El elaborado cebo de la floristería de BazarLoader

El elaborado cebo de la floristería de BazarLoader

Resumen

Desde el 20 de enero de 2020 Hornetsecurity ha observado una nueva campaña de malspam que utiliza una falsa floristería, en un elaborado señuelo de ingeniería social, para propagar el malware BazarLoader. La campaña envía facturas de una falsa floristería con la esperanza de que las víctimas potenciales; encuentren el sitio web de la falsa floristería y descarguen el malware BazarLoader

Con el fin de atraer a las víctimas para que proporcionen asistencia, la campaña configura un sitio web de floristería completamente funcional y puede así evadir los esquemas de detección automatizados que buscan contenido malicioso, ya que la descarga maliciosa se hará manualmente por la víctima siguiendo varios pasos de la trampa de ingeniería social.

Antecedentes

BazarLoader1 es un cargador de malware atribuido a un actor de la amenaza con una estrecha relación con el malware TrickBot. El actor de la amenaza es rastreado bajo el nombre de Team9 (Cybereason) o UNC1878 (FireEye).

BazarLoader también recibe el acertado nombre de KEGTAP por parte de FireEye, como en un dispositivo utilizado para abrir un barril de cerveza, porque se utiliza para «abrir» la red de las víctimas para seguir al malware con el fin de moverse lateralmente en la red y, finalmente, desplegar el ransomware Ryuk.2

Ya habíamos informado de una campaña de BazarLoader, que utilizaba un señuelo de ingeniería social de despido para propagar su malware.3

La campaña observada comenzó el 21-01-2021 y está en curso.

Histograma con los temas de la campaña BazarLoader

Utiliza varios temas referidos a una factura de la floristería Mundo Rosa. Spoiler: La floristería no es real. La factura adjunta es una elaborada estafa de ingeniería social para engañar a las víctimas para que descarguen el malware BazarLoader.

Análisis Técnico

El siguiente análisis describe cada paso de la nueva y elaborada campaña de ingeniería social de BazarLoader.

Email

El ataque comienza con un correo electrónico.

 Correo de la tienda de flores

El correo electrónico finge ser una factura de la tienda online Rose World, una floristería online

PDF

En el correo electrónico se adjunta una factura en PDF.

 PDF de la tienda de flores BazarLoader

El PDF no tiene enlaces donde hacer clic. Sin embargo, presenta un nombre de dominio bajo la dirección del supuesto emisor de la factura.

URL de la floristería BazarLoader en PDF

Tienda de flores falsa

Cuando el destinatario visita este dominio, se presenta una tienda web de flores.

Tienda de flores falsa

Aunque se trata de una tienda falsa, cuenta con:

  • Una página «sobre nosotros»

Página de la falsa floristería BazarLoader sobre nosotros

  • Un blog

BazarLoader flower shop fake blog

  • Una tienda con un carrito de la compra totalmente funcional, una lista de deseos y botones para compartir en Twitter y Facebook

Tienda de flores BazarLoader

Sin embargo, el pago falla porque supuestamente no hay métodos de pago disponibles.

BazarLoader falsa floristería y forma de pago

La forma de pago es lo único que no funciona en la supuesta tienda. Por lo tanto, es muy difícil identificar esto como un sitio web malicioso.

El señuelo

Dado que la tienda parece legítima, es probable que el destinatario intente ponerse en contacto con el propietario de la tienda para aclarar la factura que ha recibido falsamente. Para ello, visitan la sección de contacto de la tienda falsa.

Página de contacto de la floristería BazarLoader

Aquí un último indicador de que algo no va bien. El marco de Google Maps está en ruso, mientras que el resto de la tienda web pretende ser de Estados Unidos. Sin embargo, es probable que la víctima continúe hasta el cómodo campo de introducción del número de pedido.

Señuelo de ingeniería social BazarLoader

Cuando la víctima introduce el número de pedido – de hecho, cualquier entrada será suficiente – se le redirige a través de una pantalla de carga.

Página de carga falsa de BazarLoader

La página de carga también es falsa, el contenido ya está cargado bajo la superposición de la página de carga.

A continuación, se presentan a la víctima las instrucciones para descargar y ejecutar el malware.

Instrucciones de descarga del malware de floristería BazarLoader

Incluye instrucciones para evitar la advertencia de descarga de archivos maliciosos en Google Chrome.

Instrucciones de descarga del malware de floristería BazarLoader

Incluso incluye instrucciones para eludir las funciones de seguridad de Windows que impiden la ejecución del archivo por haber sido descargado de Internet.

Instrucciones de ejecución del malware de floristería BazarLoader

El enlace «Formulario de solicitud» descargará un documento malicioso de hxxps[:]//rosedelivery[.]us/.

Documento malicioso

El documento malicioso finge estar protegido por DocuSign y es necesario permitir que las macros lo descifren.

Documento malicioso de la floristería BazarLoader

El código de la macro XLM descargará el ejecutable BazarLoader de hxxps[:]//www.smowengroup[.]com/fer/iertef.php y lo ejecutará.

BazarLoader floristería maliciosa XLM macro script

El BazarLoader utiliza el sistema descentralizado Emerald DNS basado en el blockchain Emercoin para establecer su comunicación C2. Descargará e instalará el BazarBackdoor1. Este backdoor se utilizará para moverse lateralmente en la red de la víctima con el fin de tomar el mando del controlador de dominio. Finalmente la intrusión se monetiza desplegando el ransomware Ryuk2.

Objetivo

La campaña está dirigida a empresas estadounidenses. Lo deducimos del correo electrónico, del PDF y de la falsa tienda web, pero también de los destinatarios, que son empresas estadounidenses y/o empresas internacionales con presencia en Estados Unidos.

Conclusión y contramedidas

La nueva campaña de BazarLoader no incluye indicadores maliciosos en sus correos electrónicos, como documentos macro o URLs en las que se puede hacer clic. Más bien se basa en un elaborado señuelo de ingeniería social, para llevar a la víctima a encontrar y descargar el malware por sí misma, en lugar de entregárselo directamente. La cantidad de trabajo manual que requieren las víctimas, hace que esta campaña sea difícil de detectar mediante medidas automatizadas. Por este motivo, Hornetsecurity sigue de cerca las operaciones de malspam de los actores de la amenaza para atajar rápidamente las nuevas amenazas. Hornetsecurity ya está al tanto de este nuevo y elaborado esquema de ingeniería social para distribuir el BazarBackdoor y el servicio de Hornetsecurity Spam and Malware Protection, pone en cuarentena los nuevos correos de BazarLoader.

Referencias

Indicadores de Compromiso (IOCs)

Correo

Asuntos

  • Congratulations on the latest purchase you have made!Your order number is KCD[0-9]{8}G.
  • Congratulations on your purchase from our store! Your order number is KCD[0-9]{8}G.
  • Order Confirmed. Your order number KCD[0-9]{8}G will be send to you soon.
  • Purchase confirmation for order number KCD[0-9]{8}G
  • Thanks for your order, your order number KCD[0-9]{8}G.
  • Thank you for using the (Rose Deliver|Rose World) stores service. Your order number is KCD[0-9]{8}G.
  • Thank you for your order from the (Rose Deliver|Rose World) online shop, your order number is KCD[0-9]{8}G.
  • Thank you for your order from the (Rose Deliver|Rose World) online store, your order number is KCD[0-9]{8}G.
  • Thank you for your purchase, your order number is KCD[0-9]{8}G.
  • You have formed an order KCD[0-9]{8}G from (Rose Deliver|Rose World) online store.
  • Your order No. KCD[0-9]{8}G has been completed by (Rose Deliver|Rose World).

La representación se condensó utilizando los siguientes patrones regex:KCD[0-9]{8}G, (Rose Deliver|Rose World)

Nombres de archivos adjuntos

  • invoice_KCD[0-9]{8}G.pdf

Representación se condensó utilizando los siguientes patrones regex:KCD[0-9]{8}G

Hashes

MD5 Filename Description
c3347d329bda013282d32ee298c8dc45 invoice_KCD86786085G.pdf Lure PDF
e8b0cc2767cc0195570af56e9e7750fe request_form_1611584809.xlsm Downloaded Maldoc

URLs

  • hxxps[:]//roseworld[.]shop
  • hxxps[:]//rosedelivery[.]us/

DNS

  • roseworld[.]shop
  • rosedelivery[.]us
Desmantelada la red de bots Emotet

Desmantelada la red de bots Emotet

Resumen

El 27 de enero de 2021 Europol anunció que, una acción judicial y policial coordinada a nivel mundial, ha desarticulado la red de bots Emotet. Los investigadores han tomado el control de la infraestructura del malware. Si tiene éxito, esto podría significar el fin de Emotet: su botnet, malspam (malware + spam)  y operación de carga de malware. Aunque la situación aún está en desarrollo, podemos confirmar que la infraestructura de la botnet Emotet está interrumpida. Las víctimas serán notificadas por los CERTs de los países responsables y deberán tomar las medidas oportunas para limpiar su malware, Emotet. Además de las infecciones secundarias, para evitar que siga activo el malware que fue descargado por Emotet y desplegar el ransomware.

Antecedentes

Emotet (también conocido como Heodo) se observó por primera vez en 2014. Se trataba de un troyano bancario que robaba datos bancarios y credenciales de inicio de sesión de las víctimas. Pero pasó a ser una operación de malware como servicio (MaaS) que proporciona servicios de distribución de malware a otros ciberdelincuentes. En la actualidad, Emotet es probablemente la operación de distribución de malware más prolífica. Para ello, roba los correos electrónicos y responde a las conversaciones anteriores de la víctima. Esto se conoce como secuestro del hilo de conversación del correo electrónico5 . Hornetsecurity ha escrito numerosas entradas de blog sobre Emotet2,3,4,5.

¿Qué ha pasado?

La cooperación internacional de las fuerzas de seguridad y judiciales de todo el mundo, coordinado por Europol y Eurojust, ha desmantelado la red de bots Emotet. En esta operación han participado las siguientes autoridades:

  • Holanda: Policía nacional (Politie), National Public Prosecution Office (Landelijk Parket)
  • Alemania: Policía federal (Bundeskriminalamt), Fiscalía General Frankfurt/Main (Generalstaatsanwaltschaft)
  • Francia: Policía nacional (Police Nationale), Tribunal Judicial de París (Tribunal Judiciaire de Paris)
  • Lituania: Oficina de la Policía Criminal de Lituania (Lietuvos kriminalinės policijos biuras), Fiscalía General de Lituania
  • Canadá: Royal Canadian Mounted Police
  • Estados Unidos: Federal Bureau of Investigation, U.S. Department of Justice, US Attorney’s Office for the Middle District of North Carolina
  • Gran Bretaña: National Crime Agency, Crown Prosecution Service
  • Ucrania: Policía nacional de Ucrania (Національна поліція України), de la Fiscalía General (Офіс Генерального прокурора).

Los investigadores obtuvieron el control de la infraestructura de un sospechoso ubicado en Ucrania. La comunicación C2 de Emotet ha sido desenmascarada y la información de las víctimas conectadas ha sido entregada a los CERTs responsables del país, que notificarán a las víctimas para que puedan limpiar la infección.

La Policía Nacional holandesa también ha obtenido una base de datos con direcciones de correo electrónico, nombres de usuario y contraseñas robadas por Emotet a lo largo de los años. Ofrecen un sitio web para comprobar si una dirección de correo electrónico ha sido comprometida en http://www.politie.nl/emocheck.

Emotet «uninstaller»

Además, la policía criminal federal de Alemania (Bundeskriminalamt (BKA)) está distribuyendo un programa para eliminar la botnet Emotet que desinstalará el malware el 25-03-2021 a las 12:00.

El programa creará una marca de tiempo para el 5-03-2021 a las 12:00.

Marca de tiempo para desinstalar

El programa generará un hilo que en un bucle dormirá durante 1000 minutos (16,6 horas) hasta que llegue el momento de desinstalar Emotet.

Hilo para desinstalar Emotet

Una vez llegado el momento de desinstalar Emotet, la clave de registro y su servicio se eliminan. El binario de Emotet se mueve a una ruta de archivo temporal, que lo pone en cuarentena para posibles investigaciones DFIR en el sistema infectado.

Desistalación de Emotet

La razón más probable por la que Emotet no se ha eliminado inmediatamente es para permitir que las partes afectadas realicen investigaciones DFIR. El objetivo es descubrir el malware potencialmente secundario que se desplegó a través de Emotet.

A nuestro entender, las acciones de «sinkholing» y «desinstalación» se llevan a cabo bajo los auspicios de la Policía Criminal Federal alemana (BKA), por lo que las direcciones IP del sinkhole son propiedad del ISP alemán Deutsche Telekom.

¿Qué ocurrirá después?

Aunque nuestros filtros de correo siguen detectando correos electrónicos esporádicos que contienen documentos maliciosos de Emotet, es probable que se trate de correos que todavía estaban en las colas de los «spambots» de Emotet o de los sistemas de correo electrónico y que acaban de ser entregados; a pesar de que la infraestructura de la red de bots de Emotet ha sido interrumpida.

Diagrama de malspam de Emotet

Esperamos que los restos de malspam de Emotet, que salen de la moribunda red de bots Emotet, terminen en los próximos días, semanas y, si el desmantelamiento tiene éxito, se detengan por completo.

Aunque siempre existe la posibilidad de que una red de bots pueda reagruparse después de una interrupción (véase TrickBot), esto, sin embargo, parece poco probable en este caso, ya que no sólo se han interrumpido los servidores proxy C2 de nivel 1 (como fue el caso de la interrupción de la red de bots TrickBot), sino que – según nuestra información también se ha interrumpido el servidor C2 de nivel 2, es decir, el servidor C2 real, al que los servidores proxy C2 de nivel 1 sólo retransmitían el tráfico.

¿Quién llenará el vacío?

Emotet constituía alrededor del 20% del tráfico de correo electrónico malicioso procesado por Hornetsecurity. Distribuía malware de otros actores de la amenaza. Si bien el desmantelamiento de Emotet significará que no habrá más correo maliciosos, probablemente no significará una disminución del mismo, ya que otros actores de amenazas tratarán de llenar el vacío y tomar la base de clientes existente de la operación de malware como servicio (MaaS) de Emotet.

Un fuerte competidor para llenar el vacío generado por la interrupción de Emotet es QakBot10. El año pasado QakBot añadió el secuestro de hilos de conversación por correo electrónico5 a su arsenal, es decir, al igual que Emotet, roba los correos electrónicos de las víctimas y crea malspam no adaptado respondiendo a hilos de conversación de correo electrónico existentes. También se ha observado que QakBot carga otro malware, como ZLoader.sup>8 Además, los documentos maliciosos basados en macros XLM de QakBot7 suelen tener una tasa de detección más baja que los documentos maliciosos basados en macros VBA de Emotet. Por lo tanto, cumple con todos los requisitos que un cibercriminal tendría hacia un reemplazo de Emotet.

Conclusión y contramedidas

Felicitamos a todas las partes participantes y esperamos que la toma de posesión de Emotet sea un éxito a largo plazo.

Mientras que el propio Emotet puede ser inoperable, otras amenazas que Emotet ha cargado previamente como TrickBot6, QakBot7, o Zloader8 permanecen activos y podrían seguir desplegando ransomware como Ryuk y Egregor. Si las autoridades te informan de una infección de Emotet, también debes limpiar estas posibles infecciones secundarias para mitigar la amenaza completa.

En caso de que la red de bots Emotet pueda recuperarse, el programa de Hornetsecurity Spam and Malware Protection, con las tasas de detección más altas del mercado, volverá a detectar y poner en cuarentena, como antes de la interrupción, los documentos maliciosos de Emotet.

Referencias

Indicadores de compromiso (IOCs)

IPs

Estas son las IPs utilizadas por la Policía Criminal Federal Alemana (Bundeskriminalamt (BKA)) para hundir a Emotet.

  • 80.158.3.161:443
  • 80.158.51.209:8080
  • 80.158.35.51:80
  • 80.158.63.78:443
  • 80.158.53.167:80
  • 80.158.62.194:443
  • 80.158.59.174.8080
  • 80.158.43.136:80

Hashes

Este es el hash del programa distribuido por la Policía Criminal Alemana (Bundeskriminalamt (BKA)) para eliminar Emotet el 25-03-2021 a las 12:00.

MD5 Descripción
9a062ead5b2d55af0a5a4b39c5b5eadc Emotet «uninstaller»
Hornetsecurity evalúa la puerta trasera de SolarWinds SUNBURST

Hornetsecurity evalúa la puerta trasera de SolarWinds SUNBURST

Resumen ejecutivo

  • FireEye descubrió un ataque global de tipo troyano a la cadena de suministro de la Plataforma Orión de SolarWinds, a causa de una puerta trasera que FireEye llamó SUNBURST.
  • Versiones afectadas: plataforma SolarWinds Orion, versiones 2019.4 HF 5, 2020.2 (sin ningún hotfix instalado), 2020.2 HF 1
  • Versión corregida: Plataforma SolarWinds Orion versión 2020.2.1 HF 2
  • Aunque las versiones troyanas de la Plataforma Orión de SolarWinds se han difundido ampliamente entre organizaciones públicas y privadas de todo el mundo, la información actual indica que la puerta trasera de SUNBURST fue utilizada para el espionaje por un estado nacional y sólo se usó para infiltrarse en un grupo selecto de víctimas. Otros daños colaterales ocurrieron al  instalar las versiones troyanas de la Plataforma Orión de SolarWinds .
  • Para saber si estás afectado (más allá de comprobar las versiones instaladas de la Plataforma Orion de SolarWinds) comprueba los registros DNS consultando avsvmcloud[.]com o.digitalcollege[.]org (¡Incluyendo subdominios!).
  • Hornetsecurity no se ve afectada y no utiliza productos de SolarWinds.
  • Debido a que se trata de un incidente global en curso, comprueba los enlaces a los siguientes recursos para obtener información e imágenes actualizadas.

Resumen

El 13 de diciembre de 2020, FireEye reveló una puerta trasera en las actualizaciones de la Plataforma Orión de SolarWinds. Las organizaciones afectadas deben actualizar la versión corregida de manera inmediata.

La puerta trasera es parte de una operación de espionaje global y se utiliza para acceder a las redes del Gobierno y de empresas privadas de alto perfil.

Hornetsecurity evaluó su situación y no se ve afectada.

Antecedentes

La Plataforma Orion de SolarWinds es el líder del mercado de monitorización de redes, con más de 275.000 clientes en 190 países y proporcionando monitorización de redes a 400 de las empresas de la lista Fortune 500, el gobierno de EE.UU. y otras organizaciones de alto perfil.

El 13 de diciembre de 2020, FireEye reveló que durante el periodo comprendido entre el 01-03-2020 y 01-06-2020, las actualizaciones de la Plataforma Orión de SolarWinds fueron troyanizadas, por ello, lo llamaron la puerta trasera de SUNBURST.3 Previamente el 18-12-2020 FireEye  reveló una brecha de seguridad en su propia organizaciónn,2 para la que más tarde se identificó la actualización de la Plataforma Orión de SolarWinds como el vector de intrusión.

FireEye atribuye esta intrusión a un actor de amenaza aún desconocido que están rastreando como UNC2452. Aunque muchos medios de comunicación informan de esta intrusión atribuida al APT29, creemos que esto es incorrecto ya que el APT29 es un actor de amenaza designado por el propio FireEye pero aún así no lo han atribuido directamente al APT29.

El 14-12-2020  SolarWinds publicó un aviso de seguridad1 en relación a este asunto.

Análisis técnico

La puerta trasera deSolarWinds.Orion.Core.BusinessLayer.dll del software de la plataforma de SolarWinds Orion, espera después de la instalación una cantidad  entre 12 y 14 días – seleccionada al azar – antes de ejecutar su código malicioso.  Intenta establecer una comunicación C2 usando un algoritmo de generación de nombres de dominio (DGA) to <ENCODED VICTIM HOSTNAME>.appsync-api.{eu,us}-{west,east}-{1,2}.avsvmcloud[.]com. El código <ENCODED VICTIM HOSTNAME> de la parte del subdominio contiene el nombre del host codificado de las víctimas. Puede ser decodificado usando una herramienta proporcionada por RedDrip77

Los registros de subdominio correspondientes a los nombres de host de las víctimas a las que se dirigía la intrusión recibieron una respuesta DNS CNAME que los redirigió a uno de los dominios C2. Las víctimas que no eran el objetivo no recibieron un CNAME.6Aunque se trata de un ataque a gran escala a la cadena de suministro, la información actual indica que el propósito de la intrusión es el espionaje llevado a cabo por un estado nacional. Esto significa que mientras (según los archivos de la SEC de SolarWinds 8) alrededor de 18.000 víctimas instalaron las actualizaciones comprometidas, sólo una fracción muy pequeña fue realmente el objetivo de este ataque, el resto son daños colaterales.

En las organizaciones seleccionadas, la puerta trasera se utiliza como puente en la red de la organización, mediante la instalación de la TEARDROP y BEACON (del marco de Cobalt Strike) malware para infiltrarse aún más en la red.

Conclusión y medidas

A diferencia del ataque a la cadena de suministro contra el paquete de contabilidad fiscal ucraniano M.E.Doc, que dio lugar al incidente global de NotPetya en 2017, el objetivo de esta intrusión era el espionaje. Por lo tanto, sólo redes de objetivos seleccionados fueron instruidas a través de la puerta trasera de SUNBURST, del software comprometido de la Plataforma Orion de SolarWinds.

Las organizaciones que hayan instalado una versión de la Plataforma Orión de SolarWinds afectada deben tratar a todos los anfitriones monitoreados por la Plataforma Orión de SolarWinds como comprometidos, identificar todas las cuentas e infraestructuras controladas por los actores de la amenaza dentro de la organización y eliminarlas, y sólo entonces reconstruir la instalación de la Plataforma Orión de SolarWinds. Las organizaciones con requisitos de protección elevados pueden seguir la guía de la Directiva de Emergencia 21-01 del DHS4 (obviamente sin informar al CISA, a menos que la organización sea parte del gobierno de los EE.UU).

Un buen punto de partida para identificar la actividad de los actores de la amenaza es buscar los IoCs proporcionados por FireEye3,5 en los registros DNS. En caso de que los DNS consulten a uno de los <ENCODED VICTIM HOSTNAME>.appsync-api.{eu,us}-{west,east}-{1,2}.avsvmcloud[.]com subdominios encontrados, puedes usar SunBurst DGA Decoder provided by RedDrip77 para averiguar qué nombre de host, ejecutó tu red por puerta trasera SUNBURST. En caso de que encuentres respuestas CNAME a estas consultas DNS, esto significaría que además de ejecutar el código de puerta trasera, los actores de la amenaza están/estaban interesados en el host y elevaron la conexión a una conexión C2 completa. En este último caso, recomendamos contactar inmediatamente con un proveedor de respuesta a incidentes competente.

Aplaudimos a nuestros colegas de FireEye por sus minuciosas investigaciones.

Referencias

Indicadores de compromiso (IoCs)

Para una lista completa de IoCs y firmas de detección, por favor vea las contramedidas publicadas por FireEye: https://github.com/fireeye/sunburst_countermeasures

DNS

  • .avsvmcloud[.]com
  • .appsync-api.eu-west-1[.]avsvmcloud[.]com
  • .appsync-api.us-west-2[.]avsvmcloud[.]com
  • .appsync-api.us-east-1[.]avsvmcloud[.]com
  • .appsync-api.us-east-2[.]avsvmcloud[.]com
  • .digitalcollege[.]org

¡Indicadores conocidos solamente a partir del 16-12-2020! Por favor, para obtener información actualizada comprueba los recursos vinculados.

QakBot reduce sus dispositivos en el disco

QakBot reduce sus dispositivos en el disco

Resumen

El QakBot ha sido actualizado con más técnicas de evasión. La configuración de QakBot se almacena ahora en una clave de registro en lugar de un archivo. La clave de ejecución para la persistencia no está permanentemente presente en el registro, sino que sólo se escribe justo antes de apagar o reiniciar, y se borra inmediatamente después de que QakBot se ejecuta de nuevo. El ejecutable de QakBot tampoco se almacena ya permanentemente en el sistema de archivos, sino que, de manera similar a la entrada de registro de la clave de ejecución, se deja caer en el sistema de archivos antes de reiniciar y se borra después. De esta manera el software de seguridad sólo puede detectar los artefactos de QakBot en el disco, justo antes de que el sistema se apague, y poco después del arranque del sistema. Sin embargo, en ese momento el software de seguridad en sí mismo se está apagando y arrancando, por lo tanto puede no detectar el nuevo método de persistencia del QakBot.

Otros cambios incluyen la decodificación dinámica justo a tiempo y la destrucción de cadenas en tiempo de ejecución. Así que cualquier cadena utilizada en el malware sólo se decodifica en tiempo de ejecución en la memoria y se destruye justo después.

El método de entrega de las campañas de QakBot observadas identificadas mediante el patrón de expresión regular de abc[0-9]+ sigue siendo documentos macro XLM como se informó anteriormente.

Antedecentes

QakBot (también conocido como QBot, QuakBot, Pinkslipbot) existe desde 2008. Se distribuye a través de Emotet, es decir, Emotet descargará QakBot en las víctimas que ya están infectadas con Emotet pero también se distribuye directamente por correo electrónico. Para ello, utiliza el secuestro de hilos de conversación por correo electrónico en sus campañas1, ej:, responderá a los correos electrónicos que encuentre en los buzones de sus víctimas. Se sabe que el QakBot intensifica las intrusiones descargando el ransomware ProLock2 o recientemente el ransomware Egregor.

Las campañas de QakBot observadas identificadas por el ID de la campañaabc usa documentos macro XLM para la infección. Anteriormente informamos sobre su baja detección.3

Una visión general de la actual cadena de infección utilizada por la campaña QakBot con identificadores que siguen el patrón de expresión regular de abc[0-9]+ se puede ver en el siguiente gráfico de flujo.
QakBot abc cadena de infección

Análisis técnico

En el siguiente análisis analizamos brevemente la cadena de infección del QakBot después de haber sido descargado y lanzado por el documento malicioso de Excel.

QakBot infection process tree

Evasión

QakBot utiliza varias técnicas de evasión para evitar ser detectado por el software antivirus

Manipulación del encabezado de PE

Observamos algunas DLLs de QakBot con un encabezado PE manipulado. El siguiente mensage de texto This program cannot be run in DOS mode. ha sido alterado.

QakBot PE header manipulation

Esto parece un intento de eludir algunas reglas de detección estática que coinciden con este mensaje en el talón de MS-DOS de los binarios PE.

Firma del código

Primero, el DLL inicial descargado y ejecutado se firma con un certificado de firma de código válido (en el momento en que se distribuyó la muestra analizada).

$ chktrust 904400.jpg
Mono CheckTrust - version 6.8.0.123
Verify if an PE executable has a valid Authenticode(tm) signature
Copyright 2002, 2003 Motus Technologies. Copyright 2004-2008 Novell. BSD licensed.

WARNING! 904400.jpg is not timestamped!
SUCCESS: 904400.jpg signature is valid
and can be traced back to a trusted root!

El CA firmante es Sectigo y la organización se da como Aqua Direct s.r.o., que es una empresa ya existente.

$ osslsigncode verify 904400.jpg 
Current PE checksum   : 00091021
Calculated PE checksum: 00091021

Message digest algorithm  : SHA1
Current message digest    : 632DCB214EE9FB08441C640D240F672A7ABA6EB1
Calculated message digest : 632DCB214EE9FB08441C640D240F672A7ABA6EB1

Signature verification: ok

Number of signers: 1
    Signer #0:
        Subject: /C=CZ/postalCode=619 00/L=Brno/street=\xC5\xBDelezn\xC3\xA1 646/8/O=Aqua Direct s.r.o./CN=Aqua Direct s.r.o.
        Issuer : /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Code Signing CA

Number of certificates: 4
    Cert #0:
        Subject: /C=CZ/postalCode=619 00/L=Brno/street=\xC5\xBDelezn\xC3\xA1 646/8/O=Aqua Direct s.r.o./CN=Aqua Direct s.r.o.
        Issuer : /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Code Signing CA
    Cert #1:
        Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
        Issuer : /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
    Cert #2:
        Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
        Issuer : /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
    Cert #3:
        Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Code Signing CA
        Issuer : /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority

Succeeded

Se desconoce si el certificado se obtuvo de Sectigo dando información falsa, si el certificado fue robado de Aqua Direct s.r.o., o si el certificado se obtuvo de Sectigo dando información robada de Aqua Direct s.r.o..

Se sabe que QakBot roba los correos electrónicos de las víctimas y los utiliza en futuras campañas de malspam. Por lo tanto, es probable que también utilicen los datos de las víctimas robadas para obtener certificados de firma de código. Sin embargo, los actores detrás de QakBot también pueden comprar el certificado de firma de código de un tercero (malicioso).

Las cadenas sólo se decodifican en tiempo de ejecución

QakBot decodificará sus cuerdas sólo en tiempo de ejecución en la memoria. Después de su uso, las cadenas decodificadas son removidas de la memoria nuevamente.

Procesos

QakBot usa CreateToolhelp32SnapshotProcess32{First,Next}W y enumera los procesos que están ocurriendo.

QakBot enumerating processes API log

Comprueba los siguientes procesos:

  • CcSvcHst.exe
  • avgcsrvx.exe
  • avgsvcx.exe
  • avgcsrva.exe
  • MsMpEng.exe
  • mcshield.exe
  • avp.exe
  • kavtray.exe
  • egui.exe
  • ekrn.exe
  • bdagent.exe
  • vsserv.exe
  • vsservppl.exe
  • AvastSvc.exe
  • coreServiceShell.exe
  • PccNTMon.exe
  • NTRTScan.exe
  • SAVAdminService.exe
  • SavService.exe
  • fshoster32.exe
  • WRSA.exe
  • vkise.exe
  • iserv.exe
  • cmdagent.exe
  • ByteFence.exe
  • MBAMService.exe
  • mbamgui.exe
  • fmon.exe

QakBot pondrá bits específicos en una máscara de bits para cada proceso en ejecución que encuentre. Dependiendo de la máscara de bits resultante, la ruta de infección posterior se altera, por ejemplo, si avp.exe  se ha encontrado. QakBot inyectará posteriormente el código mobsync.exe en vez de explorer.exe.  Debido a que los nombres de los procesos buscados están relacionados con soluciones de seguridad, creemos que de esta manera QakBot adapta su camino de ejecución para evadir la detección por parte de proveedores específicos.

Luego en otro bucle, de nuevo usando CreateToolhelp32SnapshotProcess32{First,Next}W, comprueba:

  • srvpost.exe
  • frida-winjector-helper-32.exe
  • frida-winjector-helper-64.exe

Si detecta alguno de esos procesos, el flujo de ejecución se ejecutará en un bucle que llamará continuamenteWaitForSingleObject(handle, 0x1fa) a handle generados previamente CreateEvent(NULL, FALSE, FALSE, ...), ejemplo: se ejecuta en un bucle infinito.

Controladores del dispositivo

A continuación, QakBot utiliza SetupDiGetDeviceRegistryPropertyA (consultando propiedades SPDRP_DEVICEDESCSPDRP_SERVICE) para comprobar los controladores de los dispositivos que contienen las siguientes cadenas:

  • VBoxVideo
  • Red Hat VirtIO
  • QEMU
  • A3E64E55_pr

Creemos que la búsqueda der A3E64E55_pr se utiliza para detectar un artefacto del arenero ANY.RUN.4 Alternativamente, pero poco probable, podría utilizarse para detectar un artefacto de la desaparecida solución AV de protección compleja xCore, utilizando un controlador similar con el nombre  A3E64E55_pr.sys.

Si detecta cualquiera de esos controladores de dispositivos, el flujo de ejecución se ejecutará en el mismo bucle infinito llamando continuamenteWaitForSingleObject(handle, 0x1fa)handle generado previamente via CreateEvent(NULL, FALSE, FALSE, ...), como se ha mencionado previamente.

Proceso de inyección

QakBot comienza C:\Windows\SysWOW64\explorer.exe en estado suspendido e inyecta un DLL en él usandoCreateProcessInternalW, NtMapViewOfSection, NtAllocateVirtualMemory, WriteProcessMemory, memcpy, NtProtectVirtualMemory and NtResumeThread.

QakBot process injection into explorer.exe API log

El DLL inyectado se puede extraer via PE-sieve5 u otras herramientas para un análisis posterior simplificado.

Injected QakBot DLL extracted with PE-sieve

Dependiendo de si la enumeración del proceso anterior dio resultados en la lista, QakBot inyectará  mobsync.exe (ejemplo en vcaso avp.exe el proceso siga en funcionamiento ) en vez de  explorer.exe. Pero por simplificar usamos explorer.exe proceso de inyección que observamos en nuestro entorno de análisis.

Comunicación C2 

Después de evitar la detección, el código QakBot inyectado dentro  explorer.exe comenzará a comunicarse con los servidores C2.

QakBot DLL in explorer.exe C2 communication

Como en versiones anteriores de QakBot la lista de IP de C2 se almacena RC4 cifrado en la sección de recursos311. Los primeros 20 bytes de la sección contienen la clave RC4 con la que se descifra el resto de la sección. Los primeros 20 bytes de los datos descifrados contendrán la suma SHA1 calculada sobre el resto de los datos descifrados. Se utiliza como verificación para el descifrado correcto. A diferencia de la versión anterior, la lista C2 ahora se almacena en forma binaria y ya no como texto ASCII.

QakBot C2 list storage

Para detalles sobre cómo extraer la lista de C2 y la configuración de QakBot ver el script Python3 en el apéndice. La entrada al script es el camino al DLL que QakBot inyectó en el explorer.exe, que previamente extraímos a través de PE-sieve5.

QakBot configuration extraction with Python3 script

La configuración se almacena usando el mismo esquema de cifrado RC4 en la sección de recursos 308. En ella podemos ver el bot y/o el ID de campaña abc103 que está asociado a la muestra analizada. Todavía está almacenado en texto plano de ACSII. Para cada campaña el número se incrementa en uno. Esto permite a los operadores detrás del QakBot llevar un registro de a qué campaña pertenece cada víctima que se conecta a su servidor C2. Otro identificador actualmente observado es  tr02. Este identificador, sin embargo, permaneció igual durante múltiples campañas de malspam.

A través de la conexión C2, los operadores detrás de QakBot pueden controlar remotamente el malware y desplegar módulos maliciosos adicionales.

El QakBot ya no almacenará su configuración y su lista C2 en el disco. Usará el registro para el almacenamiento. i

QakBot using registry for configuration storage

Borrado

La versión anterior de QakBot solía sobreescribir su ejecutable inicial con una copia decmd.exe. Esta versión sobrescribirá con ceros la parte de la DLL descargada inicialmente después del encabezado PE.

Aquí está la entropía del QakBot DLL tal como fue descargada.

QakBot DLL entropy before being overwritten

La puesta a cero de los datos después del encabezado puede verse claramente cuando se compara el trazado anterior con un trazado del archivo DLL después del borrado.

QakBot DLL entropy after being overwritten

Persistencia

El mecanismo de persistencia del QakBot también ha cambiado. Mientras que todavía utiliza una entrada de registro de clave de ejecución en HKCU\Software\Microsoft\Windows\CurrentVersion\Run, esta llave sólo se pone justo antes de que el sistema se apague, reinicie o se ponga a dormir. La DLL correspondiente también sólo se deja caer en el disco justo antes de que el sistema se apague, reinicie o se duerma

Después de que el sistema arranque de nuevo, el QakBot se inicia a través de la tecla de ejecución. El árbol de ejecución también se inicia mediante regsvr32.exe -s ... como la ejecución inicial de Excel. QakBot sigue los mismos pasos que se han descrito anteriormente, lo que resulta en la inyección del proceso enexplorer.exe.

QakBot process tree after reboot

QakBot entonces borrará la entrada del registro de la llave de ejecución y eliminará la DLL que dejó caer en el disco antes del reinicio.gistry entry and delete the DLL it dropped to disk prior to the reboot.

QakBot cleaning persistence

De esta manera la persistencia del QakBot no puede ser detectada en tiempo de ejecución.

Egregor

Aunque ya hemos informado anteriormente de que QakBot entregó el ransomware ProLock ,2 los últimos informes indicaron que el QakBot se utiliza ahora para entregar el ransomware de Egregor. Anteriormente informamos sobre el ransomware Egregor como parte de un artículo sobre ransomware leaksites6 en la que explicamos la práctica de los operadores de ransomware que roban los datos de sus víctimas antes de cifrarlos para extorsionarlas no sólo con el descifrado sino también con la divulgación pública de los datos robados.

Conclusión y contramedidas

De nuestro análisis podemos concluir que QakBot está tratando de evitar los artefactos de archivos persistentes. En la versión anterior, la configuración y el ejecutable de QakBot se almacenaban permanentemente en el disco. Esto facilitó que las herramientas de seguridad los detectaran. La nueva versión trata de evitar dejar permanentemente sus artefactos en el disco. Aunque el QakBot no se queda sin archivos, sus nuevas tácticas seguramente disminuirán su detección.

Pero aunque el QakBot ha cambiado, el mecanismo de entrega detrás de la campaña QakBot «abc[A-Z]+» no lo hizo.

El servicio Spam and Malware Protection, con las tasas de detección más altas del mercado, ya detecta y bloquea la amenaza esbozada.

El servicio  Advanced Threat Protection amplía esta protección detectando también amenazas aún desconocidas.

Referencias

Indicadores de compromiso (IOCs)

Hashes

Los hashes de las muestras de QakBot analizadas son:

MD5 Nombre del archivo Descripción
6bc0584f6cbb74714add1718b0322655 904400.jpg QakBot DLL as downloaded by XLM macro
e23bc27212f61520cfb130185d74cfb1 26e0000.dll Extracted QakBot DLL

MITRE ATT&CK

Las tácticas y técnicas utilizadas por QakBot, tal como se definen en el marco de MITRE ATT&CK, son las siguientes:

Apéndice

Extracción de la configuración de Qakbot Script de Python

import sys
import pefile
from arc4 import ARC4

pe = pefile.PE(sys.argv[1])
c2list = []
for entry in pe.DIRECTORY_ENTRY_RESOURCE.entries:
    for e in entry.directory.entries:
        n = e.name.string.decode()
        data = pe.get_data(e.directory.entries[0].data.struct.OffsetToData, e.directory.entries[0].data.struct.Size)
        data = ARC4(data[:20]).decrypt(data[20:])[20:]
        if n == '311':
            for i in range(1,len(data),7):
                c2 = list(data[i:i+6])
                c2list.append("%d.%d.%d.%d:%d" % (c2[0],c2[1],c2[2],c2[3],(c2[4]<<8)+c2[5]))
        elif n == '308':
            config = data.decode().split()
print("# QakBot Config\n\n```\n" + "\n".join(config) + "\n```\n")
print("# QakBot C2\n\n```\n" + "\n".join(c2list) + "\n```\n")
Tendencias en las técnicas de phishing

Tendencias en las técnicas de phishing

Resumen

La idea básica del phishing no ha cambiado desde los años 90, sin embargo, las tácticas y técnicas de entrega están en constante evolución. En este artículo se esbozan las tendencias actuales de las técnicas de phishing. Entre ellas se incluyen el abuso de servicios legítimos de alojamiento de archivos, geovallas, la carga automática del logo de la empresa y/o del proveedor de correo electrónico de la víctima en el sitio web de phishing y la solicitud de la contraseña a la víctima varias veces.

Estas tácticas tienen como objetivo eludir la detección y atraer a más víctimas para que introduzcan sus credenciales de inicio de sesión en los sitios web de phishing.

Antecedentes

Los actores malintencionados utilizan correos electrónicos de phishing para obtener acceso a las credenciales de inicio de sesión de la víctima, engañándola para que introduzca voluntariamente su contraseña en un formulario de inicio de sesión falso. El inicio de sesión falso se realiza a través de un sitio web de phishing. Los correos electrónicos de phishing incluyen el enlace al sitio web de phishing.

El phishing como técnica de ataque se conoce desde los años ochenta. El nombre se origina en una herramienta de intrusión informática llamada AOHell, que incluía una herramienta «fisher», que enviaba a los usuarios de la mensajería instantánea de AOL el siguiente mensaje:

Hola, este es el servicio de atención al cliente de AOL. Estamos haciendo un control de seguridad y necesitamos verificar su cuenta. Por favor, introduzca su nombre de usuario y contraseña para continuar.

La ortografía de «phishing» con «ph» en lugar de «f» proviene de un error ortográfico intencional usado en la jerga de la subcultura de la tecnología de los años 60 y 70.

Se originó a partir del término «phreak», que significa «monstruo del teléfono», que en ese momento era un término de la jerga de la subcultura hacking para la gente que exploraba y experimentaba con las primeras redes telefónicas. Así se formó el término «phishing» tal como lo conocemos hoy en día.

 

La mayoría de los correos electrónicos de phishing contienen un enlace a un sitio web con un formulario de inicio de sesión falso. Sin embargo, existen algunas excepciones, por ejemplo, anteriormente informamos sobre un esquema de phishing que envía todo el código fuente HTML del sitio web de phishing adjunto al correo electrónico1.

Los correos electrónicos utilizan diferentes señuelos para hacer que la víctima visite el enlace, por ejemplo, simulando que se puede descargar un archivo a través del enlace, como se puede ver en el siguiente ejemplo de correo electrónico de phishing:

Example phishing email with link

Al visitar el enlace, la víctima potencial es enviada al sitio web de phishing.

A continuación, se describen las tácticas y técnicas que los actuales ataques de phishing utilizan para evadir la detección y atraer incluso a víctimas precavidas a su estafa.

Abuso de los servicios legítimos de hospedaje de archivos

Los phishers alojan partes de su kit de phishing en servicios de alojamiento de archivos legítimos para evadir los sistemas de detección y crear confianza con sus víctimas. De esta forma, el enlace del correo electrónico incluirá un nombre de dominio de un servicio legítimo conocido, en el que confían millones de personas.

El siguiente ejemplo muestra un kit de phishing alojado en la plataforma Firebase de Google:

Phishing kit hosted on Firebase

El abuso de los servicios de alojamiento de archivos, como Google Docs, Google Drive, Microsoft SharePoint y otros, no es nada nuevo. Anteriormente informamos sobre el uso indebido de los servicios de alojamiento de archivos por parte de los cibercriminales para propagar malware. Sin embargo, el número de ciberataques de phishing que dependen de los proveedores de almacenamiento en la nube ha aumentado considerablemente.

El problema para las víctimas potenciales es que algunos de estos servicios de alojamiento de archivos a veces piden legítimamente a los visitantes que se registren para ver el contenido. Esto significa que una víctima potencial es atraída a un sitio web que sabe que a veces le pedirá que se registre, lo que requiere una gran vigilancia para no caer en estafas de phishing mediante esta táctica.

Debido a que los servicios de alojamiento de archivos legítimos son utilizados por muchas personas con fines legítimos, sus dominios y URLs generalmente tienen una buena reputación. Esto hace que sea difícil distinguir entre los correos electrónicos que contienen enlaces de servicios de alojamiento de archivos legítimos y los que son maliciosos.

Además, algunos servicios de alojamiento de archivos utilizan CAPTCHAs para evitar la recuperación automática del contenido alojado, lo que significa que los mecanismos de seguridad automatizados no pueden escanear el contenido alojado en busca de artefactos maliciosos.

Irónicamente, a veces también encontramos que el phishing de un proveedor concreto está alojado en la infraestructura de ese mismo proveedor, por ejemplo, el siguiente sitio de phishing que se hacía pasar por Microsoft estaba alojado en la plataforma Azure de Microsoft:

Microsoft phishing kit hosted on Azure platform

El acceso a la cuenta necesaria para utilizar estos servicios legítimos de hospedaje de archivos suele obtenerse a través de la propia actividad de phishing, creando así un mecanismo de phishing autosuficiente o self-sustaining phishing machinery.

Redirección

Con el fin de complicar el análisis, los actores de los programas maliciosos suelen utilizar múltiples sitios web intermedios que redirigen a sus víctimas al sitio web final controlado por los atacantes. De esta forma, no basta con bloquear el sitio web final de phishing, ya que en los correos electrónicos sólo se ve la primera URL de redirección. Si los atacantes logran impedir que los sistemas de escaneo automatizado sigan las redirecciones, por ejemplo, combinando esta técnica con el geo-cercado o geo-fencing un CAPTCHA, entonces estos sistemas automatizados no detectarán que una víctima será redirigida a un sitio de phishing. Hemos observado esta técnica utilizada por TA505,3 y otros actores de amenazas para la distribución de malware.

En el caso de los correos electrónicos de phishing, las redirecciones pueden ser documentos alojados en servicios de alojamiento de archivos, que proporcionan a la víctima otro enlace a la página final de phishing. La página de phishing a menudo pretende que el usuario deba proporcionar sus credenciales de acceso para ver el documento en el que acaba de hacer clic. Se trata de un señuelo plausible, porque después de todo la víctima hizo clic en un enlace para ver un documento y es común que los servicios de alojamiento de archivos pidan al usuario que se identifique para acceder a los archivos.

De esta manera la única URL observable en los correos electrónicos de phishing son los redireccionamientos intermedios.

El siguiente ejemplo es un documento de redireccionamiento de phishing alojado en OneDrive:

Cuando la víctima hace clic en el documento supuestamente vinculado, es redirigida a una página de phishing que se hace pasar por la página de inicio de sesión de Microsoft SSO:

Phishing redirected to fake Microsoft SSO login page

Geo-fencing o geovallas

Otra técnica para obstaculizar el análisis de los sitios web de phishing es el geo-fencing o geovallas. Con este fin, el sitio web de phishing, o a veces un sitio web  que redirige a la víctima a un destino específico, comprobará la dirección IP del visitante. Sobre la base de estas comprobaciones, las víctimas cuyas direcciones IP estén geo-localizadas en la lista de países objeto del timo de phishing específico podrán ver el sitio web de phishing; otras solicitudes suelen ser remitidas a un sitio web benigno.

El siguiente es un ejemplo de una estafa de phishing contra Raiffeisen ELBA, un banco austriaco:

Geo-fenced Raiffeisen ELBA phishing

Este sitio de phishing sólo está disponible para los visitantes que utilicen una dirección IP geolocalizada en Austria. Cualquier visitante de otros países es redirigido al sitio web legítimo de Raiffeisen ELBA. Por lo tanto, el geovallado o geo-fencing complica el análisis automatizado.

Algunos sitios web de phishing no se hacen pasar por una empresa o servicio específico. Más bien se adaptan a las expectativas de la víctima. Para ello, añadirán dinámicamente logotipos de la empresa y/o del servicio en su formulario de acceso, basándose en la dirección de correo electrónico de la víctima.

Por ejemplo, si John Doe recibe un correo electrónico de phishing en su buzón  test@example.com, la URL del correo electrónico de phishing contendrá esta dirección de correo electrónico como un parámetro HTTP GET. Al visitar el sitio web de phishing a través de este enlace, la dirección de correo electrónico se envía automáticamente al kit de phishing a través de este parámetro GET. El sitio web de phishing no sólo rellenará previamente el campo de correo electrónico del formulario de inicio de sesión con esta dirección de correo electrónico, sino que también obtendrá el favicon del nombre de dominio de la dirección de correo electrónico mediante el siguiente enlace proporcionado por Google:

https://www.google.com/s2/favicons?domain=example.com

El favicon se muestra sobre el formulario de acceso falso como se indica a continuación:

Phishing kit displaying favicon for phished email address' domain name

Dado que la mayoría de los dominios también albergan sitios web con un favicon, esta técnica funciona prácticamente contra todos los nombres de dominio de correo electrónico.

Por ejemplo, funciona contra los populares proveedores de correo electrónico gratuito:

Phishing kit displaying favicon for phished email address' domain name

Phishing kit displaying favicon for phished email address' domain name

Pero también funcionará en contra de los nombres de dominio de las empresas, como se puede ver aquí, usando nuestro propio nombre de dominio:

Phishing kit displaying favicon for phished email address' domain name

También observamos los kits de phishing que fotografiaron el sitio web detrás del dominio de correo electrónico de la víctima y lo mostraron como imagen de fondo detrás del formulario de inicio de sesión falso:

Phishing kit screenshotting website of phished email address' domain name

Phishing kit screenshotting website of phished email address' domain name

Todas estas técnicas ayudan a los atacantes a hacer que su sitio de phishing parezca más familiar a las víctimas.

Pedir la contraseña varias veces

Los modernos equipos de phishing le pedirán a la víctima la contraseña varias veces. Aunque esto no es nada nuevo y ya hemos informado sobre esta técnica,1 observamos cada vez más kits de phishing que utilizan esta técnica.

Es probable que esta técnica funcione para evitar un esquema de protección que algunos usuarios han ideado para protegerse contra el phishing. Algunos usuarios creen que los sitios web de phishing siempre aceptarán cualquier contraseña. Por lo tanto, se puede detectar un sitio web de phishing introduciendo una contraseña incorrecta. Un sitio web de phishing aceptará la contraseña incorrecta, mientras que el sitio legítimo la rechazará por ser incorrecta. Sin embargo, esta suposición es incorrecta.

A continuación, se muestra un kit de phishing que pide la contraseña a la víctima tres veces:

Phishing kit asking for the password three times

It does not matter what the victim enters, the entry is always rejected three times. Afterwards the victim is redirected to the website running on the domain name used in the email address. This is a good segue into the next tactic.

Transición al sitio web original

Todo buen atraco necesita una buena escapada. También un buen equipo de phishing. Idealmente, después de introducir sus credenciales de acceso, las víctimas no deberían notar que han sido engañadas y por lo tanto no deberían cambiar sus credenciales de acceso. Para ello, los kits de phishing suelen redirigir al sitio web legítimo que están fingiendo. Así que en caso de que el usuario ya haya iniciado sesión, asumirán que acaba de hacerlo con éxito. Otra táctica es redirigir a un documento falso no malicioso.

Maquinaria de phishing autosuficiente

Por último, pero no menos importante, observamos varias campañas de phishing que son autosuficientes. Para ello, las credenciales de acceso robadas serán utilizadas para enviar correos electrónicos de phishing desde la cuenta de la víctima. También observamos que las credenciales robadas se utilizan para comprometer las cuentas de Sharepoint para alojar la infraestructura de phishing en ellas. Aunque no se puede observar directamente, estamos seguros de que las credenciales robadas también se utilizan para colocar la infraestructura de phishing en servicios de alojamiento de archivos legítimos, utilizando las cuentas de las víctimas de phishing.

El tiempo entre el compromiso de la cuenta y el uso de las cuentas era a veces tan corto como varias horas. Sin embargo, las credenciales de inicio de sesión robadas más comúnmente se utilizan en la siguiente campaña de phishing. Por lo tanto, es muy importante que las víctimas, o incluso las víctimas potenciales, cambien rápidamente sus contraseñas si tienen alguna sospecha de que pueden haber introducido sus credenciales de inicio de sesión en un sitio de phishing. Esto se debe a que, aunque observamos que algunas de las credenciales robadas se utilizaron para perpetuar la estafa del phishing, es probable que otras credenciales de inicio de sesión se utilicen en otras intrusiones, como los ataques de rescate.

Conclusión y soluciones

Aunque la idea básica del phishing no ha cambiado desde los años 90, las tácticas y técnicas están en constante evolución. A partir de las técnicas descritas podemos recomendar las siguientes contramedidas:

Los usuarios no deben confiar automáticamente en los servicios de alojamiento de archivos legítimos conocidos, como Google Docs, Microsoft SharePoint, OneDrive, etc., porque se abusa de ellos para alojar infraestructuras de phishing maliciosas. Los usuarios deberían utilizar administradores de contraseñas que sólo rellenen sus credenciales de acceso en los formularios de acceso correspondientes. Para ello, los administradores de contraseñas suelen comprobar el nombre de dominio y, por lo tanto, evitan que se rellenen las credenciales de acceso en formularios de acceso alojados en sitios web impostores. Pero lo más importante es que los usuarios activen el 2FA siempre que sea posible. Hemos visto ataques de phishing con códigos QR para aplicaciones bancarias 2FA. Esto significa que los actores del phishing son conscientes de la 2FA e intentarán obtener los códigos 2FA siempre que sea necesario y posible. Por lo tanto, un segundo factor con el que no se puede hacer phishing, como un token U2F, es preferible.

Por último, pero no por ello menos importante, los filtros de protección de Hornetsecurity Spam and Malware Protection y Advanced Threat Protection también están mejorando constantemente para mantenerse al día de las últimas amenazas.

Referencias

Qakbot es propagado a través de archivos XLSB

Qakbot es propagado a través de archivos XLSB

El Security Lab de Hornetsecurity advierte de una nueva amenaza: los expertos en seguridad informática han descubierto que las macros XLM de los documentos XLSB se utilizan para propagar el malware QakBot. Dado que tanto las macros XLM como el formato de documento XLSB son inusuales, estos nuevos documentos maliciosos tienen una tasa de detección muy baja por parte de las soluciones antivirus actuales.

¿Qué es QakBot?

QakBot (también conocido como QBot, QuakBot, Pinkslipbot) existe desde 2008, y el malware se propaga a través de Emotet por Emotet descargando el cargador de QakBot de las víctimas infectadas. QakBot también se distribuye directamente por correo electrónico.
Para ello, las campañas utilizan el secuestro de hilos de conversaciones de correo electrónico, es decir, respondiendo a los correos electrónicos encontrados en los buzones de las víctimas. QakBot también es conocido por escalar los ataques descargando el ransomware de ProLock.

¿Por qué no se detectan los ataques?

QakBot (también conocido como QBot, QuakBot, Pinkslipbot) existe desde 2008, y el malware se propaga a través de Emotet por Emotet descargando el cargador de QakBot de las víctimas infectadas. El QakBot también se distribuye directamente por correo electrónico. Para ello, las campañas utilizan el secuestro de hilos de conversaciones de correo electrónico, es decir, respondiendo a los correos electrónicos encontrados en los buzones de las víctimas. El QakBot también es conocido por escalar los ataques descargando el ransomware de ProLock.

XLSB es un formato binario de libro de trabajo de Excel cuyo propósito principal es acelerar la lectura y escritura del archivo y reducir el tamaño de hojas de cálculo muy complejas. Sin embargo, con la actual potencia de computación y la disponibilidad de memoria, la necesidad de este formato binario ha disminuido y se utiliza raramente hoy en día.

Incluso las herramientas comunes para el análisis de malware de documentos, como OLEVBA, no reconocen las macros XLM en formato XLSB.

VirusTotal_XLSB_Format

Camuflado en un archivo ZIP

Los archivos QakBot-XLSB se distribuyen en un archivo ZIP adjunto. Este archivo ZIP contiene el documento XLSB que pretende ser un documento encriptado DocuSign cuando se abre. El usuario debe «Habilitar la edición» y «Habilitar el contenido» para desencriptarlo.

La URL está ensamblada usando la macro XLM y pretende descargar un archivo PNG.
Pero en realidad el archivo PNG es el archivo ejecutable del cargador de QakBot.

Screenshot_email_QakbotXLM-Makro

¿Qué se puede hacer contra este método de ataque?

La mayoría de las soluciones antivirus se centran en el malware de las modernas macros de VBA, pero a menudo no detectan la reaparición de las viejas y menos comunes macros XLM y documentos XLSB.
Por lo tanto, las empresas deben hacer uso de servicios de seguridad avanzados que sean capaces de reaccionar a las nuevas amenazas y métodos de ataque en el menor tiempo posible.
Los expertos en seguridad del Security Lab de Hornetsecurity ofrecen un análisis detallado de estos métodos de ataque en su blog. Dicho análisis está escrito en inglés.