Resumen

El 07.07.2020 Mozilla desactivó temporalmente su servicio de envío de Firefox debido a un abuso de malware. El Security Lab de Hornetsecurity explica cómo el malware abusó de Firefox Send. Para ello, analizaremos una campaña de malware que difunde una variante del malware Ursnif. La campaña utilizó el servicio de envío de Firefox para alojar su descargador malicioso y enviar estos enlaces maliciosos de Firefox a las víctimas. Tal abuso hizo que Mozilla desactivara el servicio de envío de Firefox, ya que el servicio carece actualmente de una función de denuncia. Esto significa que, aunque los investigadores de seguridad encontraran estos enlaces maliciosos, no se podría informar a Mozilla para desactivarlos. Sin embargo, nuestro análisis muestra además que el malware ya está abusando de otros servicios, por lo que la desactivación de Firefox Send  – aunque fue la decisión correcta – no tiene ningún efecto en las campañas de malware.

Antecedentes

El 07.07.2020 Mozilla desactivó temporalmente su servicio de envío de Firefox debido a un abuso de malware. Esto se debió principalmente a que el servicio no ofrece una forma de denunciar dichos abusos. Es probable que Mozilla reactive el servicio una vez que se complete el «trabajo de mejora del producto», como se indica en el mensaje que aparece actualmente al intentar acceder al sitio web de Firefox Send:

Firefox Send temporarily disabled

Para explicar por qué Mozilla deshabilitó temporalmente su servicio de envío de Firefox, el Security Lab de Hornetsecurity analizará una campaña de malware que distribuye una variante del malware Ursnif.

Análisis

La campaña utiliza una mezcla de malspam en un enlace y adjunto distribuyendo un archivo VBScript que descarga el malware Ursnif. La campaña aprovecha el secuestro de hilos de conversaciones de correo electrónico, es decir, los actores detrás del ataque enviarán su malware como respuesta a las conversaciones de correo electrónico existentes de sus víctimas. Un ejemplo de correo electrónico que utiliza el servicio de envío de Firefox para alojar la carga dañina tiene el siguiente aspecto:
 

Initial email leveraging email conversation thread hijacking

Las partes redactadas contienen un hilo de conversación de correo electrónico robado al que la campaña responde con su enlace malicioso y un mensaje corto. Los mensajes suelen decir que un documento ha sido actualizado y puede ser descargado desde el enlace de envío de Firefox. El grado en que el mensaje malicioso, encaja en el hilo de conversación del correo electrónico secuestrado, parece depender del azar, es decir, el mensaje hará referencia a los documentos actualizados independientemente de la finalidad del hilo de conversación.
 
El enlace de envío de Firefox llevará a un archivo VBScript. El archivo VBScript descarga una variante de Ursnif, probablemente desarrollada a partir de otra variante de Ursnif llamada ISFB para la cual el código fuente está disponible públicamente.
 

El  07-07-2020 Mozilla decidió desactivar temporalmente el envío de Firefox, porque el servicio no cuenta con un mecanismo para reportar el abuso. Esto significa que los enlaces de descarga no pueden ser reportados a Mozilla por los investigadores de seguridad. Es importante disponer de una función de denuncia de abusos para un servicio en línea, especialmente porque la naturaleza centrada en la privacidad de Firefox Send ofrece muchas oportunidades de abuso. Por ejemplo, los enlaces pueden estar protegidos por una contraseña. Se puede restringir el número de descargas, así como el tiempo que éstas estarán disponibles:

Firefox Send privacy restrictions

Esto significa que un atacante puede limitar la cantidad de descargas a una para sus víctimas. En caso de un compromiso exitoso, un equipo de respuesta a incidentes no puede descargar más la carga original de malware para reconstruir la infección. Si el malware borra sus archivos después de la infección será difícil de rastrear tal ciberataque.
 
 
Otro problema surge para el uso legítimo del servicio y el software de seguridad que escanea tales enlaces de descarga de una sola vez. Si el software de seguridad descarga el archivo para escanearlo, el destinatario real no podrá descargar más el archivo, ya que el software de seguridad ya ha utilizado la única descarga disponible.
 
 
Por estas razones, es muy probable que el servicio de envío de Firefox siga siendo abusado una vez que regrese. La función de denuncia de abusos será útil principalmente para denunciar los enlaces que permiten realizar múltiples descargas y que se utilizan durante un período de tiempo más largo. Informar sobre los enlaces de descargas únicas podría ayudar a Mozilla a frenar el abuso, detectando patrones en la forma en que los actores que están detrás del abuso interactúan con su servicio y luego los bloquean.
 
Pero incluso si el servicio de envío de Firefox debería implementar mejores protecciones contra el abuso, la discutida campaña de malspam no depende en absoluto del servicio de envío de Firefox. La campaña utilizó el servicio de envío de Firefox a partir del 06-01-2020 (transición del uso de enlaces de Google Drive) hasta el día en que fue desactivado:

Ursnif malspam campaign using Firefox Send exclusively over extended period of time

Sin embargo, la campaña ha utilizado los enlaces de Google Drive y Dropbox antes de utilizar los enlaces de Firefox Send. También ha utilizado archivos adjuntos ZIP cifrados en lugar de enlaces de descarga y tan pronto como se desactivó el servicio de envío de Firefox se cambió a este esquema de archivos adjuntos ZIP cifrados:

Initial email using encrypted ZIP attachment

Tanto Google Drive como Dropbox permiten informar de abusos, sin embargo, siguen siendo objeto de abusos por parte de malware. Esto significa que cuando Firefox Send regrese, también se abusará de él nuevamente.

Conclusión y medidas defensivas

Si bien aplaudimos a Mozilla por haber desactivado temporalmente el servicio de envío de Firefox, hasta que se implemente una función de denuncia de abusos, el análisis de la discutida campaña contra el correo basura indica que el servicio de envío de Firefox es sólo uno de los muchos servicios de los que se abusa para la distribución de malware, y la adición de la función de denuncia de abusos no detendrá dicho abuso.
 
 
Para protegerse contra esos ciberataques, especialmente contra el secuestro del hilo de la conversación del correo electrónico, los usuarios deben ser cautelosos cuando reciben una respuesta no solicitada de un interlocutor que trata de atraerlos para que abran enlaces u otros documentos, ya sea adjuntos directamente al correo electrónico o a través de un servicio de alojamiento de archivos, especialmente cuando esos documentos no encajan en la conversación y/o se entregan a través de un mecanismo inusual, por ejemplo, si los documentos suelen compartirse a través de una solución de intercambio de archivos internos de la empresa, los usuarios deben ser especialmente cautelosos al abrir archivos compartidos a través de servicios externos.

El servicio de Hornetsecurity Spam and Malware Protection, con las tasas de detección más altas del mercado, ya detecta y bloquea todas las variaciones de los correos electrónicos reseñados que actualmente distribuyen la variante de malware Ursnif. Aquí también es importante que los usuarios no se dejen engañar por el secuestro del hilo de la conversación del correo electrónico. El servicio Advanced Threat Protection amplía esta protección detectando también amenazas aún desconocidas. Cuando se utiliza el servicio de cifrado de Hornetsecurity no es necesario un servicio de terceros como Firefox Send para cifrar los documentos enviados. Los correos electrónicos salientes se cifran automáticamente con una de las tecnologías de cifrado más comunes (PGP, S/MIME o TLS), según la política establecida y la disponibilidad de los certificados correspondientes, sin ninguna otra intervención del usuario.

Referencias