cuando se abre el malware en .NET Decompiler dotPeek. También el nombre del proyecto usado “dimineata” es notable y se puede utilizar para identificar el malware. Esto se muestra en la siguiente captura de pantalla.

 

A través del .NET Decompiler dotPeek es posible analizar para que se utiliza el Confuser.

A través del .NET Decompiler dotPeek es posible analizar para que se utiliza el Confuser.

 

Sin embargo, el uso de técnicas anti descompiladoras y anti depuradoras dificulta el análisis del malware. La herramienta de análisis IDA Pro se bloquea mientras se carga el archivo binario, los descompiladores específicos de .NET no funcionan correctamente y los depuradores utilizados en análisis dinámicos fallan, por lo que el análisis manual apenas proporciona información. Esta es probablemente una de las razones por las cuales aún no se encuentran informes sobre este spyware.

 

Camolog se opone a una investigación

 

Solo después de ejecutarse en un entorno seguro y supervisado puede obtenerse una visión general del comportamiento del malware. Entre otras cosas, se puede observar que el malware se ejecuta como un proceso llamado “chrome.exe” con la descripción “Accu-Chek 360˚ software de gestión de la diabetes”. Este proceso inicia otro subproceso con el mismo nombre. Posteriormente, el binario original crea una copia de sí mismo como AppData \ Local \ Temp \ iaq \ iaq.exe, inicia su subproceso y luego se elimina.

 

Para cuando se va a cargar el subproceso, sus datos binarios se deben desempaquetar y descifrar por completo en la memoria. La transferencia tiene lugar en forma de una matriz de bytes a la función AppDomain.Load (). Debido a que esta característica es parte de .NET Framework, no se ve afectada por las técnicas anti-análisis de la herramienta de ofuscación y, a diferencia de las funciones de malware, se puede analizar fácilmente. Esto permite que un depurador como dnSpy establezca un punto de interrupción en esta función y descargue el binario del malware cargado por el cuentagotas. Esto será ahora examinado en más detalle a continuación.

 

Exámen del Spyware

Exámen del Spyware

 

El archivo binario del spyware caído se deja cubrir solo por un cambio de nombre aleatorio de las funciones y variables y no por otras técnicas de anti-análisis. Por lo tanto, con un descompilador de .NET se puede generar el código fuente legible de nuevo, que revela el comportamiento del malware.

 

¿Qué información recopila el spyware?

 

El spyware recoge mucha información: además de los datos de conexión almacenados en los favoritos del cliente FTP SmartFTP, también recopila contraseñas del cliente WS_FTP, las últimas conexiones usadas de FileZilla, conexiones de sesiones guardadas de WinSCP, y también los datos de conexión de FTPWare.

 

Además, lee los datos de cuenta almacenados en el Instant Messenger Pidgin y las contraseñas de Video Chat Tool Paltalk. Camolog también recopila diligentemente los datos de cuenta de los clientes de correo de Outlook y Thunderbird, así como los datos de inicio de sesión de los navegadores YandexBrowser, ChromePlus y Chromium. Con un keylogger, el spyware también puede registrar información ingresada y contraseñas de cualquier tipo.

 

El Spyware se anida en el sistema creando claves de registro para la ejecución automática de Windows (ver lista de indicadores). A través de estas claves de registro y el proceso en ejecución “chrome.exe”, el malware está muy bien identificado en el sistema.

 

Todo está bien con Hornetsecurity ATP

 

Con nuestros ingeniosos mecanismos de filtrado de correo no deseado, hemos podido detectar los correos electrónicos de esta campaña desde que aparecieron por primera vez y los filtramos en la nube. Entonces, el spyware no tiene posibilidad de acercarse a la infraestructura corporativa de nuestros clientes. Con Hornetsecurity Advanced Threat Protection, nuestros clientes también disfrutan de protección contra cualquier variación de este malware. Mediante el uso de análisis de comportamiento, la protección de Hornetsecurity ATP es muy superior a la de un filtro de spam tradicional. Aquí hay un extracto del análisis de comportamiento ATP:

 

Evaluación detallada del análisis del Sandbox

Evaluación detallada del análisis del Sandbox

 

Lista de los indicadores para el reconocimiento del malware:

 

Correos de suplantación:

 

Textos de asunto utilizadas en la campaña:

  • Quotation request
  • Quote-Bid Identifier: ITB-0011-0-2018/AM
  • Quote-Bid Identifier: ITB-0014/0015-0-2018/AM
  • Kindly Quote-Bid Identifier: ITB-0016-0-2015/AM
  • Quotation required

 

Adjunto del correo de suplantación – Archivo Win32 RAR:

 

  • Nombre el archivo: Sample Product 9076_pdf.rar
  • SHA256: 5f5e7a57d9500fcece0b7c88c8925bb13243222182e5badddaa2419bda963ca6
  • Adjuntos de otros correos de esta campaña:
    • 30eaa3e9b9390f603d2a349c0a4cf064225eff3ede60a24aab8e69cf67cf83a5  Product sample 0015_pdf.rar
    • 6acf72c636aa9ff2fae225d75eea063c2ee61026151a6c405175dd06e8a5c01f  product sample 0019_pdf.rar
    • a54f7ff3ecf8acccc23fe2c52fd5e58099852f3448dcec67c6deff5fa925a4d5  Sample product 0011_pdf.rar
    • c165676976f9e91738c5b6a3442bf67832a7556e23e49f1a77c115af47b290ee  Sample Product 0014_pdf.rar
    • 97cea5ce28bbebff16251cbde247362915e8f41a89f979ae266c797aff6ef5e6  Sample Product 0016_pdf.rar
    • 5f5e7a57d9500fcece0b7c88c8925bb13243222182e5badddaa2419bda963ca6  Sample Product 9076_pdf.rar
  • Tipo de archivo: RAR archive data, v4, os: Win32
  • Tamaño: 331K
  • Contenido del archivo SHA256: 2feb8a19f44c29a83a0561ca7e38492e1a843add08eda2027a8a7c5041af6de6

 

Cuentagotas del archivo:

 

  • Nombre del archivo: SampleProduct9076_pdf.exe
  • SHA256: 2feb8a19f44c29a83a0561ca7e38492e1a843add08eda2027a8a7c5041af6de6
  • Otros cuentagotas de la campaña:
    • 38782911f7deca093b0e6018fd6c51122a8211c9c446f89de18e6ada85afa0d1  Product sample 0015_pdf.exe
    • 542b6a778489710994aadfaca3b57e0a9c03d2e3b6d5617e3220f364cbde9a45  product sample 0019_pdf.exe
    • 04381c6ecdf618ce122084a56ca5416c6774cba4b34909e95f7a532523c3e877  Sample product 0011_pdf.exe
    • 42992976461c59a4a52e4bf202d4bfcd738408d729ff9cbc55786016cb4075c3  Sample Product 0014_pdf.exe
    • 2a159afdc686df016ee370aeed134f9c4fe44320a32ec2eb25d76270206b5b5a  Sample Product 0016_pdf.exe
    • 2feb8a19f44c29a83a0561ca7e38492e1a843add08eda2027a8a7c5041af6de6  Sample Product 9076_pdf.exe
  • Tipo de archivo: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
  • Tamaño: 429K
  • Nombre del proceso: chrome.exe
  • Descripción: Accu-Chek 360˚ diabetes management software
  • Cuentagotas del archivo SHA256: 67c7840eefb640e70473ebc4bb7dec89f8168d679226be0696708e3427956114
  • String significativa: dimineata.exe
  • Deja además una copia del mismo en C:\Benutzer\analyst\Appdata\Local\Temp\iaq.exe ab

 

Spyware recargado:

 

  • Nombre del archivo: impartial.exe
  • SHA256: 67c7840eefb640e70473ebc4bb7dec89f8168d679226be0696708e3427956114
  • Tipo de archivo: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
  • Tamaño: 58K
  • Nombre del proceso: chrome.exe

 

Llaves de registro, de las cuales se recopila la información:

 

  • HKEY_CURRENT_USER\Software\Microsoft\Windows Messaging Subsystem\Profiles*
  • HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook*
  • HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Profiles\Outlook*
  • HKEY_CURRENT_USER\Software\Paltalk
  • HKEY_CURRENT_USER\SOFTWARE\Martin Prikryl\WinSCP 2\Sessions
  • HKEY_CURRENT_USER\Software\FTPWare\COREFTP\Sites

 

Archivos de los cuales se recopila información:

 

  • C:\Users\Administrator\AppData\Roaming\SmartFTP\Client 2.0\Favorites\Quick Connect\
  • C:\Users\Administrator\AppData\Roaming\Ipswitch\WS_FTP\Sites\ws_ftp.ini
  • C:\Users\Administrator\AppData\Roaming\FileZilla\recentservers.xml
  • C:\Users\Administrator\AppData\Roaming\Thunderbird\profiles.ini
  • C:\Users\Administrator\AppData\Roaming.purple\accounts.xml
  • C:\Users\Administrator\AppData\Local\Chromium\User Data\Default\Login Data
  • C:\Users\Administrator\AppData\Local\MapleStudio\ChromePlus\User Data\Default\Login Data
  • C:\Users\Administrator\AppData\Local\Yandex\YandexBrowser\User Data\Default\Login Data

 

Claves de registro creadas para crear persistencia:

 

  • Entrada autorun del cuentagotas: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\iaq
    • reg_value   C:\Users\ADMINI~1\AppData\Local\Temp\iaq\iaq.exe
  • Entrada autorun del Spyware: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Application
    • reg_value   C:\Users\Administrator\Desktop\chrome.exe -boot
NanoCore – La expansión creativa de un viejo conocido

NanoCore – La expansión creativa de un viejo conocido

No siempre tienen que ser nuevos códigos maliciosos los que los atacantes usan. En varias ocasiones, estos utilizan malware comprobado para sus fines, según cuando les parezca adecuado. No menos importante en estos casos es, sobretodo, la selección del método de esparción para que el software malicioso se deje implementar en la víctima sin ser detectado. Decidimos analizar en detalle el proceso, utilizando como ejemplo el NanoCore.  

NanoCore es un troyano de acceso remoto, que desde 2013 se encuentra disponible para su compra en diferentes versiones como producto final relativamente económico. Troyanos de acceso remoto son un tipo de malware muy peligroso, que le permite a los agresores, controlar y monitorear a distancia los sistemas infectados. En 2015 la versión completa de NanoCore, incluyendo todos sus Plugins, fue quebrada y está, desde entonces, disponible en foros subterráneos de forma gratuita.

 

El desarrollador de NanoCore fue arrestado el pasado año y en un juicio bastante emocionante; Este fue condenado a 3 años de prisión.  Este caso es de gran significado ya que por primera vez, el desarrollador de una herramienta de Dual-Use fue condenado, ya que la herramienta no fue utilizada como “uso personal” para piratear. Crucial para la convicción, fue la oferta en foros piratas del software por parte del desarrollador, sabiendo que algunos de sus clientes la utilizarían con fines ilegales.

 

NanoCore no ha pasado de moda y continúa realizando travesuras. Ya que la herramienta ha sido muy bien analizada y, por ende, fácil de identificar por los productos antivirus, los atacantes se ven obligados a ser bastante creativos para el envío del troyano. Para ello, recurren a elaborados métodos para ocultarse.

 

Durante la semana pasada nos fue posible observar un ataque cibernético tipo NanoCore, en el que de forma creativa e inteligente se combinaron diferentes técnicas para enviar e instalar el troyano de acceso remoto. Para ello, los atacantes utilizaron una combinación de métodos de suplantación, un fichero Winrar autoextraíble, y la herramienta legítima de administración AutoIT.

 

Entrega usando un correo de suplantación

 

El correo de suplantación inicial engaña al destinatario con una oferta de negocio atractiva, la cual supuestamente se encuentra en detalle en un fichero adjunto llamado “inquiry.pdf”. Utilizando los datos de contacto completos, el correo toma un carácter bastante convincente. Ya que estos datos son por lo general verdaderos, los hemos marcado en negro en el pantallazo a continuación.

 

Ejemplo para un correo de suplantación

Ejemplo para un correo de suplantación

 

El adjunto PDF de suplantación aparece como un enlace a Dropbox, pero contiene una URL a través de la cual se descarga un fichero de archivo desde otra fuente.

 

Sitio falsificado de Dropbox con enlace malware

Sitio falsificado de Dropbox con enlace malware

 

En este fichero ZIP “inquiry.zip” se encuentra el archivo “inquiry.scr”. La extensión “scr” es solo una alternativa a la extensión “exe” y fue utilizada anteriormente para archivos ejecutables PE los cuales instalan protectores de pantalla. En este caso se trata de un fichero Winrar autoextraíble, el cual es mal utilizado como malware dropper.

 

Utilización de un archivo autoextraíble

 

Los strings incluidos muestran que el fichero scr es un archivo autoextraíble Winrar. Strings significativos son por ejemplo:

 

  • Software\WinRAR SFX
  • winrarsfxmappingfile.tmp
  • WinRAR self-extracting archive

 

El archivo no se deja extraer manualmente sin fallas. Solo una ejecución del archivo muestra el contenido no dañado del archivo, que consiste en:

 

  • 42 ficheros nombrados de forma aleatoria con finales diferentes, los cuales tienen aproximadamente 500 Bytes y contienen datos ASCII
  • La herramienta de administración legítima AutoIT, renombrada como “mta.exe”
  • Un fichero ASCII, “qoa.docx”, de 951K el cual contiene la configuración para AutoIT
  • Un fichero ASCII, “stt=dsr”, de 3MB que contiene un script ofuscado del AutoIT en un lenguaje script similar – propio VBA-.

 

En Agosto 2015 TALOS reportó un ataque similar, el cual utilizó una combinación de un archivo autoextraíble con AutoIT para la entrega del NanoCore. El ataque tiene diferentes similitudes al ataque que observamos en detalle, lo que deja establecer una relación entre los casos. Un ejemplo, fue la parálisis del ataque por 20 segundos en el momento en que un proceso Avanst fuese detectado. En 2015 se utilizó un macro de Office para el correo de suplantación, mientras que en el caso observado por nosotros se utilizó un PDF. En el caso de las Payloads hay diferencias, como por ejemplo la entrega continua de malware en el análisis al ataque Talos de 2015.

 

Atacantes abusan de la herramienta de automatización AutoIT

 

AutoIT es una herramienta legal, la cual es utilizada para la automatización de tareas administrativas. Para ello, esta proporciona su propio lenguaje de script basado en VBA. La herramienta está disponible gratuitamente y lamentablemente ha sido utilizada frecuentemente por criminales para la instalación de malware, por lo que en ocasiones ha sido clasificada erróneamente como peligrosa.

 

El script de AutoIT en el fichero “stt=dsr” proveniente del archivo ZIP, tiene una técnica AntiAV incorporada la cual paraliza su ejecución en caso que el proceso “avastui.exe” esté corriendo en el sistema. Este lee diferente valores en el fichero de configuración “qoa.docx” en el área de “Settings”. Posteriormente se crea un fichero con un nombre aleatorio en el que se escribe uno de los strings de lectura. Este fichero es igualmente un script AutoIT ofuscado de 272K con el nombre, en nuestro caso, “DIENU”. En este fichero se renombra el string “Settings File Name” con el nombre del fichero de configuración “qoa.docx”. Finalmente el script cambia los atributos de los ficheros extraidos a “hidden” y “read only”, para pasar por desapercibido. AutoIT se inicia y se pasa al script creado “DIENU”, que utiliza el fichero de configuración “qoa.docx”.

 

Comprobación inteligente del sistema antes de la instalación de NanoCore

 

El script “DIENU” realiza algunos cambios en el sistema, como por ejemplo el cambio de la configuración del sistema y entradas de registro. Este busca identificar si está corriendo un VMware o un Virtualbox Sandbox – en este caso, el script se detiene con el fin de evitar un posible análisis. Posteriormente se instala el troyano de acceso remoto, inyectando el código malicioso “RegSvcs.exe” en la memoria de procesos, una herramienta .NET utilizada para la instalación de servicios. Esta técnica se utiliza comúnmente para esconder malware en programas legítimos.

 

Funktionsablauf des NanoCore-Angriffes

Secuencia funcional del ataque NanoCore

 

Flexibilidad de NanoCore gracias a su estructura modular

 

NanoCore está construido de forma modular. Cada uno de los plugins, los cuales se dejan activar y desactivar independientemente el uno del otro, han sido descritos detalladamente por DigiTrust en un artículo. En este caso fueron utilizados dos plugins: el Client Plugin versión 1.2.0.0 y el plugin Surveillance con el numero de versión de producción 1.0.1.7.

 

Los plugins “ClientPlugin.dll” y “SurveillanceExClientPlugin.dll” fueron escritos como ficheros de biblioteca para .NET y velados con la herramienta “Eazfuscator.NET 3.3”. Para dificultar el análisis con el depurador, los métodos cuentan con los atributos “DebuggerHiddenAttribute” y “DebuggerNonUserCode”. Con ello, se le impide la depuración de estos métodos y la configuración de puntos de interrupción (breakpoints).

 

Client-Plugin

 

El Client-Plugin es el elemento básico que se ocupa de la comunicación entre el servidor Command-and-control y la administración de la información recopilada en una colección Key/Value. Opcionalmente, la información puede ser enviada de forma comprimida a través del Pipe al servidor C2. El cliente cuenta con opciones adicionales para cambiar la configuración, plugins, para desinstalarse y para controlar la computadora host, por ejemplo, para apagarla, reiniciarla o para desactivar los mecanismos de seguridad.

 

Surveillance-Plugin

 

El Surveillance-Plugin contiene todas las características necesarias para el monitoreo de la víctima. Así, puede el atacante recopilar contraseñas, logs y registros DNS. La computadora host se puede controlar a través de un Remote-Desktop, y puede grabar entradas clave usando el micrófono o la cámara web.

 

El Surveillance Plugin puede recibir cuatro comandos:

 

  1. Contraseñas: SendTools, EmailClient, InternetBrowser
  2. Logging: (KeyboardLogging, ApplicationLogging, DNSLogging, GetLogs, DeleteLogs, ExportLogs, ViewLogs)
  3. Keyboard: Write, Download, LogToServer
  4. Dns: GetRecords

 

En resumen, se dispone de un conjunto de herramientas muy completo para controlar y monitorear en su totalidad computadoras infectadas.

 

Sin posibilidad de acceso gracias al ATP de Hornetsecurity

 

A pesar de lo sofisticado que son los métodos de ofuscación del ataque NanoCore, la verdadera intención de la herramienta es reconocida por el análisis de comportamiento de Hornetsecurity ATP Sandbox. Este reconoce tanto el desempaquetado y la creación de nuevos ficheros, el proceso de inyección de las DLL de NanoCore en un proceso legítimo, la modificación de las entradas de registro y la comunicación de red.

 

Analysetätigkeiten von Hornetsecurity ATP

Actividades de análisis del ATP de Hornetsecurity

 

Indicadores de compromiso

 

Los siguientes ficheros con los valores hash sha256 fueron utilizados en el ataque. Ya que AutoIT es un software legitimo, no incluimos la herramienta aquí.

 

  • inquiry.pdf** 9c5d693e7c86f8f0c05af495d95a9d6f998ec93bec5c6f8d560d54f8a945f866
  • inquiry.zip** e0d88bab6749297eb1c03ec1e86bb0d9b7e53d10de8c05dcde032e5f040d03a2
  • inquiry.scr** 4a71602852c7a1a2b3c3c9690af9a96b57c622b459e4fff4f34d43c698b034b8
  • DIENU** 5612ac210a8df891f9ed07c5a472beb0d78f1f714f9f37e31320ec1edbc41d9c
  • SurveillanceExClientPlugin.dll** 01e3b18bd63981decb384f558f0321346c3334bb6e6f97c31c6c95c4ab2fe354
  • ClientPlugin.dll** 61e9d5c0727665e9ef3f328141397be47c65ed11ab621c644b5bbf1d67138403
  • qoa.docx** f36603bf7558384d57a9f53dfcd1e727bd6f56d4a664671f06fd5ca1383413d0
  • stt=dsr** 6236beb6702dd8396339fdad8c4539d7e177733a0f7cff1ded06f060895feac1

 

Dominio, desde el cual se descargó el archivo Zip: htXp://ibeitou.com/inquiry.zip

 

Hornetsecurity ATP reporta a Valyria

[/et_pb_text][/et_pb_column][/et_pb_row][/et_pb_section]

Una DDoSis muy alta para la propia protección

Una DDoSis muy alta para la propia protección

Cuando los Ataques de Denegación de Servicio paralizan la organización

 

Cada vez se leen más comunicaciones en las que un ataques DDos ha sido la causa de la parálisis de un sitio web corporativo. Aquí se trata de un tipo de ataque en el que sistemas secuestrados generan oleadas de datos que paralizan las organizaciones. De esta misma forma, no menos frecuente, son los servidores de correo objeto de ataques DDoS.

 

Estos ataques conllevan a que los sitios web, así como servicios individuales, no se encuentren disponibles durante un término de tiempo específico. Esto puede ir desde pocos minutos, a varias horas o a una falla por un día completo. Downtime (tiempo de baja) – una pesadilla para cualquier empresa.

 

Los ataques DDoS tienen como objetivo, no solo la infraestructura TI de grandes consorcios internacionales, que por lo general cuentan con conceptos de seguridad bastante sólidos, sino también pequeñas empresas. Otros objetivos de estos ataques son entidades públicas, administraciones locales, y oficinas administrativas. Las razones son variadas: estas van desde el deseo de ‘destrucción’, hasta la destrucción específica de competidores o administraciones externas. Motivos basados en el odio y la venganza son igualmente recurrentes. Es por esto que el armarse de un concepto de seguridad TI confiable resulta indispensable hoy en día.

 

Ataques DDoS: el vandalismo digital afecta la reputación

 

Cada segundo, en el que por ejemplo un servidor de correo o servicios específicos de sitios web no se encuentran disponibles, cuesta a las empresas dinero. Esto afecta primordialmente a empresas que utilizan el Internet para realizar negocios, a través de la venta de productos o servicios. Lo mismo aplica para áreas de negocio en las que el soporte al cliente se realiza a través del correo electrónico. Los costos no solo se reducen a las ganancias que se dejan de recibir durante la baja del servicio. La implementación de medidas de defensa de forma rápida y en algunos casos, los servicios externos de consultoría, pueden incrementar los costes. De forma paralela, el daño realizado a la reputación de la empresa se convierte en un problema adicional.

 

Las empresas en la que sus clientes no tienen confianza, ven afectada su base de negocio a largo plazo. Por este motivo, resulta comprensible que alrededor del 50% de las empresas afectadas por un ataque cibernético guarden silencio. El temor a tener que aceptar una perdida de imagen es bastante grande.

 

Una reducción en los daños generados puede ser posible en el caso de formas sencillas de criminalidad cibernética. En el caso de ataques DDos y ataques más complejos esto resulta casi que imposible. Este tipo de ataques, no solo afectan las actividades y procesos de las áreas de negocio internas, sino que también generan consecuencias a nivel externo ya que los clientes perciben la falla de forma inmediata al verse afectados por la interrupción del servicio.

 

La solución: Un concepto de seguridad TI confiable

 

Las empresas deben armarse contra ataques tipo DDos y otros tipos de ataque cibernético. Soluciones de seguridad como el Filtro de Spam de Hornetsecurity están en la capacidad de identificar y contrarrestar ataques DDos a un servidor de correo a tiempo y de forma eficaz. En el caso de ataques más complejos, como troyanos de chantaje o robo de identidad, se recomienda el uso del Advanced Threat Protection. Esta solución de seguridad identifica e impide eficazmente Ransomware, ataques tipo Blended y Targeted así como espionaje digital. Para ello cuenta el Advanced Threat Protection (ATP) con motores especializados de análisis. Obtenga más información aquí.

¿Cómo pueden protegerse las empresas contra un ataque DDos?

 

De regreso a los ataques DDoS: para evitarlos, las empresas y las autoridades deben seguir ciertas medidas de seguridad por adelantado. ¿Qué es necesario hacer para protegerse efectivamente contra un ataque DDoS?

 

1. La fuerza explosiva de un ataque DDos

En principio, cualquier organización puede ser objeto de este tipo de ataques. Finalmente cada empresa y cada administración debe hacerse la misma pregunta: “¿Cuáles consecuencias traería la baja del servidor de correo para mi?”. Porque la naturaleza explosiva de un ataque DDoS puede tener diferentes grados de severidad en el entorno corporativo. El tiempo de baja para un comerciante con un almacén en línea, es mucho más grave que para un negocio de artesanía local. Al final, la diferencia no es mucha. Ambos desean mantener la comunicación vía E-Mail con sus clientes. En este sentido, un concepto de seguridad es más que necesario.

 

2. Gestión de riesgo TI

De igual importancia es que en el caso de un ataque DDoS los procedimientos concretos en la empresa ya se encuentren implementados. En el caso de un ataque cibernético, la persona de contacto siempre debe estar disponible. Este puede ser el oficial de seguridad TI de la empresa o un empleado externo de un proveedor de servicios TI que ofrezca servicios de seguridad y que se ocupe de la gestión y administración de seguridad TI.

 

3. Reacción a extorsiones

De manera parecida a un Ransomware, ataques DDoS exitosos suelen estar conectados con un reclamo monetario. Para los cibercriminales se trata de un modelo de negocio bastante lucrativo. Esto es especialmente cierto ya que muy frecuentemente las empresas aceptan las solicitudes de los delincuentes con el fin de evitar consecuencias aun mayores. El BSI (la oficina general de seguridad de la información alemana) aconseja no dejarse extorsionar y declinar el pago de sumas de dinero exigidas. En su lugar, se recomienda solicitar la ayuda de la policía, e igualmente, buscar ayuda de expertos de seguridad TI profesionales.

 

4. Implementación de medidas preventivas

La medida mas importante para evitar ataques DDoS, es no permitirlos en lo absoluto. Para ello, la implementación de una solución TI competente resulta indispensable – idealmente, una basada en la nube. La razón para ello es que este tipo de proveedores disponen de una infraestructura mucho más poderosa que les permite contrarrestar sin problema este tipo de ataques. Adicionalmente, los clientes no se tienen que preocupar por la instalación y el mantenimiento del hardware y del software.

 

Información adicional:

 

  1. ATP de Hornetsecurity
  2. Filtro Spam Hornetsecurity
  3. BSI – Comportamiento ante ataques cibernéticos

 

Ola de Phishing actual: “Downloader Valyria” carga Spyware

Desde fin del pasado año hemos observado una oleada de correos Phishing que contienen el Downloader Valyria. Este es un documento tipo Office que contiene un macro VBA que carga diferentes tipos de Spyware.

 

Posteriormente la víctima es animada, a través de ataques Phishing, a activar la función macro de Microsoft Office. Para ello, los atacantes utilizan los siguientes métodos que se muestran a continuación.

 

 

Hornetsecurity ATP reporta a Valyria

Tendencias del ciberdelito para 2018: Año Nuevo, peligros nuevos

Tendencias del ciberdelito para 2018: Año Nuevo, peligros nuevos

Una mirada hacia el futuro puede merecer la pena. Sobre todo con respecto al tema de la ciberdelincuencia, es ventajoso si las empresas ya saben lo que se aproxima y pueden esperar para el año que entra. Hasta ahora, cada año se ha distinguido por diferentes escenarios de amenazas.

 

Por ejemplo, 2016 aún se le consideraba el año de las “bodas del phishing”, según un artículo de Heise online, , para luego cambiar la tendencia en 2017, año de especial influencia de los ataques de ransomware como WannaCry, Bad Rabbit y NotPetya. Entonces, ¿qué podemos esperar para 2018? Vamos a darle un vistazo.

 

Las criptomonedas en la mira

 

Las criptomonedas en la mira
Al menos una cosa es segura: una vez más, en 2018 los nuevos estándares serán nuevos y más complejos métodos de ataque. Por ejemplo, el ataque llamado “Cryptojacking pudiera ser muy influyente este año. En el Cryptojacking, los ciberdelincuentes toman el control de ordenadores ajenos para utilizarlos para la explotación de criptomonedas como Bitcoin.

 

Para caer presa de esta amenaza, es suficiente con visitar una de las más de 50 000 páginas web que contienen el código malicioso. En ellas, se incluye un snippet de Javascript con el servicio de criptominería “Coinhive”, que obliga a los ordenadores a “excavar” criptomonedas a nombre de los hackers. La CPU del equipo afectado se secuestra de tal manera que es de poco uso para cualquier otra actividad.

 

Debido al alto precio de las criptomonedas, es muy posible que aparezcan nuevos tipos de ransomware en 2018 que se especialicen en explotar Bitcoin y otros. También es muy posible que se ataquen dispositivos inteligentes como televisores o teléfonos móviles con sistemas operativos Android, ya que los hackers consideran que estos son particularmente fáciles de secuestrar.

 

 

Las macros y los Exploits siguen siendo un problema

 

Los ataques con scripts perjudiciales, que los hackers acostumbran esconder en archivos de Office, probablemente continúen acompañándonos en 2018. 
Su objetivo es comunicarse continuamente con sitios web comprometidos desde diferentes dispositivos. Por ejemplo, los agresores usan PowerShell para llevar a cabo actividades de comando y control y así alcanzar los efectos deseados.

 

Sin embargo, nuestro Laboratorio de seguridad advierte ante ataques en los cuales se utilizan vulnerabilidades del sistema. En contraste con las macros, se necesita poca o ninguna interacción del usuario para infectar el sistema. Estas vulnerabilidades muchas veces se aprovechan en software popular muy poco después de su lanzamiento. Si los sistemas de las víctimas no se han actualizado, los hackers no tendrán problema alguno en lograr sus objetivos.

 

 

El “Internet de las cosas” es muy popular, incluso entre los ciberdelincuentes

 

El “Internet de las cosas” (IoT) ya lleva tiempo en boca de todos. La creación de redes de objetos no solo es cosa de aquellos interesados en la tecnología, sino que goza cada vez más de popularidad entre los ciberdelincuentes. Esto es, simplemente, porque muchos de los dispositivos con capacidad inalámbrica no están actualizados en cuanto a seguridad.

 

El desarrollador de ERP, NaoLogic, jocosamente llama en Twitter al “Internet de las cosas” como “Internet de las cosas Ransomware”.

 

 

Mirai botnet, ya nos ha demostrado lo potente que puede ser un ataque a dispositivos IoT con configuraciones inciertas. Capturó millones de dispositivos vinculados con Internet, como routers, cámaras de seguridad e incluso tostadoras. A esto le sucedieron ataques DDoS a gran escala, que ocasionaron algunas interrupciones en el servicio de Amazon, Netflix y Twitter, es decir, algunos de los servicios más populares en Internet.

 

Incluso sectores como el de servicios sanitarios hacen cada vez más uso del Internet de las cosas, debido a que, evidentemente, es muy conveniente conectar los aparatos médicos con Internet, para así poder digitalizar los registros médicos, por ejemplo. Sin embargo, los riesgos que esto conlleva no deben subestimarse.

 

 

En resumen: Las precauciones debidas, pueden ahorrar una gran cantidad de molestias

 

Aunque estos nuevos desarrollos pueden sonar alarmantes, las empresas que ya tienen un sofisticado y experimentado concepto de seguridad de TI, tienen relativamente poco que temer.

 

En contraste, la mera utilización de software antivirus no es garantía de una infraestructura de TI segura. Al contrario, la utilización de programas de seguridad tradicionales puede incluso tener repercusiones negativas sobre la seguridad de TI de una empresa,como ya hemos informado..

 

Efectivamente, se necesita mucho más que eso para garantizar la seguridad: los conceptos de seguridad de TI se basan en particular en la prevención y el uso eficaz de soluciones de seguridad de TI. Cada vez más, las soluciones de seguridad informática basadas en la nube, como los servicios de Hornetsecurity, tienen un papel muy importante. Son capaces de protegerle incluso frente a los ciberataques más sofisticados, de forma que incluso “Ransomware y Cía.” no podrán perjudicar a su empresa.

 

 

También interesante:

 

¿Desea conocer más acerca de cómo usar Advanced Threat Protection para defenderse ante los más sofisticados ciberataques, incluyendo Ransomware, Fraude del CEO y Spear-Phishing? ¡Entonces no se pierda nuestro nuevo vídeo de productos!