Actividad maliciosa en los chats de Discord

A raíz de una investigación reciente, analizamos varios escenarios que destacan la actividad maliciosa en Discord.

En los seis años desde el lanzamiento del chat de Discord y el servicio VoIP, la plataforma se ha vuelto una herramienta popular para construir comunidades de interés, especialmente entre los gamers. Sin embargo, como con cualquier otra plataforma que aloja contenido generado por los usuarios, Discord puede explotarse. Las vastas opciones de personalización de Discord también abren la puerta a ataques a usuarios ordinarios, tanto dentro como fuera del servidor del chat. Una investigación reciente de la seguridad de Discord reveló varios escenarios de ciberataque vinculados con su servicio de chat, algunos de los cuales pueden ser en verdad peligrosos para los usuarios. Te decimos cómo protegerte.

Malware que se propaga por Discord

Los archivos maliciosos distribuidos mediante Discord representan la amenaza más obvia. En un estudio reciente se identificaron varias decenas de tipos de malware. Decimos que esta amenaza es “obvia” solo porque compartir archivos en Discord es muy fácil; a cada archivo cargado en la plataforma se le asigna una URL permanente con este formato:

cdn.discordapp.com/attachments/{channel ID}/{file ID}/{file name}

La mayoría de los archivos están disponibles para descarga para cualquiera que tenga el enlace.

El estudio describe un ejemplo de ataque de la vida real: un sitio web falso que ofrece descargas del cliente de conferencias de Zoom Web. El sitio web se asemeja al real, y el archivo malicioso está alojado en un servidor de Discord. Con esto se evitan las restricciones para descargar archivos de fuentes desconocidas. La justificación es que es menos probable que los servidores de una aplicación popular utilizada por millones sean bloqueados por soluciones antimalware.

El “truco” maliciosos es tan obvio como la forma de combatirlo: Las soluciones de seguridad de gran calidad no solo se fijan en el origen de la descarga para determinar el nivel de amenaza de un archivo. Las herramientas de Kaspersky detectan de inmediato la funcionalidad maliciosa la primera vez que un usuario intenta descargar el archivo, por ejemplo, y después, con ayuda de un sistema de seguridad basada en la nube, avisan al resto de los usuarios que el archivo debe ser bloqueado.

Todos los servicios que permiten cargas de contenido generado por el usuario se enfrentan a problemas de mal uso. Por ejemplo, en los sitios de alojamiento de páginas web gratuitos se crean páginas de phishing, mientras que las plataformas para intercambio de archivos se utilizan para propagar troyanos. Los servicios de llenado de formatos sirven como canales para spam. Etc. Los propietarios de la plataforma sí tratan de combatir el abuso, pero los resultados son variados.

Queda claro que los desarrolladores de Discord necesitan implementar al menos medios básicos de protección para los usuarios. Por ejemplo, los archivos utilizados en un servidor de chat particular no necesitan estar disponibles para todo el mundo. También es buena idea revisar y bloquear automáticamente el malware conocido. En cualquier caso, este es el menor de los problemas de Discord, y se combate de la misma manera que cualquier otro método de distribución de malware. Sin embargo, no es el único al que se enfrentan los usuarios.

Bots maliciosos

En otro estudio reciente se demuestra qué tan fácil es explotar el sistema de bots de Discord. Los bots amplían la funcionalidad del servidor del chat de varias maneras, y Discord ofrece una amplia gama de opciones para personalizar los chats de los propios usuarios. Un ejemplo de código malicioso relacionado con el chat se publicó recientemente en (y fue eliminado rápidamente de) GitHub: El autor pudo ejecutar código arbitrario en la computadora de un usuario con ayuda de las principales capacidades que proporciona la API de Discord. Podría verse algo así:

Un chatbot malicioso ejecuta un programa arbitrario en la computadora de un usuario en respuesta a un comando del chat de Discord. Fuente

En un escenario de ataque, el código malicioso depende de que un cliente de Discord instalado de forma local se ejecute automáticamente durante el arranque. Instalar a un bot desde un origen no confiable puede resultar en este tipo de infección.

Los investigadores también revisaron otro escenario de mal uso de Discord que no depende de que el usuario tenga instalado un cliente de Discord. En este caso, el malware utiliza el servicio de chat para comunicarse. Gracias a la API pública, el proceso de registro simple, y el cifrado de datos básico, una puerta trasera puede fácil y convenientemente utilizar Discord para enviar datos sobre el sistema infectado a su operador y, a su vez, recibir comandos para ejecutar el código, descargar módulos nuevos maliciosos y más.

Este tipo de escenario parece muy peligroso; simplifica el trabajo de los atacantes, quienes entonces no necesitan crear una interfaz de comunicación con computadoras infectadas, pero pueden utilizar algo que ya esté disponible. Al mismo tiempo, complica de cierta forma la detección de actividad maliciosa; conversaciones entre la puerta trasera y su operador se parecen a actividad normal de usuario en un chat popular.

Protección para los gamers

Si bien las amenazas anteriores aplican a todos los usuarios de Discord, principalmente tienen que ver con quienes utilizan Discord como un complemento del juego: para comunicación por voz y texto, transmisiones, recopilación de estadísticas del juego, etc. Este uso significa una buena personalización y aumenta el riesgo de los usuarios de encontrar e instalar extensiones maliciosas.

El ambiente relajado, y en apariencia seguro, es de hecho otra amenaza, ya que aumenta la tasa de éxito de las técnicas de ingeniería social: el señuelo  se atrapa mejor en un chat cómodo con personas que consideras tus amigos. Recomendamos utilizar las mismas reglas de higiene digital en Discord que utilizas en cualquier otro lado de la web: no hagas clic en enlaces sospechosos o descargues archivos sospechosos; escudriña ofertas que suenan demasiado buenas para ser verdad; y evita compartir tu información personal o financiera.

En cuando a los troyanos y las puertas traseras, basados en Discord o solo distribuidos mediante la plataforma, no son especiales o esencialmente diferentes de otro tipo de malware. Utiliza una aplicación antivirus de confianza para mantenerte a salvo, déjala ejecutándose en todo momento, incluso cuando instales cualquier software o añadas bots a un servidor de chat, y pon atención a sus advertencias.

El desempeño no tiene que ser un problema. Por ejemplo, nuestros productos de seguridad incluyen un modo de juego que minimiza la carga adicional sin comprometer la protección.

Fuente: www.latam.kaspersky.com

Malware que roba cuentas de Facebook

Cómo los atacantes usan archivos infectados y extensiones de navegadores maliciosas para robar cuentas de Facebook Business.

Nuestros investigadores han descubierto una nueva versión de la familia del malware Ducktail que está especializada en el robo de cuentas de Facebook Business. Los cibercriminales la están utilizando para atacar a empleados de compañías que ocupan o puestos importantes en la compañía o trabajan en las áreas de Recursos Humanos, marketing digital o marketing en redes sociales. Y tiene sentido ya que su objetivo final es secuestrar las cuentas corporativas de Facebook, así que los atacantes están interesados en las personas que con más probabilidad pueden tener acceso a ellas. Vamos a explicar cómo los atacantes ejecutan estos ataques, por qué son inusuales y, por supuesto, cómo protegerse de ellos.

Cebo y carga maliciosa

Los cibercriminales detrás de Ducktail mandan archivos maliciosos a sus víctimas. Para bajar la vigilancia del destinatario, los archivos contienen cebos en forma de imágenes o archivos de vídeo sobre un tema común. Por ejemplo, en la campaña más reciente, de marzo a principios de octubre de 2023, la temática era la moda: enviaban correos electrónicos en nombre de grandes marcas de la industria con archivos que contenían fotos de modelos de ropa.

Sin embargo, dentro de estos archivos se encontraban otros ejecutables disfrazados de archivos PDF. Estos archivos tenían un icono de PDF y unos nombres muy largos para desviar la atención de la víctima de la extensión EXE e incitar al destinatario a abrir el falso PDF para ver el contenido de este.  En esta campaña temática sobre moda, los nombres hacían referencia a “guías y requisitos para candidatos”, pero otros cebos tipo eran listas de precios, ofertas comerciales y etc.

Los archivos maliciosos Ducktail parecen contener un fichero PDF cuando realmente se trata de una extensión EXE.

Al hacer clic en el archivo con la extensión EXE camuflada, se ejecuta un script malicioso en el dispositivo de destino. En primer lugar, muestra el contenido de un PDF, incrustado en el código de malware, para que la víctima no sea consciente de lo que está ocurriendo. Al mismo tiempo, el malware escanea todos los accesos directos del escritorio, el menú Inicio y la barra de Inicio rápido. El objetivo de la búsqueda son los accesos directos a navegadores basados en Chromium, como Google Chrome, Microsoft Edge, Vivaldi, Brave… Cuando encuentra uno de ellos, el malware lo altera añadiendo un comando para instalar una extensión en el navegador, que está incluido también en el archivo ejecutable. Cinco minutos después de ser ejecutado, el script malicioso termina el proceso del navegador, solicitando al usuario que reinicie utilizando el acceso directo ya modificado.

Extensión maliciosa en el navegador

Cuando el usuario hace clic en el acceso directo, la extensión maliciosa se instala en el navegador, donde se disfraza de Documentos de Google sin Conexión, usando el mismo icono y la misma descripción. Aunque esto último solo en inglés, lo que puede desvelar el engaño.

La extensión maliciosa se disfraza de Documentos de Google sin Conexión (izquierda) y la verdadera extensión de Documentos de Google sin Conexión en el navegador de Google Chrome.

Una vez instalados y en ejecución, la extensión maliciosa empieza a monitorizar todas las pestañas que vaya abriendo el usuario en el navegador y a enviar información sobre ellas al servidor C2 de los atacantes. Si encuentra una dirección asociada a Facebook en una de las pestañas abiertas, la extensión maliciosa comprueba si se trata de una cuenta publicitaria o de un Business Manager para intentar secuestrarlas.

La extensión roba información de las cuentas de Facebook en las que se ha iniciado sesión en el dispositivo de la víctima, así como de las cookies de las sesiones activas en el navegador, que pueden usare para iniciar sesión en las cuentas sin autenticación.

El grupo detrás de este malware parece estar activo desde 2018. Diversos equipos de investigación creen que es de origen vietnamita. La distribución de Ducktail por parte de este grupo se remonta a 2021.

Cómo protegerse Ducktail

Para protegerse de Ducktail y de amenazas similares, los empleados deben tener buenos hábitos de ciberhigiene. En concreto:

  • Nunca deben descargar archivos sospechosos en los ordenadores de trabajo cuando estos provengan de fuentes no fiables.
  • Antes de abrir cualquier archivo, revisar con atención las extensiones de los que se hayan descargado de internet o de correos electrónicos.
  • No hacer clic en archivos que parezcan inofensivos pero que tengan la extensión EXE. Y es que ésta es una clara señal de que se trata de un malware.
  • Y siempre instalar protección fiable en todos los dispositivos de trabajo. Esto le avisará de amenazas potenciales y le protegerá de cualquier ataque. Nuestras soluciones detectan esta amenaza en el veredictoWin64.Ducktail.gen.

Fuente: latam.kaspersky.com

Se descubre una campaña de malware dirigida a Ecuador que utiliza correos falsos de demandas judiciales

Se identificó una campaña que distribuía un troyano de acceso remoto con el objetivo de espiar y robar información de los equipos comprometidos.

Quito, Ecuador – El Laboratorio de Investigaciones de ESET Latinoamérica, compañía líder en detección proactiva de amenazas, analizó una campaña maliciosa dirigida principalmente a Ecuador durante la primera parte del año en la que atacantes intentaron infectar a las víctimas con el troyano de acceso remoto njRAT. Los cibercriminales detrás de esta campaña pusieron el foco en empresas privadas, entidades gubernamentales y entidades del sector de salud.

Países en los que se detectó esta campaña dirigida. Ecuador lidera en las detecciones, seguido por Colombia y Guatemala, aunque en menor proporción.

“El objetivo de la campaña era descargar en los sistemas de las víctimas un Troyano de Acceso Remoto conocido como njRAT, que permite a los atacantes realizar remotamente diversas acciones maliciosas en el equipo comprometido. Por ejemplo, realizar capturas de pantalla, registrar pulsaciones de teclado para robar credenciales o incluso manipular los registros de Windows.”, explica Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Para distribuir esta amenaza los ciberatacantes utilizaron correos electrónico falsos, que en algunos casos suplantaron la identidad de la fiscalía general de Ecuador haciendo referencia a una supuesta demanda al usuario, y en otros utilizaron como señuelo supuestas infracciones de tránsito. Estos correos contenían un archivo adjunto malicioso que era detectado por las soluciones de ESET como VBS/Agent.QOD. Por la manera en que están redactados los correos y diferentes anotaciones en español hechas en el código, se puede suponer que los cibercriminales detrás de esta campaña podrían ser personas que residen en la región.

Ejemplo de correo utilizado en la campaña suplantando la identidad de la fiscalía general del estado de Ecuador.

El siguiente diagrama muestra el proceso de infección del código malicioso utilizado por los cibercriminales en esta campaña, partiendo desde la recepción de un correo electrónico que contiene adjunto un archivo malicioso comprimido, hasta llegar a los últimos códigos maliciosos encargados de infectar y ejecutar en la máquina de la víctima el payload final: njRAT.

Diagrama de infección. Fuente: Laboratorio de investigación ESET Latinoamérica.

Durante la investigación se encontraron dos dominios diferentes empleados para la comunicación hacia los servidores controlados por los cibercriminales. Partiendo de estos dominios, se pudo determinar que los cibercriminales han usado 14 direcciones de IP diferentes para comunicarse con ellos. En la gran mayoría de los casos, los cibercriminales emplean el servicio Duck DNS para la creación de los dominios y a su vez, para las direcciones de IP, emplean servicios de VPN como FrootVPN o IP relacionadas con algún ISP de Colombia.

“Esto último no implica necesariamente que los cibercriminales detrás de esta campaña sean residentes de ese país, sino que es posible que utilicen algunas de sus víctimas como proxies para reenviar la comunicación hacia los servidores reales. Además, hemos visto que utilizan sitios gratuitos como Firebase, Discord y pasteio para alojar sus códigos maliciosos. Esto puede servir como una medida de evasión porque estos sitios suelen utilizarse con fines no maliciosos, lo cual puede generar dificultades en la detección y respuesta ante un posible incidente.” explica Gutiérrez Amaya, de ESET.

Campañas recientes apuntando a organismos de América Latina con commodity malware

Es importante destacar que esta campaña se suma a la lista de campañas recientes dirigidas a organismos públicos y empresas privadas de países de América Latina en las que los cibercriminales utilizan commodity malware con el principal objetivo de robar información. El equipo de investigación de ESET viene monitoreando este tipo de campañas dirigidas a organismos públicos y empresas privadas de la región y que desde 2021 han sido constantes.

En el caso de Ecuador, en agosto de 2022 se compartió el informe sobre Operación Pulpo Rojo, una campaña apuntada a organismos gubernamentales, organizaciones del sector de la salud y empresas privadas de Ecuador para infectar con el RAT Remcos. En esta oportunidad los operadores detrás de la campaña también utilizaron correos falsos haciéndose pasar por la fiscalía general de Ecuador.

En 2021 ESET compartió detalles de lo que fue Operación Spalax, una campaña orientada a Colombia en la que utilizaron troyanos de acceso remoto como Remcos, njRAT y AsyncRAT. Operación Bandidos fue descubierta el mismo año y estuvo dirigida principalmente a Venezuela. Entre las más recientes están Operación Guinea Pig orientada principalmente a México y Operación Absoluta que tuvo actividad principalmente en Colombia, ambas detectadas entre fines de 2022 y comienzos de 2023.

Consejos de seguridad

Dado que este tipo de amenaza se distribuye por medio de correos electrónicos que contienen archivos comprimidos maliciosos adjuntos, ESET comparte distintas recomendaciones para tener en cuenta y evitar ser una posible víctima:

  • Revisar el correo electrónico prestando atención a la dirección de donde proviene, el nombre de la persona que lo envía y el contenido del mismo.
  • No abrir ningún email si hay motivos para dudar, ya sea del contenido o de la persona que lo envió.
  • No descargar archivos adjuntos de correos si se duda de su recepción o de cualquier otra cosa.
  • Revisar las extensiones de los archivos. Por ejemplo, si un archivo termina con “.pdf.exe” la última extensión es la que determina el tipo de archivo, en este caso sería “.exe” un ejecutable.
  • Si un email tiene un enlace y se duda de la página a la que envía, no abrirlo.
  • Ser prudentes al descargar y extraer archivos comprimidos .zip/.bz2 de fuentes no confiables, ya que pueden ser utilizados para ocultar códigos maliciosos y evadir ciertos mecanismos de seguridad.
  • Tener los equipos y aplicaciones actualizados a la versión más reciente.
  • Mantener actualizadas las soluciones de seguridad instaladas en el dispositivo.
  • Prestar atención sobre cualquier actividad anómala o no común sobre los aplicativos utilizados para navegación segura de entidades bancarias. En caso de detectar dicha actividad, terminar de inmediato la ejecución y escanear el equipo con un producto de seguridad.

Fuente: Departamento de Comunicación y Prensa – ESET Ecuador

Mario Forever, alerta de malware: Un juego gratuito con un minero y troyanos en su interior

Las versiones maliciosas del juego de descarga gratuita Super Mario 3: Mario Forever plantan un minero y un programa de robo en las máquinas de los jugadores.

A menudo hablamos de los peligros que conlleva descargar versiones pirateadas de juegos, ya que pueden incluir malware. Pero no son la única amenaza. También pueden surgir sorpresas desagradables en los juegos gratuitos, y eso sucedió recientemente con Super Mario 3: Mario Forever. Pero primero lo primero…

Malware en el juego gratuito Super Mario 3: Mario Forever

La serie Super Mario (también conocida como Super Mario Bros. o simplemente Mario) es uno de los universos de juegos más queridos. En sus 38 años de existencia se han editado 24 juegos originales solo en la serie principal, sin mencionar docenas de reediciones y remasterizaciones. Además de eso, hay siete series derivadas que añaden decenas de juegos al universo de Mario. Dicho esto, todos tienen una cosa en común: todos estos juegos, salvo la más rara de las excepciones, se lanzaron de manera oficial únicamente en las propias plataformas de Nintendo.

Por lo tanto, ¿qué haces si quieres jugar a Mario en tu ordenador? Tienes que descargar una conversión para el PC o un juego creado por fanáticos. Sin embargo, debes tener en cuenta que ninguna de estas opciones es oficial ni está disponible para su descarga en el sitio web de Nintendo.

Por lo tanto, la búsqueda a menudo puede conducir a algunos lugares oscuros, donde individuos emprendedores pero poco fiables pueden pasarte algo malicioso en lugar de un juego. Algo así acaba de pasar con el juego gratuito Super Mario 3: Mario Forever, creado por fanáticos. Los expertos encontraron versiones del juego que infectaron el ordenador de la víctima con varios tipos de malware a la vez.

¿Qué hay dentro del Mario Forever infectado?

La cadena de ataque es la siguiente: cuando se ejecuta el kit de distribución de Mario Forever, el juego se instala en el ordenador junto con el cliente de minería SupremeBot y un minero malicioso de Monero (XMR). A continuación, el cliente de minería instala otro componente de malware en el ordenador: el programa de robo Umbral.

Umbral se gana la vida robando casi toda la información de valor que pueda encontrar en la máquina de la víctima: credenciales almacenadas en el navegador, claves de monederos de criptomonedas y tokens de sesión, que son pequeños archivos mediante los cuales un sitio o un servicio en línea recuerdan al usuario para que no sea necesario volver a iniciar sesión (algo parecido a las cookies). A Umbral le gusta especialmente ir a la caza de tokens de Discord, Telegram, Roblox y Minecraft. Además, el programa de robo puede obtener imágenes de la cámara web y capturas de pantalla del ordenador infectado. En resumen, un exponente de malware particularmente desagradable con una amplia gama de funcionalidades.

El resultado es una caja de Pandora de problemas para las víctimas del Super Mario 3: Mario Forever infectado. Primero, sus ordenadores se volverán lentos y consumirán más energía de lo habitual debido a la minería en segundo plano. Segundo, se corre un riesgo de secuestro de cuentas debido a que Umbral roba contraseñas. Y tercero, lo peor de todo: si se almacenan claves privadas de monederos de criptomonedas en el ordenador, esta amenaza podría traducirse en una pérdida económica directa.

Malware que ataca a jugadores

En general, este problema está bastante extendido. Los juegos pirateados y gratuitos de fuentes dudosas son un territorio ideal para los mineros maliciosos. Los ordenadores para juegos suelen tener especificaciones de alta gama, especialmente la tarjeta gráfica, que es lo que se necesita para la minería en primer lugar.

Esto significa que son mucho más adecuados para minar criptomonedas a espaldas del usuario que una máquina de oficina tediosamente lenta. Detectar un minero oculto por tu cuenta es un trabajo bastante difícil y que requiere un buen antivirus.

Por cierto, los juegos Roblox y Minecraft mencionados anteriormente, los preferidos de Umbral para robar tokens de sesión de cuenta, tradicionalmente encabezan la clasificación de los juegos más atacados por los ciberdelincuentes, desde autores de phishing hasta propagadores de malware. Hace poco escribimos sobre la forma en que se distribuyó el programa de robo Fractureiser bajo la apariencia de mods de Minecraft.

¡Protégete!

Por último, algunos consejos para que los jugadores no se conviertan en víctimas de los ciberdelincuentes:

  • Descarga juegos solo de fuentes oficiales. Esta es la única forma garantizada de no llevarse una sorpresa desagradable.
  • Si estás buscando ahorrar dinero en juegos, existen métodos más seguros que descargar copias pirateadas de sitios sospechosos y torrents.
  • No te dejes seducir por promesas poco realistas. Un juego muy esperado no se podrá descargar antes de su lanzamiento oficial (al menos no legalmente), mientras que una versión inexistente para tu plataforma particular no se hará realidad solo por desearlo.
  • Debes tener cuidado al descargar e instalar mods, y especialmente trucos; por supuesto, es mejor evitar estos últimos por completo.
  • Para protegerte contra programas de robo, trata de no guardar las contraseñas en el navegador. Es mejor usar un administrador de contraseñas fiable en su lugar.
  • Y asegúrate de haber instalado en tu máquina para juegos una solución fiable con un modo de juego especial que te mantenga protegido durante el juego sin que el sistema se vuelva exasperantemente lento.

Fuente: latam.kaspersky.com/

Malware para Linux refuerza vínculos entre Lazarus y el ataque a la cadena de suministro de 3CX

Similitudes con el recién descubierto malware para Linux utilizado en la Operación DreamJob corroboran la teoría de que el famoso grupo alineado con Corea del Norte está detrás del ataque a la cadena de suministro de 3CX.

Investigadores de ESET descubrieron una nueva campaña del grupo de APT Lazarus llamada Operación DreamJob dirigida a usuarios de Linux. Operación DreamJob es el nombre de una serie de campañas en las que el grupo utiliza técnicas de ingeniería social para comprometer a sus objetivos mediante falsas ofertas de trabajo que utiliza como anzuelo. En este caso, hemos sido capaces de reconstruir toda la cadena, desde el archivo ZIP que entrega una oferta de trabajo falsa de HSBC como señuelo, hasta el payload final: el backdoor de Linux SimplexTea distribuido a través de una cuenta de almacenamiento en la nube de OpenDrive. Hasta donde sabemos, esta es la primera referencia pública a este importante actor de amenazas alineado con Corea del Norte utilizando malware para Linux como parte de esta operación.

Además, este descubrimiento nos ayudó a confirmar con un alto nivel de confianza que el reciente ataque a la cadena de suministro de 3CX fue en realidad llevado a cabo por el grupo Lazarus, un vínculo que se sospechaba desde el principio y que varios investigadores de seguridad han demostrado desde entonces. En esta publicación corroboramos estos hallazgos y proporcionamos pruebas adicionales que demuestran la conexión entre Lazarus y el ataque a la cadena de suministro de 3CX.

El ataque de cadena de suministro que afectó a 3CX

3CX es un desarrollador y distribuidor de software VoIP que ofrece servicios de sistema telefónico a muchas organizaciones a nivel internacional. Según su sitio web, 3CX tiene más de 600,000 clientes y 12,000,000 de usuarios en varios sectores, incluyendo el aeroespacial, la salud y el de la hospitalidad. 3CX proporciona software de cliente para utilizar sus sistemas a través de un navegador web, aplicación móvil o una aplicación de escritorio. A fines de marzo de 2023, se descubrió que la aplicación de escritorio tanto para Windows como para macOS contenía código malicioso que permitía a un grupo de atacantes descargar y ejecutar código arbitrario en todas las máquinas donde se instaló la aplicación. Rápidamente, se determinó que este código malicioso no fue agregado por 3CX, sino que 3CX fue comprometido y que su software fue utilizado en un ataque de cadena de suministro impulsado por actores de amenazas externos para distribuir malware adicional a clientes específicos de 3CX.

Este incidente de seguridad ha sido noticia en los últimos días. Inicialmente reportado el 29 de marzo de 2023 en un hilo de Reddit por un ingeniero de CrowdStrike, seguido por un informe oficial de  CrowdStrike en el que se afirmaba con un alto grado de confianza que LABIRINTH CHOLLIMA, el nombre en clave que utiliza la compañía para referirse a Lazarus, estaba detrás del ataque (pero omitiendo cualquier evidencia que respalde la afirmación). Debido a la gravedad del incidente, múltiples compañías de seguridad comenzaron a contribuir con sus respectivos resúmenes de los eventos, como Sophos, Check Point, Broadcom, Trend Micro y más.

Además, la parte del ataque que afectó a los sistemas que ejecutan macOS fue cubierta en detalle en un hilo de Twitter y en una publicación realizada por Patrick Wardle.

Cronología de los hechos

Figura 1. Cronología de los eventos relacionados con la preparación y distribución de aplicaciones de 3CX troyanizadas.

La cronología muestra que los perpetradores planearon los ataques mucho antes de la ejecución. Tan temprano como diciembre de 2022. Esto sugiere que ya tenían un pie dentro de la red de 3CX desde finales del año pasado.

Mientras que la aplicación troyanizada de 3CX para macOS muestra que fue firmada a finales de enero, no fue hasta el 14 de febrero de 2023 que vimos la aplicación maliciosa en nuestra telemetría. No está claro si la actualización maliciosa para macOS se distribuyó antes de esa fecha.

Aunque la telemetría de ESET muestra la existencia del payload de segunda etapa para macOS tan pronto como febrero, no teníamos una muestra ni metadatos que nos alertaran sobre su malicia. Incluimos esta información para ayudar a quienes trabajan en seguridad para determinar cuánto tiempo atrás los sistemas podrían haber sido comprometidos.

Varios días antes de que se revelara públicamente el ataque, se subió a VirusTotal una muestra de un misterioso downloader para Linux. Este downloader descarga un nuevo payload malicioso de Lazarus para Linux y más adelante en esta publicación explicamos su relación con el ataque.

Atribución a Lazarus del ataque de cadena de suministro a 3CX

Lo que se ha publicado hasta el momento

Hay un dominio que tiene un papel significativo en nuestra atribución: journalide[.]org. Se menciona en algunos de los informes de otros proveedores mencionados anteriormente, pero su presencia nunca se explica. Curiosamente, los artículos de SentinelOne y ObjectiveSee no mencionan este dominio. Tampoco lo hace una publicación de Volexity, que incluso se abstuvo de proporcionar atribución, indicando “Volexity actualmente no puede relacionar la actividad divulgada con ningún actor de amenazas”. Sus analistas fueron de los primeros en investigar el ataque en profundidad y crearon una herramienta para extraer una lista de servidores de C&C a partir de iconos cifrados en GitHub. Esta herramienta es útil, ya que los atacantes no embebieron los servidores C&C directamente en las etapas intermedias, sino que utilizaron GitHub como dead-drop resolver. Las etapas intermedias son downloaders para Windows y macOS que denominamos IconicLoaders, y los payloads que obtienen como IconicStealer y UpdateAgent, respectivamente.

El 30 de marzo, Joe Desimone, un investigador de seguridad de Elastic Security, fue uno de los primeros en proporcionar, a través de un hilo de Twitter, pistas sustanciales que señalan que los ataques a 3CX probablemente están relacionados con el grupo Lazarus. Desimone observó que un fragmento de código de shellcode agregado al payload desde d3dcompiler_47.dll es similar a fragmentos en el loader de AppleJeus atribuidos a Lazarus por CISA en abril de 2021.

El 31 de marzo se informó que 3CX había contratado a Mandiant para proporcionar servicios de respuesta a incidentes relacionados con el ataque de cadena de suministro.

El 3 de abril, Kaspersky, a través de su telemetría, mostró una relación directa entre las víctimas del ataque de cadena de suministro a 3CX y el despliegue de un backdoor denominado Gopuram, y señalo cómo los elementos en común payloads con el mismo nombre: guard64.dll. Los datos de Kaspersky muestran que Gopuram está conectado a Lazarus porque coexistieron en máquinas víctimas junto con AppleJeus, un malware que ya fue atribuido a Lazarus. Tanto Gopuram como AppleJeus se observaron en ataques contra una compañía de criptomonedas.

Luego, el 11 de abril, el CISO de 3CX resumió las conclusiones de un informe intermedio elaborado por Mandiant en una publicación. Según ese informe, dos muestras de malware para Windows, un loader de shellcode llamado TAXHAUL y un downloader complejo llamado COLDCAT, estuvieron involucrados en el compromiso de 3CX. No se proporcionaron hashes, pero la regla YARA de Mandiant, llamada TAXHAUL, también se activa en otras muestras que ya se encuentran en VirusTotal:

  • SHA-1: 2ACC6F1D4656978F4D503929B8C804530D7E7CF6 (ualapi.dll),
  • SHA-1: DCEF83D8EE080B54DC54759C59F955E73D67AA65 (wlbsctrl.dll)

Los nombres de archivo, pero no los MD5, de estas muestras coinciden con los del artículo de Kaspersky. Sin embargo, 3CX afirma explícitamente que COLDCAT difiere de Gopuram.

La siguiente sección contiene una descripción técnica del nuevo payload malicioso de Lazarus para Linux que analizamos recientemente, y una explicación de cómo nos ayudó a fortalecer esta conexión entre Lazarus y el ataque a 3CX.

Operación DreamJob con un payload para Linux

La Operación DreamJob del grupo Lazarus involucra el acercamiento a sus objetivos a través de LinkedIn y tentarlos con ofertas de trabajo dirigidas a líderes de ciertas industrias. El nombre fue acuñado por ClearSky en un artículo publicado en agosto de 2020. Ese artículo describe una campaña de ciberespionaje de Lazarus dirigida a empresas de defensa y aeroespaciales. La actividad se superpone con lo que ESET denominó Operación In(ter)ception, que fue el análisis de una serie de ataques con fines de ciberespionaje que han estado en curso desde al menos septiembre de 2019 y que apuntan a empresas aeroespaciales, militares y de defensa y en los cuales se utilizan herramientas maliciosas específicas, inicialmente solo para Windows. Durante julio y agosto de 2022, encontramos dos instancias de Operación In(ter)ception que apuntaban a macOS. Se subió una muestra de malware a VirusTotal desde Brasil, y otro ataque apuntó a un usuario de las soluciones de ESET en Argentina. Hace unas semanas, se encontró en VirusTotal un payload nativo para Linux junto con un documento utilizado como señuelo en formato PDF y que utiliza el nombre de HSBC. Esto completa la capacidad de Lazarus de poder comprometer todos los principales sistemas operativos de escritorio.

El 20 de marzo, un usuario en el país de Georgia cargó a VirusTotal un archivo ZIP llamado HSBC job offer.pdf.zip. Teniendo en cuenta otras campañas de Lazarus en las que utilizó falsas ofertas de trabajo, es probable que este payload se haya distribuido a través de spearphishing o mensajes directos en LinkedIn. El archivo contiene un solo archivo: un binario nativo de Intel de 64 bits escrito en Go y llamado HSBC job offer․pdf que en español se traduce como “HSBC oferta de trabajo.pdf”.

Curiosamente, la extensión del archivo no es .pdf. Esto se debe a que el carácter de punto en el nombre de archivo es un líder de punto representado por el carácter Unicode U+2024. El uso del carácter de líder de punto en el nombre de archivo probablemente fue un intento de engañar al administrador de archivos para que trate al archivo como un ejecutable en lugar de un PDF. Esto podría hacer que el archivo se ejecute cuando se hace doble clic en él en lugar de abrirlo con un visor de PDF. Al ejecutarlo, se muestra al usuario un documento PDF falso utilizando xdg-open, que abrirá el documento utilizando el lector de PDF de preferencia del usuario (ver figura 3). Decidimos llamar a este downloader ELF OdicLoader, ya que tiene un rol similar a los IconicLoaders en otras plataformas y el payload se obtiene de OpenDrive.

OdicLoader droppea un documento PDF falso que abre utilizando el visor de PDF predeterminado del sistema (ver figura 2), y luego descarga un backdoor de segunda etapa desde el servicio en la nube de OpenDrive. El archivo descargado se almacena en~/.config/guiconfigd (SHA-1: 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF). Llamamos a este backdoor de segunda etapa SimplexTea.

Como último paso de su ejecución, OdicLoader modifica ~/.bash_profile, y de esta manera se inicia SimplexTea con Bash y su salida se mutea (~/.config/guiconfigd >/dev/null 2>&1).

Figura 2. Ilustración de la probable cadena de compromiso.

Figura 3. Un señuelo que utiliza el nombre de HSBC en la campaña de DreamJob para Linux.

SimplexTea es un backdoor para Linux escrito en C++. Como se destaca en la Tabla 1, los nombres de sus clases son muy similares a los nombres de las funciones encontradas en una muestra, con el nombre de archivo “sysnetd“, enviada a VirusTotal desde Rumania (SHA-1: F6760FB1F8B019AF2304EA6410001B63A1809F1D). Debido a las similitudes en los nombres de las clases y las funciones entre SimplexTea y sysnetd, creemos que SimplexTea es una versión actualizada, reescrita de C a C++.

Tabla 1. Comparación de los nombres de los símbolos originales de dos backdoors para Linux que se cargaron a VirusTotal.

guiconfigd
(SimplexTea for Linux, from Georgia)

sysnetd
(BADCALL for Linux, from Romania)

CMsgCmd::Start(void) MSG_Cmd
CMsgSecureDel::Start(void) MSG_Del
CMsgDir::Start(void) MSG_Dir
CMsgDown::Start(void) MSG_Down
CMsgExit::Start(void) MSG_Exit
CMsgReadConfig::Start(void) MSG_ReadConfig
CMsgRun::Start(void) MSG_Run
CMsgSetPath::Start(void) MSG_SetPath
CMsgSleep::Start(void) MSG_Sleep
CMsgTest::Start(void) MSG_Test
CMsgUp::Start(void) MSG_Up
CMsgWriteConfig::Start(void) MSG_WriteConfig
  MSG_GetComInfo
CMsgHibernate::Start(void)  
CMsgKeepCon::Start(void)  
CMsgZipDown::Start(void)  
CMsgZip::StartZip(void *)  
CMsgZip::Start(void)  
CHttpWrapper::RecvData(uchar *&,uint *,uint,signed char)  
  RecvMsg
CHttpWrapper::SendMsg(_MSG_STRUCT *) SendMsg
CHttpWrapper::SendData(uchar *,uint,uint)  
CHttpWrapper::SendMsg(uint,uint,uchar *,uint,uint)  
CHttpWrapper::SendLoginData(uchar *,uint,uchar *&,uint *)  

¿Cómo está relacionado sysnetd con Lazarus? La siguiente sección muestra similitudes con el backdoor para Windows de Lazarus llamado BADCALL.

BADCALL para Linux

Atribuimos sysnetd a Lazarus debido a sus similitudes con los siguientes dos archivos (y creemos que sysnetd es una variante para Linux del backdoor para Windows de Lazarus llamado BADCALL):

  • P2P_DLL.dll (SHA-1: 65122E5129FC74D6B5EBAFCC3376ABAE0145BC14), muestra similitudes de código con sysnetd en la forma de los dominios utilizados como fachada para una conexión TLS falsa (ver Figura 4). CISA lo atribuyó a Lazarus en diciembre de 2017. A partir de septiembre de 2019, CISA comenzó a llamar a las versiones más nuevas de este malware BADCALL (SHA-1: D288766FA268BC2534F85FD06A5D52264E646C47).

Figura 4. Similitudes entre una variante de BADCALL para Windows y una para Linux (una lista de dominios utilizados como fachada para una conexión TLS falsa)

  • prtspool (SHA-1: 58B0516D28BD7218B1908FB266B8FE7582E22A5F) muestra similitudes de código con sysnetd (ver Figura 5). Fue atribuido a Lazarus por CISA en febrero de 2021. También se observa que SIMPLESEA, un backdoor para macOS descubierto durante la respuesta al incidente de 3CX, implementa el cifrado de flujo A5/1.

Figura 5. Similitudes entre AppleJeus para macOS y la variante para Linux de BADCALL (la clave para el cifrado de flujo A5/1)

Esta versión para Linux del backdoor BADCALL, sysnetd, carga su configuración desde un archivo llamado /tmp/vgauthsvclog. Dado que los operadores de Lazarus han disfrazado previamente sus payloads, el uso de este nombre, que es utilizado por el servicio de autenticación de invitados de VMware, sugiere que el sistema objetivo puede ser una máquina virtual VMware de Linux. Es interesante destacar que la clave XOR en este caso es la misma que la utilizada en SIMPLESEA de la investigación de 3CX.

Figura 6. Cargando un archivo de configuración por BADCALL para Linux, ver Figura 8

Al observar los tres enteros de 32 bits, 0xC2B45678, 0x90ABCDEF y 0xFE268455 de la Figura 5, que representan una clave para una implementación personalizada del cifrado A5/1, nos dimos cuenta de que el mismo algoritmo y las claves idénticas se utilizaron en un malware para Windows que se remonta a finales de 2014 y que estuvo involucrado en uno de los casos más notorios de Lazarus: el ciber-sabotaje a Sony Pictures Entertainment (SHA-1: 1C66E67A8531E3FF1C64AE57E6EDFDE7BEF2352D).

Figura 7. Procedimiento de descifrado compartido entre BADCALL para Linux y el malware destructivo dirigido a Windows de 2014

Puntos adicionales para la atribución

Para resumir lo que hemos mencionado hasta ahora, atribuimos el ataque a la cadena de suministro de 3CX al grupo Lazarus con un alto nivel de confianza. Esto se basa en los siguientes factores:

  1. Malware (el conjunto de intrusiones):
    • El IconicLoader (samcli.dll) utiliza el mismo tipo de cifrado fuerte – AES-GCM – que SimplexTea (cuya atribución a Lazarus se estableció a través de la similitud con BALLCALL para Linux); solo difieren las claves e inicialización de vectores.
    • Basado en los encabezados PE Rich, tanto IconicLoader (samcli.dll) como IconicStealer (sechost.dll) son proyectos de un tamaño similar y compilados en el mismo entorno de Visual Studio que los ejecutables iertutil.dll (SHA-1: 5B03294B72C0CAA5FB20E7817002C600645EB475) e iertutil.dll (SHA-1: 7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC) reportados en las campañas de criptomonedas de Lazarus por Volexity y Microsoft. Incluimos a continuación la regla YARA RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023, que notifica todas estas muestras, y ningún archivo malicioso o limpio no relacionado, como se probó en las bases de datos actuales de ESET y las muestras cargadas recientemente a VirusTotal.
    • El payload de SimplexTea carga su configuración de una manera muy similar al malware SIMPLESEA según la respuesta oficial sobre el incidente a 3CX. La clave XOR difiere (0x5E vs. 0x7E), pero la configuración tiene el mismo nombre: apdl.cf (ver Figura 8).

Figura 8. Carga de un archivo de configuración por SimplexTea para Linux, cf. Figura 6

Infraestructura:

  • Hay una infraestructura de red compartida con SimplexTea, ya que utiliza https://journalide[.]org/djour.php como su C&C, cuyo dominio se informó en los resultados oficiales proporcionados por la respuesta al incidente a 3CX realizada por Mandiant.

Figura 9. Una URL hardcodeada en SimplexTea para Linux

Conclusión

El ataque a la cadena de suministro de 3CX ha llamado mucho la atención de la comunidad de seguridad desde su divulgación el 29 de marzo. El software comprometido, desplegado en varias infraestructuras de TI, permite la descarga y ejecución de cualquier tipo de payload, por lo tanto el impacto de un ataque de estas características puede ser devastador. Desafortunadamente, ningún proveedor de software está expuesto a ser comprometido y distribuir inadvertidamente versiones troyanizadas de sus aplicaciones.

La sigilosa naturaleza de un ataque de cadena de suministro hace que este método de distribución de malware sea muy atractivo desde la perspectiva del atacante. Lazarus ya ha utilizado esta técnica en el pasado. Por ejemplo, en una campaña dirigida a usuarios del software WIZVERA VeraPort en Corea del Sur en 2020. Las similitudes con otras piezas de malware conocidas y que forman parte del conjunto de herramientas que utiliza Lazarus, además de las técnicas típicas del grupo, sugieren fuertemente que el reciente compromiso de 3CX es también obra de Lazarus.

También es interesante destacar que Lazarus puede producir y utilizar malware para atacar a los principales sistemas operativos de escritorio: Windows, macOS y Linux. Ambos sistemas Windows y macOS fueron atacados durante el incidente de 3CX a través del versiones troyanizadas del software VoIP de 3CX para ambos sistemas operativos que permitían a los atacantes obtener payloads arbitrarias. En el caso de 3CX, existen versiones de malware de segundo nivel para Windows y macOS. Este artículo demuestra la existencia de un backdoor para Linux que se corresponde con el malware SIMPLESEA para macOS visto en el incidente de 3CX. Nombramos este componente de Linux como SimplexTea y mostramos que forma parte de Operation DreamJob, la campaña insignia de Lazarus que se caracteriza por utilizar ofertas de trabajo para atraer y comprometer a víctimas desprevenidas.

IoCs

Archivos

SHA-1 Filename ESET detection name Description
0CA1723AFE261CD85B05C9EF424FC50290DCE7DF guiconfigd Linux/NukeSped.E SimplexTea for Linux.
3A63477A078CE10E53DFB5639E35D74F93CEFA81 HSBC_job_offer․pdf Linux/NukeSped.E OdicLoader, a 64-bit downloader for Linux, written in Go.
9D8BADE2030C93D0A010AA57B90915EB7D99EC82 HSBC_job_offer.pdf.zip Linux/NukeSped.E A ZIP archive with a Linux payload, from VirusTotal.
F6760FB1F8B019AF2304EA6410001B63A1809F1D sysnetd Linux/NukeSped.G BADCALL for Linux.

Red

IP address Domain Hosting provider First seen Details
23.254.211[.]230 N/A Hostwinds LLC. N/A C&C server for BADCALL for Linux
38.108.185[.]79
38.108.185[.]115
od[.]lk Cogent Communications 2023-03-16 Remote OpenDrive storage containing SimplexTea (/d/NTJfMzg4MDE1NzJf/vxmedia)
172.93.201[.]88 journalide[.]org Nexeon Technologies, Inc. 2023-03-29 C&C server for SimplexTea (/djour.php)

Técnicas de MITRE ATT&CK

Tactic ID Name Description
Reconnaissance T1593.001 Search Open Websites/Domains: Social Media Lazarus attackers probably approached a target with a fake HSBC-themed job offer that would fit the target’s interest. This has been done mostly via LinkedIn in the past.
Resource Development T1584.001 Acquire Infrastructure: Domains Unlike many previous cases of compromised C&Cs used in Operation DreamJob, Lazarus operators registered their own domain for the Linux target.
T1587.001 Develop Capabilities: Malware Custom tools from the attack are very likely developed by the attackers.
T1585.003 Establish Accounts: Cloud Accounts The attackers hosted the final stage on the cloud service OpenDrive.
T1608.001 Stage Capabilities: Upload Malware The attackers hosted the final stage on the cloud service OpenDrive.
Execution T1204.002 User Execution: Malicious File OdicLoader masquerades as a PDF file in order to fool the target.
Initial Access T1566.002 Phishing: Spearphishing Link The target likely received a link to third-party remote storage with a malicious ZIP archive, which was later submitted to VirusTotal.
Persistence T1546.004 Event Triggered Execution: Unix Shell Configuration Modification OdicLoader modifies the victim’s Bash profile, so SimplexTea is launched each time Bash is stared and its output is muted.
Defense Evasion T1134.002 Access Token Manipulation: Create Process with Token SimplexTea can create a new process, if instructed by its C&C server.
T1140 Deobfuscate/Decode Files or Information SimplexTea stores its configuration in an encrypted apdl.cf.
T1027.009 Obfuscated Files or Information: Embedded Payloads The droppers of all malicious chains contain an embedded data array with an additional stage.
T1562.003 Impair Defenses: Impair Command History Logging OdicLoader modifies the victim’s Bash profile, so the output and error messages from SimplexTea are muted. SimplexTea executes new processes with the same technique.
T1070.004 Indicator Removal: File Deletion SimplexTea has the ability to delete files securely.
T1497.003 Virtualization/Sandbox Evasion: Time Based Evasion SimplexTea implements multiple custom sleep delays in its execution.
Discovery T1083 File and Directory Discovery SimplexTea can list the directory content together with their names, sizes, and timestamps (mimicking the ls -la command).
Command and Control T1071.001 Application Layer Protocol: Web Protocols SimplexTea can use HTTP and HTTPS for communication with its C&C server, using a statically linked Curl library.
T1573.001 Encrypted Channel: Symmetric Cryptography SimplexTea encrypts C&C traffic using the AES-GCM algorithm.
T1132.001 Data Encoding: Standard Encoding SimplexTea encodes C&C traffic using base64.
T1090 Proxy SimplexTea can utilize a proxy for communications.
Exfiltration T1041 Exfiltration Over C2 Channel SimplexTea can exfiltrate data as ZIP archives to its C&C server.

Apéndice

Esta regla YARA notifica el cluster que contiene tanto IconicLoader como IconicStealer, así como también los payloads desplegados en las camáñas apuntando a criptomonedas que tuvieron lugar en diciembre de 2022.

Fuente:  www.welivesecurity.com

 

Logran ‘hackear’ y tomar el control total de un satélite de la ESA en el primer simulacro espacial de piratería ética

La Agencia Espacial Europea permitió a Thales tomar el control de su orbitador OPS-SAT.ESA

Los investigadores recuerdan la importancia de tomar medidas de ciberseguridad para evitar los ataques informáticos, sobre todo ahora que la tecnología espacial está siendo tan relevante para temas militares y civiles. 

La Agencia Espacial Europea (ESA) quiso poner a prueba la seguridad cibernética de su tecnología espacial. Para ello, permitió a un equipo de ciberseguridad de la empresa Thales intentar interrumpir el funcionamiento del nanosatélite OPS-SAT durante la conferencia CYSAT.

Los investigadores lograron hackear el satélite, que lleva en la órbita baja terrestre desde 2019, accediendo a su sistema de posicionamiento global. Al hacer esto, eran capaces de controlar la actitud (orientación o posición) y la cámara de a bordo.

«El acceso no autorizado a estos sistemas puede causar daños graves al satélite o provocar una pérdida de control sobre su misión«, afirma Thales en un comunicado. La compañía, con la demostración, ejemplificó la importancia de que las agencias y empresas espaciales tengan un alto nivel de resiliencia cibernética en sus exploraciones.

La ESA ha confirmado que tuvieron en todo momento el control de OPS-SAT y que el equipo de Thales no llevó a cabo nada arriesgado durante su vuelta a la Tierra. Por su parte, los expertos en ciberseguridad aseguran que usaron derechos de acceso estándar para manejar su entorno de aplicaciones y que encontraron vulnerabilidades que permitían introducir malwares en los sistemas.

Con un código malicioso, pudieron comprometer los datos enviados a la Tierra, modificando las imágenes capturadas por la cámara del orbitador. También comentan que fueron capaces de ocultar sus actividades para que la ESA detectase lo que estaban haciendo, como enmascarar zonas geográficas seleccionadas en las fotografías satelitales.

Pierre-Yves Jolivet, vicepresidente de soluciones cibernéticas de Thales, detalló que «con el creciente número de aplicaciones militares y civiles que dependen de los sistemas satelitales en la actualidad, la industria espacial debe tener en cuenta la ciberseguridad en todas las etapas del ciclo de vida del satélite». Como ejemplo, el profesional ha subrayado la atención que deben hacerse desde el diseño inicial hasta el desarrollo y el mantenimiento de los sistemas, adaptándolas a soluciones actuales y futuras.

Un reciente informe de la CIA publicado en Financial Times señala que tienen sospechas de que en China están investigando formas de «tomar el control» de satélites extranjeros. En 2022, un investigador belga hackeó una terminal de Starlink, de SpaceX, con un modchip personalizado. Eso demuestra la importancia de implementar medidas seguras, como dice Jolivet.

Fuente: www.20minutos.es

 

 

Operación Absoluta: ESET descubre una campaña de ciber espionaje enfocada a Colombia

El equipo de investigación de ESET analizó una campaña de espionaje que utiliza el malware AsyncRAT que apunta a organismos gubernamentales y empresas de diversas industrias de Colombia.

El equipo del Laboratorio de Investigación de ESET Latinoamérica analizó una campaña de espionaje que se registró en diciembre de 2022 apuntando a blancos de alto perfil de Colombia. Los actores maliciosos detrás de esta campaña, a la cual hemos denominado Operación Absoluta, lanzaron sus ataques a entidades gubernamentales y compañías privadas de industrias como la construcción, entre muchas otras.

El objetivo era descargar en los sistemas de las víctimas AsyncRAT, un Troyano de Acceso Remoto (RAT, por sus siglas en inglés) que tal como lo indica su nombre permite a los atacantes realizar remotamente diversas acciones maliciosas en el equipo comprometido. Por ejemplo, acceder a archivos y carpetas, realizar capturas de pantalla, registrar pulsaciones de teclado para robar credenciales o incluso descargar en el equipo malware adicional.

El proceso de infección comenzaba con un correo electrónico que incluía un documento de Microsoft Office. El mismo contiene un enlace que libera un código malicioso que finalmente descarga AsyncRAT en el equipo de la víctima. Estos correos utilizan como señuelo para engañar a las víctimas temas como demandas o procesos judiciales. Además, como parte de la ingeniería social, hemos visto casos en los que utilizan datos personales de personas reales para hacer más creíble el correo.

Esta campaña está compuesta por tres etapas con diferentes características cada una y se descubrió por un correo de phishing que distribuía una amenaza que afecta a sistemas operativos de Windows. La misma es detectada por las soluciones de seguridad de ESET como BAT/Agent.PRS y su actividad llamó nuestra atención.

Una cualidad que caracteriza a Operación Absoluta y por la cual hemos decidido llamar así a esta campaña es la técnica de ofuscamiento que emplea, ya que utiliza diversas operaciones matemáticas, como el cálculo de valor absoluto. Es posible que esta característica haya sido utilizada para evadir alguna solución de seguridad o hacer más difícil la tarea de análisis.

En el siguiente diagrama se puede ver cómo es el proceso de infección de esta campaña, partiendo desde la recepción de un correo electrónico que contiene adjunto un documento Word, el cual contiene un enlace que descarga un archivo desde Google Drive, hasta llegar a los últimos códigos maliciosos encargados de infectar y ejecutar en la máquina de la víctima el payload final: AsyncRAT.

Imagen 1 – Diagrama de infección

Vale la pena mencionar que Operación Absoluta es un nuevo ejemplo de cómo los cibercriminales están llevando adelante campañas de espionaje apuntando a blancos de alto perfil en América Latina utilizando malware disponible para su compra o descarga gratuita en repositorios públicos, foros y grupos de cibercrimen.

En 2021 analizamos una campaña denominada Bandidos en la cual los actores maliciosos utilizaron el RAT Bandook, disponible en mercados de la dark web, para llevar adelante ataques apuntando a redes corporativas de empresas de distintas industrias en Venezuela. Ese mismo año publicamos detalles sobre Operación Spalax, una campaña dirigida a instituciones gubernamentales y compañías de Colombia, principalmente de industrias como la energética y la metalúrgica, utilizando los troyanos de acceso remoto Remcos, njRAT y AsyncRAT. En 2022 analizamos otras dos campañas de espionaje en las que se utilizaron códigos maliciosos conocidos y disponibles públicamente. Una de ellas fue Operación Discordia, la cual apunto a empresas de distintas industrias, organizaciones sin fines de lucro y organismos gubernamentales de Colombia utilizando njRAT, y otra fue Operación Pulpo Rojo, una campaña que se concentró en Ecuador y apunto a empresas y organismos gubernamentales utilizando el popular malware Remcos.

Si bien Operación Absoluta presenta similitudes con todas estas campañas en cuanto a la modalidad general de envío de malspam y el uso de commodity malware, como es AsyncRAT, no podemos atribuir este ataque al mismo grupo de amenazas que desplegó alguna de las anteriores campañas.

Como podemos ver, más allá de la sofisticación que puedan tener algunas campañas que llevan adelante grupos de APT a nivel global, la creciente cantidad de campañas con fines de espionaje dirigidas a blancos específicos en América Latina muestra que este modus operandi parece resultar efectivo a los grupos que las operan y que las empresas y organismos de gobierno de la región deben estar atentas.

Actividades Maliciosas 

Esta campaña posee diferentes etapas que incluyen correos de spearphishing, el uso de droppers y de un troyano. Por un lado, su primer objetivo es engañar a las víctimas para que hagan clic en un enlace que está dentro de un documento de Microsoft Word incluido como adjunto en los correos electrónicos enviados. A través de ese enlace, las víctimas descargan y ejecutan un archivo Batch malicioso encargado de ejecutar una serie de comandos en la consola del sistema (cmd). Estos comandos descifran otros módulos que realizan distintas actividades maliciosas con el objetivo final de infectar a la víctima con un troyano que posee diferentes capacidades para robar información sensible. Estas capacidades incluyen el registro de las pulsaciones de teclado, realizar capturas de pantalla, entre muchas otras que más adelante en esta misma publicación detallaremos. Luego, esa información es recolectada y enviada hacia un servidor controlado por los atacantes.

Etapa 1: Acceso inicial

Esta etapa tiene la finalidad de descargar y ejecutar un archivo Batch. Esto lo hace a través de un enlace incluido en los documentos enviados como adjunto en los correos. Este enlace conduce a la descarga de un archivo comprimido alojado en Google Drive que está protegido con contraseña. La misma es 1234 y está información está incluida en el mismo correo.

Si bien a partir de algunos correos analizados identificamos el servicio de Google Drive para alojar el primer componente malicioso, por las características de este tipo de campaña y dado que se identificaron diferentes nombres de archivos, es factible que se hayan utilizado otros servicios de alojamientos de archivos en la nube.

En las siguientes imágenes se pueden ver ejemplos de los correos electrónicos enviados que obtuvimos durante el análisis de esta campaña:

Imagen 2 – Ejemplo de phishing utilizado en la campaña.

 

Imagen 3 – Ejemplo de un archivo de Microsoft Office utilizado en esta campaña en la que se utiliza información legítima de una firma de abogados en Colombia.

Como se observa en la Imagen 2 y 3, los cibercriminales utilizan como excusa correos relacionados con demandas o procesos judiciales para provocar preocupación y que las potenciales víctimas los abran. La información en el correo utiliza datos de profesionales reales a los que se suplanta su identidad. De hecho, algunas firmas de abogados en Colombia han alertado sobre estos correos.

En la Imagen 3 podemos observar que el asunto del correo era “Departamento-Asuntos-Jurídicos Envío Notificación por Demanda”.

Además, podemos apreciar la URL para descargar un supuesto documento alojado en Google Drive que en realidad conducen a la descarga de un archivo comprimido con la extensión .rar. Al buscar en la telemetría de ESET obtuvimos distintos nombres para estos archivos comprimidos, los cuales están protegidos con contraseña. La misma es un valor numérico de cuatro dígitos (1234). Esto nos indica que los cibercriminales podrían estar utilizando otros servicios de alojamiento de archivos.

A continuación se listan ejemplos de los nombres que poseen los códigos maliciosos que se encuentran dentro de los archivos comprimidos:

  • CamScanner-165962620.rar
  • TRANSACTION_A_CUENTA_BANCARIA.rar

Como se puede apreciar en la Imagen 4, es evidente que hay algo sospechoso, ya que el archivo comprimido contiene un archivo con la extensión .bat. Esto significa que el archivo no es un documento de texto, sino que es un archivo de procesamiento por lotes (Batch), el cual es utilizado para la ejecución de instrucciones MS-DOS. A continuación podemos observar el código que contiene el archivo .bat.

Imagen 5 – Ejemplo del código malicioso ofuscado dentro de un archivo .bat.

Al desofuscar el código se puede visualizar la verdadera funcionalidad del mismo, en la siguiente captura de pantalla se puede ver el código malicioso des ofuscado dentro del archivo .bat:

Imagen 6 – Ejemplo de un código malicioso en Visual Basic desofuscado que contiene el archivo batch.

 

Una vez que la víctima ejecuta el componente malicioso se invoca al intérprete de PowerShell para ejecutar un código malicioso que está cifrado con el algoritmo criptográfico AES-256, el cual utilizará los siguientes datos para descifrarlo:

  • Key:8CC76B80164589497DF038B47A72848E6A50D11B11F038C4DCFB9988CDD5DBD6
  • IV:E71E24FA7578D7F796434250BAF15FB1

Una vez que se descifran los códigos maliciosos, los mismos van a ser ejecutados en memoria.

A continuación detallamos el comportamiento de estos códigos maliciosos.

Etapa 2: Ejecución en memoria

En esta etapa se procede a ejecutar dos ejecutables maliciosos desarrollados en .NET. Cada uno tiene un objetivo distinto. Uno de ellos (RTDONT) es utilizado para evadir mecanismos de seguridad, mientras que el otro (JLAIVE) es utilizado para ejecutar el payload final en memoria y generar persistencia.

RTDONT

Este ejecutable desarrollado con el framework Microsoft .NET. tiene como finalidad, evadir las medidas de seguridad del sistema operativo. En principio, se encuentra totalmente ofuscado, particularmente en la secciones en donde se invocan a las diversas API de Windows. A continuación se visualiza la función principal utilizada para desofuscar las llamadas a las API de Windows:

Imagen 7 – Método para desofuscar las llamadas de las API de Windows empleado por RTDONT

Una vez que cada una de estas llamadas es desofuscada se puede visualizar la verdadera funcionalidad de este componente. Cabe destacar que para poder evadir estas medidas de seguridad utilizará tres técnicas conocidas dentro del ámbito de la Seguridad Ofensiva, como son:

  • Process Unhooking: consiste en cargar una copia de la biblioteca dinámica de dll para luego poder modificar su contenido y así evadir las medidas de seguridad empleadas por el sistema operativo.

NOTA: Para tener una información más detallada sobre este proceso recomendamos leer la sección Técnica de Process Unhooking

  • Modificación de AmsiScanBuffer: A través del método AmsiScanBuffer que se encuentra en la DLL amsi.dll, el atacante modifica el resultado de Antimalware Scan Interface (AMSI) para que siempre devuelva el valor AMSI_RESULT_CLEAN.

Ilustración 8 – Técnica de evasión AmsiScanBuffer empleado por RTDONT.dll

  • Modificación de EtwEventWrite: A través del método EtwEventWrite (ETW – Event Tracing for Windows) que se encuentra en la DLL ntdll.dll se suspende para que no realice ninguna acción de rastreo o registro de eventos de aplicaciones.

Ilustración 9 – Técnica de evasión empleada por EtwEventWrite en RTDONT.dll

De esta forma, los cibercriminales logran evadir las medidas de seguridad de Microsoft Windows para evitar la ejecución de código malicioso desarrollado en PowerShell. Incluso podrían llegar a evadir alguna solución de seguridad EDR que utilice los eventos que son escritos por medio de la función EtwEventWrite.

JLAIVE

Este ejecutable desarrollado con el framework Microsoft .NET actua comodropper, pero no solo va a permitir ejecutar el payload final, sino que tambien añade funcionalidad de persistencia para asegurarse la ejecución del mismo.

Al igual que RTDONT, el código se encuentra totalmente ofuscado con operaciones matemáticas de la biblioteca de Math de C# como Abs, MinValue y MaxValue.

Imagen 10 – Método de ofuscación empleado por JLAIVE.exe

En su mayoría, las diversas API de Windows que son invocadas por JLAIVE se encuentran ofuscadas por el método anteriormente descripto.

AL desofuscar el código malicioso pudimos observar la siguiente lógica:

  • En principio se verifica si el código malicioso está siendo ejecutado. En tal caso se invocará el método Mutex();. Este tipo de objeto se utiliza para controlar el acceso a un recurso compartido y en este caso se asegura que el malware corra una sola vez en la maquina infectada. En caso de que esto no sea así, finaliza el proceso.
  • Al ingresar a la carpeta recursos podemos observar que dentro del ejecutable se encuentra un nuevo archivo denominado “JLAIVE_P”. Esto nos indica que se podría tratar del payload final.

Ilustración 11 – Recurso de JLAIVE_P dentro de JLAIVE.EXE

  • Al ejecutarse por primera vez se invocará al método smethod_1. El objetivo es crear persistencia dentro de la máquina de la víctima generando un archivo desarrollado en Visual Basic.

Imagen 12 – Persistencia a través de HlarxQbqxv.bat

  • Para poder generar persistencia llamará al método smethod_6. El objetivo en este caso será evaluar a través del valor de (SID) qué tipo de usuario es la víctima.

Imagen 13 – Evaluación de JLAIVE del tipo de usuario en el sistema operativo para generar persistencia.

  • En caso de que el método se encuentre con el valor de 544, que corresponde al perfil de  “Administrador”, la pieza de código malicioso generará persistencia a través de una instancia del intérprete de comandos cmd.
  • Caso contrario se creará un registro de Windows (HKCU) en  “SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN“, con el nombre de RuntimeBroker_HlarxQbqxv con los comandos generados en el archivo anterior:

Ilustración 14 – Clave de registro HKCU para generar persistencia

  • Luego de generar persistencia el código malicioso original se eliminará y se copiará bajo el nombre de HlarxQbqxv.bat en modo oculto dentro de la carpeta de C:\Users\[USER]\AppData\Roaming. Tal como se observa en la siguiente imagen:

Imagen 15 – JLAIVE copia el archivo HlarxQbqxv.bat en C:\Users\[USER]\AppData\Roaming para generar persistencia.

  • Luego de asegurarse la persistencia, el siguiente paso es la ejecución del payload final en memoria a través de diversos métodos. Para ello primero se obtendrá el recurso “JLAIVE_P” y se realizará una operación de XOR con el string “JLAIVE_PXEBpSxpMzZOqKtVUHdhAJevJVpJbtUU”. Luego con el resultado se descomprimirá el payload y se copiará en memoria.

Imagen 16 – Ejecución de JLAIVE.dll en memoria.

A continuación compartimos una descripción del payload final: AsyncRAT.

Etapa 3: AsyncRAT

AsyncRAT es una herramienta de acceso remoto (RAT, por sus siglas en inglés) desarrollada con el framework Microsoft .NET. Si bien es una herramienta de código abierto y legítima disponible en Git-Hub, lamentablemente como sucede con muchas otras herramientas, es aprovechada para fines delictivos, como tener acceso y control total de los equipos de las víctimas.

Cuando AsyncRAT es utilizado con fines maliciosos suele distribuirse a través de malspam. Una vez instalado en el sistema, AsyncRAT se ejecuta en segundo plano y se conecta a un servidor remoto para recibir instrucciones y permitir el acceso remoto a la máquina infectada.

Algunas de las características y capacidades de AsyncRAT incluyen:

  • Control remoto completo del sistema infectado.
  • Capacidad para ejecutar comandos y acceder a archivos y carpetas en el sistema.
  • Capacidad para capturar y transmitir imágenes de la pantalla.
  • Capacidad para registrar las pulsaciones del teclado.
  • Capacidad para descargar y ejecutar archivos adicionales.

Por otro lado, la muestra de AsyncRAT detectada en esta campaña, guarda su configuración en una sección de sus recursos, llamada “SETTINGS”, que está cifrada con el algoritmo de cifrado AES-256 y utiliza la siguiente clave “craNOQFKkuDJdqNUaezYtAIn1MfHb9Mo”.

Imagen 17 – Configuración de AsyncRAT cifrada en AES-256

Nota: Los atacantes con la primera dll (JLAIVE.dll) buscan generar persistencia e inyectar en memoria el payload final.

Al comparar una versión de AsyncRAT disponibles para su descarga gratuita con la versión utilizada en esta campaña podemos apreciar la similitud de ambos códigos, lo que nos permite afirmar que los atacantes utilizaron este mismo código para desplegar la amenaza, tal como se observa en la imagen siguiente:

Imagen 18 – A la izquierda el código malicioso utilizado en la campaña. A la derecha el código encontrado en un repositorio de códigos en internet.

Conclusión

Operación Absoluta es una nueva campaña de espionaje apuntando al sector privado y organismos gubernamentales de Colombia que busca desplegar el troyano AsyncRAT para robar información de las víctimas. Esta malware puede ser peligroso, ya que permite a los atacantes tomar control de un sistema infectado y utilizarlo para exfiltrar información o incluso instalar en los equipos comprometidos algún otro tipo de código malicioso. Desde el Laboratorio de Investigación de ESET Latinoamérica hemos reportado varias campañas en los dos últimos años que utilizan este tipo de commodity malware para realizar operaciones de espionaje, como fueron las campañas Bandidos y Operación Spalax en 2021 apuntando a blancos de alto perfil de Venezuela y Colombia respectivamente, y luego en 2022 Operación Discordia y Operación Pulpo Rojo, la primera contra empresas y organismos gubernamentales de Colombia y la segunda contra el sector privado y organismos públicos de Ecuador.

Mas allá de que Operación Absoluta es una campaña de espionaje orientada a Colombia, son cada vez los grupos cibercriminales que utilizan este tipo de modus operandi para infectar a los usuarios. El hecho de que se utilice código malicioso de código abierto para infectar a los usuarios no hace menos relevante a esta campaña, sino todo lo contrario, ya que esto nos asegura que cada vez son más las probabilidades de que las empresas tanto públicas como privadas dentro de América Latina sean afectadas y vulneradas.

Indicadores de compromiso

Registros

A continuación, se listan posibles registros que pueden ser manipulados por los códigos maliciosos utilizados en esta campaña:

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    • Value Name: RuntimeBroker_HlarxQbqxv
    • Value Data: wscript.exe “C:\Users\[USER]\AppData\Roaming\HlarxQbqxv.vbs”

Persistencia                                                                                             

A continuación, se listan las rutas donde pueden persistir algunos archivos utilizados en esta campaña:

  • C:\Users\[USER]\AppData\Roaming\HlarxQbqxv.bat
  • C:\Users\[USER]\AppData\Roaming\HlarxQbqxv.vbs

Hashes, sitios web y C&C

Hashes de muestras analizadas:

  • CamScanner-165962620.rar: 1AC5F6001107C90610171E66894BB93EE575656D
  • Transaccion bancaria.bat: 64EFA2CE952F1616F185DAA26FF84C6D99CF50C1 — BAT/Agent.PRS
  • Jlaive.exe: 3069F1D30DFE6A3F5EB06CBEE8FB7CD14CC32504 — MSIL/Kryptik.AHCQ
  • RTDONT.exe: CD65222614DCBC8D22072C5B68C4E6B1939DF8E2 — MSIL/Kryptik.AHCR
  • Cliente1.exe: 1E6B3B48D7FC0594CE163254C0DE4C0F8449BB4A — MSIL/Agent.CFQ

URLs obtenidas en las muestras analizadas:

  • https[:]//docs[.]google[.]com/uc?export=download&id=1eFOJXaElHnr4F1620Mbihj9u-RrJ43JV

Dominios e IP detectados en las muestras analizadas:

  • bmxfghsh[.]duckdns[.]org:8026
  • 177[.]255[.]91[.]167

Técnica de Process Unhooking

Tal como se desarrolló al inicio, el cibercriminal desarrollo una librería en .NET con el objetivo de evadir la seguridad del sistema operativo; una de las técnicas empleadas se denomina Process Unhooking (del inglés desconexión de procesos), para ello se realizaron las siguientes acciones maliciosas:

  1. Mediante el uso de la funciones de las API de Windows GetModuleInformation y GetCurrentProcess obtiene informacion del módulo de  ntdll.dll.
  2. Luego lee el contenido de la librería de ntdll.dll por medio de las APIs de Windows  CreateFileA, CreateFileMapping, y MapViewOfFil.
  3. A través de la utilización de VirtualProtect se cambian los permisos de memoria, de modo que pueda modificar el contenido de la misma.
  4. Con la utilización de la función memcpy copia el contenido de la librería descripta en el paso 2 sobre la librería cargada en el paso 1.
  5. Finalmente, con VirtualProtect vuelve a cambiar los permisos de memoria de la sección de código a su valor original.

A continuación, se puede visualizar cada una de las llamadas dentro del código malicioso desarrollado por el cibercriminal:

Ilustración 19 – Process Unhooking empleado por RTDONT.dll

Técnicas MITRE ATT&CK

A continuación, se listan las técnicas utilizadas en esta campaña utilizando el framework MITTRE ATT&CK:

Táctica Técnica (ID) Nombre
Resource Development T1586.002 Compromise Accounts: Email Accounts
Initial Access T1566.002 Phishing: Spearphishing Link
Execution T1059.001 Command and Scripting Interpreter: PowerShell
  T1106 Native API
  T1059.001 Command and Scripting Interpreter: PowerShell
  T1059.003 Command and Scripting Interpreter: Windows Command Shell
Defense Evasion T1055.001 Process Injection: Dynamic-link Library Injection
  T1027 Obfuscated Files or Information
  T1562.001 Impair Defenses: Disable or Modify Tools
Discovery T1083 File and Directory Discovery
Collection T1056.001 Input Capture: Keylogging
  T1123 Audio Capture
  T1125 Video Capture
  T1113 Screen Capture
  T1115 Clipboard Data
Command and Control T1132.001 Data Encoding: Standard Encoding

Fuente: www.welivesecurity.com

ESET Threat Report T3 2022: se duplicaron las detecciones de malware bancario en 2022

ESET Threat Report T3 2022 es un informe donde analizamos el panorama de las amenazas informáticas durante el último cuatrimestre de 2022 según los datos de la telemetría de ESET y los expertos en investigación y detección de amenazas.

En 2022, un ataque no provocado e injustificado contra Ucrania conmocionó al mundo, con efectos devastadores para el país y su población. Al día de hoy la guerra continúa impactando todo, desde los precios de la energía y la inflación hasta el ciberespacio, el cual ha sido monitoreado durante todo el año por el equipo de investigación y análisis de ESET.

Entre los efectos que hemos observado en el ciberespacio, la escena del ransomware experimentó algunos de los cambios más importantes. Desde que comenzó la invasión de Rusia a Ucrania hemos visto una división entre los operadores de ransomware. Mientras algunos apoyan esta agresión, otros se oponen. Los atacantes también han estado utilizando tácticas cada vez más destructivas, como el uso de malware del tipo wiper que imitan la forma de operar de códigos maliciosos como el ransomware y cifran los datos de la víctima sin intención de proporcionar la clave de descifrado.

En América Latina se registró una disminución de las amenazas informáticas en su conjunto durante el tercer cuatrimestre de 2022. Las amenazas más detectadas corresponden a archivos HTML maliciosos incluidos en correos de phishing y a un exploit que busca sacar provecho de una vulnerabilidad de 2017 en Microsoft Office clasificada como CVE-2017-11882.

Detecciones de amenazas informáticas en LATAM durante el tercer cuatrimestre de 2022.

En cuanto a las detecciones de ransomware en la región de LATAM, las mismas disminuyeron considerablemente durante los últimos cuatro meses de 2022. El ransomware STOP lideró las detecciones con el 35%. Este ransomware suele distribuirse a través de cracks de programas, libros y otros tipos de descargas en sitios falsos o vía Torrent.

Detecciones de ransomware en América Latina durante los últimos cuatro meses de 2022.

Como leerá en el Informe ESET Threat Report T3 2022, la guerra también afectó los ataques de fuerza bruta contra los servicios RDP expuestos, que cayeron en picada en 2022. Otros factores que podrían haber contribuido a esta caída, además de la guerra, son: un disminución del trabajo remoto, una mejor configuración de estos servicios y la aplicación de contramedidas por parte de los departamentos de TI de las empresas, y una nueva función de bloqueo contra ataques de fuerza bruta incluida en Windows 11. La mayoría de los ataques al protocolo RDP detectados en 2022 se originaron en direcciones IP rusas.

Incluso con la disminución de los ataques al RDP, los ataques buscando descifrar contraseñas seguían siendo el vector más elegido en el tercer cuatrimestre de 2022. Y a pesar de que los parches para corregir la vulnerabilidad Log4J estaban disponibles desde diciembre de 2021, la explotación de esta vulnerabilidad aún ocupaba el segundo lugar en el ranking de los vectores de intrusión externa. Varias amenazas dirigidas al ecosistema cripto se vieron afectadas por la caída en picada del valor de las criptomonedas y por el aumento de los precios de la energía. Si bien las detecciones de malware para robar criptomonedas (cryptostealers) y para minar criptomonedas (cryptominers) disminuyeron, las estafas dirigidas a usuarios de criptoactivos resurgieron: durante el último cuatrimestre de 2022 aumentaron un 62% los sitios web de phishing bloqueados por ESET que utilizaban el tema de las criptomonedas, y el FBI emitió recientemente una advertencia sobre un aumento de los esquemas de inversión en criptomonedas.

En diciembre y con la llegada de los días festivos se registró un aumento de las campañas de phishing que se hacían pasar por tiendas en línea, ya que las personas que compran regalos en línea representan un objetivo muy lucrativo para los ciberdelincuentes. Y cuando los desarrolladores de videojuegos para dispositivos móviles publicaron nuevos lanzamientos antes de la temporada navideña, los atacantes aprovecharon el interés que esto generó para cargar versiones maliciosas modificadas de estos videojuegos en tiendas de apps de terceros. A su vez, hemos observado un aumento significativo en las detecciones de adware para Android durante los último cuatro meses de 2022.

La plataforma Android también experimentó un aumento del spyware a lo largo del año debido al fácil acceso a los kits de spyware, los cuales son ofrecidos en varios foros en línea y que son utilizados por atacantes aficionados. Y aunque las detecciones generales para el malware que roba información (infostealers) tendieron a la baja tanto en el último cuatrimestre como en todo 2022, el malware bancario fue una excepción y las detecciones que se duplicaron con respecto a 2021.

En América Latina las amenazas dirigidas a Android registraron un crecimiento importante en los últimos cuatro meses de 2022. En especial las detecciones de aplicaciones maliciosas que se hacen pasar por apps legítimas y que tienen como objetivo descargar otras aplicaciones maliciosas en el equipo infectado.

Por otra parte, Brasil y México están entre los países en los que se detectó la mayor cantidad de Amenazas para Android a nivel global. De acuerdo a la telemetría de ESET, durante el tercer cuatrimestre de 2022 los países en los que se registró la mayor cantidad de detecciones fueron Brasil (8.5%), Ucrania (7.6%), México (7.3%), Rusia (6.6%), Turquía (5%), y Estados Unidos (4%).

Aumento de las detecciones de amenazas dirigidas para Android en LATAM durante el último cuatrimestre de 2022.

Hallazgos clave del equipo de investigación de ESET

Los últimos meses de 2022 estuvieron repletos de hallazgos interesantes por parte del equipo de investigación de ESET. Nuestros expertos descubrieron una campaña de spearphishing del grupo de APT MirrorFace dirigida a entidades políticas japonesas de alto perfil y un nuevo ransomware llamado RansomBoggs, que todo parece indicar que tiene como responsable al grupo Sandworm, que fue utilizado contra múltiples organizaciones en Ucrania. El equipo de investigación de ESET también descubrió una campaña realizada por el infame grupo Lazarus en la cual se dirige a sus víctimas con correos electrónicos de phishing que contienen documentos con ofertas de trabajo falsas. Uno de los señuelos fue enviado a un empleado de una empresa aeroespacial. En cuanto a los ataques a la cadena de suministro, encontramos un nuevo wiper y su herramienta de ejecución, los cuales atribuimos al grupo de APT Agrius, que ha sido utilizado contra usuarios de un paquete de software israelí que se utiliza en la industria del diamante.

Como siempre, los investigadores de ESET aprovecharon múltiples oportunidades para compartir su experiencia en conferencias como AVAR, Ekoparty y otras. En estos eventos los especialistas profundizaron en los aspectos técnicos de la mayoría de los descubrimientos antes mencionados. Para los próximos meses, nos complace invitarlo a las charlas de ESET en Botconf, RSA Conference y otras.

Invitamos a leer el ESET Threat Report T3 2022.

Fuentes: www.welivesecurity.com

Casos de uso con un sandbox de malware

Los ataques de malware son habituales hoy en día, se ejecutan en cuestión de minutos y causan daños durante semanas o meses. La detección rápida y la respuesta rápida y eficaz a los incidentes son esenciales en esta situación.

Hoy hablaremos de cinco casos de uso de cómo puede ayudar un sandbox de malware, para que pueda evitar cualquier amenaza y descubrir la verdad detrás de los archivos insidiosos.

¿Qué es un sandbox de malware?

El sistema de seguridad de cualquier empresa implica varias capas de protección. Una caja de arena es una de las etapas, y el sistema de seguridad moderno estaría incompleto sin ella. La herramienta ayuda a resolver las tareas forenses digitales y de respuesta a incidentes.

Un sandbox de malware es una herramienta para la ejecución de programas sospechosos en el entorno virtual, seguro para el ordenador. Y un servicio interactivo permite cualquier manipulación con la muestra analizada y el SO dentro de la máquina virtual. Puede trabajar con una muestra sospechosa directamente como si la abriera en su ordenador personal: hacer clic, abrir, reiniciar.

Hay situaciones en las que los archivos maliciosos o un enlace permanecerán inactivos o no mostrarán su verdadera naturaleza. Y el uso de otras herramientas de seguridad será insuficiente o requerirá mucho tiempo.

Por ejemplo, algunas muestras de malware sólo se ejecutan si se cumplen ciertas condiciones.

Los troyanos bancarios pueden activarse si un usuario visita un determinado sitio web de banca online. Y gracias a la interactividad, los analistas pueden reunir más indicadores de compromiso.

Algunos programas maliciosos tienen archivos con nombres distintivos o claves de registro. Los especialistas en ciberseguridad pueden añadirlos en una caja de arena para obtener más IOC: comprobar el idioma del maldoc, cambiar la configuración regional del sistema y reiniciar tareas.

Trabajar con una muestra directamente permite probar múltiples variantes de ejecución. De este modo, los analistas pueden obtener datos rápidamente.

Caso de uso 1. Seguir un enlace y archivos maliciosos en tiempo real

El primer paso cuando se recibe un correo electrónico con un enlace o un archivo adjunto es detenerse y no hacer nada. A continuación, échale un vistazo: las faltas de ortografía, el nombre del remitente, los saludos, el nombre del archivo. Una vez que decidas que puede ser una estafa, ve directamente a un sandbox.

Caso de uso 2. Análisis del flujo de red de archivos y enlaces maliciosos

Imagina que recibes un archivo PDF con una imagen o texto señuelo. Hace clic en un enlace y recibe una invitación para descargar un archivo con un nombre largo o con guiones bajos adicionales.

Una vez abierto el archivo, has instalado un malware que puede robar información sensible, o puede ser parte de un ataque más importante, por ejemplo, un ransomware.

Caso de uso 3. Análisis del cambio de localidad

Varios programas maliciosos dejan de funcionar si el sistema carece de un determinado idioma, hora o moneda.

Caso de uso 4. Apoyo al reinicio

Varias familias de malware entran en la fase activa sólo después de un reinicio del sistema para evitar su detección. Al reiniciar el sistema operativo con ANY.RUN los analistas pueden identificar una ciberamenaza, observar el comportamiento del malware y recopilar indicadores adicionales de compromiso.

El archivo ejecutable descargado en la muestra de Nanocore se añade a la carpeta de inicio y detiene la ejecución del sistema operativo. Este sencillo truco es ampliamente explotado para eludir la detección de los antivirus.

Caso de uso 5. Acceso instantáneo al análisis y resultados rápidos

Los especialistas en seguridad informática deben reaccionar lo más rápidamente posible en caso de incidente. El tiempo es esencial. Y el primer paso para mejorar la seguridad es la rapidez de los resultados del análisis de malware.

Fuente: www.somoslibres.org

 

Operación Pulpo Rojo: campaña de malware dirigida a organismos de alto perfil de Ecuador

Cibercriminales han estado apuntando con malware para espiar a empresas y organismos gubernamentales de Ecuador.

El equipo de investigación de ESET Latinoamérica compartió detalles de una campaña de malware dirigida a organizaciones de alto perfil que se llevó adelante entre finales de junio y primeros días de julio de 2022. Denominada Operación Pulpo Rojo, esta campaña maliciosa registró actividad en varios países de América Latina, pero de acuerdo a los sistemas de ESET se concentró principalmente en Ecuador, apuntando a organismos gubernamentales, organizaciones del sector de la salud y compañías privadas de distintas industrias.

El malware final que intentaban distribuir la campaña era el conocido troyano de acceso remoto (RAT) Remcos. Si bien Remcos es un software legítimo que fue desarrollado para monitorear y administrar remotamente dispositivos, desde hace unos años que viene siendo utilizado también por cibercriminales en distintas campañas maliciosas que buscan espiar y robar información de los equipos de sus víctima.

Países a los que afectó la campaña

Los operadores detrás de Operación Pulpo Rojo utilizaron distintos servicios gratuitos para alojar sus códigos maliciosos, como Google Drive o la plataforma Discord, pero se destacó por el uso de diferentes técnicas para evitar ser detectados, ya sea por una solución de seguridad, como también por una víctima que vea un comportamiento anómalo en su equipo.

Correos de phishing que utiliza la campaña

La forma de infectar a las víctimas fue a través de correos de phishing. En la Imagen 1 podemos observar un ejemplo de un correo en el que aparentaban ser de la Fiscalía General del Estado de Ecuador, pero también detectamos que se han utilizado otros temas, como correos que hacen referencia a supuestos procesos judiciales, demandas o incluso transferencias bancarias.

Imagen 1. Ejemplo de correo de phishing utilizado enviado a las víctimas

Estos correos incluyen un enlace que conducen a la descarga de un archivo comprimido que está protegido con contraseña. En el ejemplo que vemos a continuación, el archivo estaba alojado en Google Drive y contiene un ejecutable (.exe) que aparenta ser un archivo de Microsoft Word. Sin embargo, si la víctima abre este supuesto archivo Word desencadena el proceso de infección, el cual consiste en dos etapas, que termina descargando en el equipo de la víctima el RAT Remcos.

Imagen 2. Ejemplo del nombre de archivo comprimido alojado en Google Drive que contiene el ejecutable.

Imagen 3. Archivo ejecutable que utiliza el ícono de Microsoft Word para hacer creer a la víctima que se trata de un archivo de texto.

El nombre del archivo adjunto descargado puede variar. Algunos ejemplos de los nombres utilizados en esta campaña fueron ser:

  • DEMANDA ADMINISTRATIVA JUICIO PENAL.rar
  • TRANSFERENCIA BANCARIA ADJUNTO COMPROBANTE.rar
  • PROCESO PENAL JUICIO DEMANDA INTERPUESTA (1).rar
  • JUICIO NO 2586522 JUZGADO 2 LLAMADO JUDICIAL.exe
  • FISCALIA PROCESO PENAL JUICIO DEMANDA INTERPUESTA (2).rar
  • VOUCHER DE TRANSFERFENCIA REALIZADA A SU EMPRESA CUENTA CORRIENTE (1).rar
  • Proceso Penal Comunicacion De Jucio Demanda Interpuesta.rar
  • PROCESO JUDICIAL EMPRESARIAL ADMINISTRATIVO LLAMADO 1 FISCALIA GENERAL.rar

Etapas de la campaña

En una primera etapa el archivo malicioso busca ejecutar comandos de PowerShell con privilegios elevados para ejecutar un segundo código malicioso que va a realizar las siguientes acciones:  

  1. Descargar un archivo malicioso alojado en Discord que va a modificar la configuración de Windows Defender para evadir su detección. 
  2. Descarga un archivo comprimido, que también está alojado en Discord, y que contiene un ejecutable malicioso desarrollado en .NET que se encarga de lograr persistencia y de ejecutar Remcos.  

Capacidades de Remcos

Este troyano permite realizar en el equipo comprometido diferentes acciones a través de comandos que son ejecutados remotamente por los atacantes; por ejemplo:

  • Realizar capturas de pantalla
  • Registrar las pulsaciones del teclado por el usuario (Keylogging)
  • Grabar audio
  • Manipular archivos
  • Ejecutar remotamente comandos en una máquina
  • Ejecutar remotamente scripts en una máquina

Como mencionamos anteriormente, si bien se trata de una herramienta legítima, en foros clandestinos se pueden encontrar versiones crackeadas de este software que son comercializadas para su uso malicioso. En este caso, los atacantes utilizaron la versión 3.4.1 Pro de Remcos.

Cómo estar protegido

Para evitar ser víctima de una campaña de malware como esta, lo primero es aprender a reconocer posibles correos de phishing, ya que como vimos en este caso, así comienzan muchos ciberataques. Para ello es importante prestar atención a la dirección de correo del remitente y evitar descargar o ejecutar archivos adjuntos o enlaces si existe la más mínima duda o sospecha de que tal vez no sea un correo legítimo.

Es muy importante también prestar atención a las extensiones de los archivos y no dejarse llevar por la imagen del ícono. Por último, es importante instalar una solución de seguridad confiable que detecte a tiempo cualquier intento de actividad maliciosa en el equipo y mantener todos los equipos y aplicaciones actualizadas.

Fuente: www.welivesecurity.com