Tag Ciberseguridad

En este primer artículo de la serie sobre educación en seguridad informática que publicaremos como parte de la celebración del Antimalware Day 2019, proponemos varias ideas para llevar la educación en ciberseguridad al interior de una empresa que pueden implementarse de manera aislada o de manera complementaria.

Teniendo en cuenta que el error humano es el principal responsable de la mayoría de los incidentes de seguridad que ocurren en el ámbito de una empresa u organización, puede resultar muy beneficioso que las personas que forman parte de los equipos de trabajo cuenten con instancias que les permitan desarrollar las habilidades necesarias para saber lidiar con estas amenazas.

#1. Establecer un correo de consulta

Crear una cuenta de correo para el envío de consultas relacionadas a temas o casos de seguridad es una buena iniciativa. A través de este correo de consulta se pueden reenviar correos de apariencia sospechosa para su revisión, estableciendo una instancia más que positiva para que los empleados aprender a reconocer correos fraudulentos. Además, en el caso de los correos de phishing, por ejemplo, este material puede ser utilizado para realizar capacitaciones a partir de casos reales.

Por otra parte, contar con un correo de consulta puede ser de utilidad para incentivar a que los trabajadores que no se animan a realizar preguntas tengan una instancia privada para plantear sus interrogantes.

#2. Reporte de alertas tempranas

Ante casos de campañas de spam maliciosas que llegan a través del correo, establecer una dinámica de alertas tempranas permite informar al resto de la empresa que está circulando una campaña maliciosa y analizar sus características. Además de reducir el riesgo de que algún desprevenido caiga en el engaño, por más que la campaña en concreto no tenga ningún elemento novedoso, sirve para reforzar conceptos y recordar cuáles son las técnicas comunes utilizadas por los cibercriminales.

#3. Charlas y/o capacitaciones

Las charlas como instrumento de capacitación pueden ser una gran herramienta. Las mismas pueden ser dictadas por especialistas de la propia empresa o por profesionales invitados. A partir de lo que pueden ser consultas frecuentes o la elaboración de un calendario de temas como parte de un programa de capacitación, la empresa puede preparar charlas educativas sobre diversos temas que hacen a la seguridad.

Dado que en una empresa conviven profesionales de distintas áreas, en algunos casos es recomendable segmentar el público y realizar dos charlas por separado, más dirigidas y que contemplen los intereses y capacidades de cada grupo. Unas más técnicas para aquellos que tengan conocimientos suficientes y otras menos técnicas que contemplen las limitaciones de los destinatarios.

También es recomendable hacer uso de imágenes, videos y todo tipo de material visual que haga más atractiva y memorable la capacitación, ya que de esta manera será más efectiva la comunicación de lo que se quiere enseñar.

#4. Dinámicas o concursos

Una manera divertida de introducir la capacitación en seguridad en el ámbito empresarial es a través de dinámicas o concursos para que participen los empleados. Por ejemplo, a partir de lo que se aprendió en una charla o capacitación se puede elaborar un concurso de preguntas y respuestas que premie a los ganadores. Además de ser algo entretenido, es una manera de saber a través de los resultados el grado de conocimiento o desconocimiento sobre temas que para la empresa son importantes.

Otra alternativa es contratar un servicio de pruebas de ingeniería social, las cuales permiten evaluar el grado de conocimiento que tienen los profesionales que trabajan en el interior de una empresa y aportan información de valor que puede ser utilizada para determinar aspectos que deben ser tratados con más profundidad en una capacitación.

#5. Guía de buenas prácticas en seguridad

Elaborar una guía de buenas prácticas que sirva como referencia de procedimientos recomendables para conservar un entorno seguro y de esta manera minimizar los riesgos. Esta guía servirá de orientación para comprender las problemáticas más comunes y establecerá prácticas saludables para el manejo y la gestión de información en las empresas. Las mismas pueden incluir, por ejemplo, información acerca de cómo configurar tus dispositivos de manera segura, cómo cifrar la información, cómo configurar el doble factor de autenticación en los servicios principales, etc.

Asimismo, es importante que estas guías sean fáciles de leer y tengan solo la información necesaria. Las mismas pueden estar en el escritorio de cada empleado para su fácil consulta.

Por último, una recomendación para que ayuda a la retención de ideas y/o conceptos es jugar con los lugares inesperados para dejar mensajes; como pueden ser el baño, en la cocina o el ascensor. El hecho de encontrar un mensaje en un lugar que no esperamos tiene un impacto mayor que si lo encontramos en los lugares comunes.

Fuente: www.welivesecurity.com

Los ataques más llamativos y sofisticados probablemente no representen el tipo de amenaza que más debería preocupar a la mayoría de las empresas. A continuación explicamos a que sí debería prestarle atención su organización.

Cuando nos enteramos acerca de una nueva brecha, asumimos que los atacantes utilizaron un exploit nunca antes visto para aprovecharse de una vulnerabilidad zero-day y así lograr quebrar la defensa de una empresa. Sin embargo, este escenario está normalmente lejos de ser realidad en la mayoría de los casos. Si bien es cierto que los grupos de cibercriminales respaldados por los Estados-nación tienen una inclinación a hacer uso de vulnerabilidades zero-day para infiltrarse en los objetivos más importantes de una nación, esos objetivos no son usted; y probablemente tampoco lo sea su organización.

En la última edición de la conferencia Virus Bulletin que se llevó a cabo a principios de octubre de este año, al igual que en otros años, disfrutamos de muchas historias sobre ataques contra objetivos financieros de alto perfil. Pero al final, los actores maliciosos no lograron comprometer a estos objetivos con exploits aterradores, sino que lograron entrar a los sistemas con un correo de phishing o, tal como en el caso que narró un presentador de RiskIQ, utilizaron permisos abiertos en un popular recurso en la nube.

La realidad es que el punto débil de la industria de la seguridad está en que los cibercriminales eligen preferentemente el camino que oponga menor resistencia, el cual a menudo está dado por software de seguridad mal configurado, errores humanos u otros problemas de seguridad operacional. En otras palabras, no se trata de las técnicas sofisticadas utilizadas por un súper hacker, se trata de lo que hacemos nosotros.

Si creemos que estamos haciendo todo bien dentro de nuestra propia organización, esto incluso puede no ser suficiente. Si bien es posible que hayamos protegido completamente nuestra propia red, las personas con las que interactuamos pueden no estar tan protegidas. Podemos pensar que hemos rechazado con éxito el software de un tercero, que no utilizamos la nube para la colaboración, por lo que sentimos que estamos en terreno seguro. Sin embargo, terceras partes dentro de la cadena de suministro pueden estar utilizando servicios en la nube de una manera riesgosa. Y a veces, ni nosotros ni ellos saben que esta situación ha creado un riesgo significativo para ambos entornos.

Sin embargo, hay cosas que podemos hacer al respecto.

Los incidentes de seguridad de mayor magnitud que se dan en estos días, a menudo comienzan en una solución o servicio externo que utiliza. Si bien es posible que contemos con el mejor equipo de seguridad, tal vez estas terceras partes no lo tengan.

Si no estamos seguros, aquí hay algunas cosas obvias (o no tan obvias) que podemos consultar con nuestros equipos:

Permisos en la nube

Sin duda es conveniente para los equipos que comparten recursos en la nube, especialmente para compartir archivos, tener permisos totales sobre los archivos para poder añadir/cambiar/eliminar el acceso a cualquier persona. Pero esto también podría abrirnos problemas. En el caso de proyectos y equipos que se arman apresuradamente, muchas veces ocurre que los recursos “temporales” son arrojados a la nube sin considerar las mejores prácticas de seguridad. Esto a menudo lleva a que todos tengan permisos abiertos como forma de asegurarse de que todo “simplemente funcione”. Y estos recursos suelen sobrevivir por años, con el riesgo que supone el hecho de que haya información privada accesible de manera pública.

Plataformas de colaboración

¿Nuestros equipos o proveedores externos utilizan servicios de mensajería, foros o plataformas no seguras y/o no monitoreadas para discutir temas relacionados con el negocio? Si los delincuentes (o incluso los competidores) pueden acceder a las comunicaciones internas sobre nuestro negocio, esto podría causarnos grandes problemas. Como mínimo, estaríamos proporcionando recursos significativos a atacantes que buscan mediante ingeniería social ingresar a nuestra red.

Correo corporativo comprometido

¿Qué tan bien hemos bloqueado la capacidad de enviar correos electrónicos desde nuestro dominio? ¿Podría esa avalancha de phishing venir desde el interior de nuestra propia casa? Si no estamos cuidando bien la seguridad del correo electrónico, los atacantes podrían estar utilizando nuestro nombre para engañar a las personas y convencerlas para que hagan clic en enlaces maliciosos. Muy pocas compañías están utilizando estrategias de autenticación de correo electrónico como DMARC, DKIM o SPF para ayudar a verificar los mensajes válidos.

Puede ser tentador seguir buscando las nuevas amenazas que los atacantes están desarrollando, pero al final lo más importante pasa más por reparar las grietas simples que puedan existir dentro de nuestro propio edificio. A medida que la tecnología se vuelve más omnipresente, también introduce más complejidad. Al abordar a fondo estos problemas más simples, seremos capaces de dedicar menos energía a estresarnos por las sofisticadas técnicas que se utilizan contra blancos de alto valor y aprovecharla para hacer que las cosas sean realmente más seguras.

Fuente: www.welivesecurity.com

En el 40% de los casos el incidente se produjo por hacer clic en enlaces que redirigían a sitios infectados, mientras que un 23% fue por abrir adjuntos infectados.

Hoy se celebra el “Día Mundial del Correo” por ser el aniversario de la Unión Postal Universal (UPU, por sus siglas en inglés), la agencia especializada de las Naciones Unidas establecida en 1874, en Suiza, que dio inicio a una revolución en las comunicaciones al introducir la posibilidad del envío de cartas a todo el mundo al regular el sistema de correspondencia internacional. Según Naciones Unidas, el propósito de conmemorar esta fecha es generar conciencia acerca de la importancia del servicio postal en la vida diaria de las personas y de los negocios, así como para el desarrollo de los países; un rol que hoy ocupa en mayor medida el correo en formato electrónico.

Tomando como punto de partida la importancia que ha tenido el correo para el desarrollo de los países y el rol clave que ocupa en esta misma línea el correo electrónico, realizamos una encuesta a nuestra comunidad de usuarios para saber cómo utilizan este servicio desde la perspectiva de la seguridad.

Un dato interesante que arrojó la encuesta es que el 53% de los usuarios dijo utilizar una cuenta de correo exclusivamente para suscribirse a sitios y servicios, lo cual resulta útil para evitar recibir spam en la cuenta de correo principal. Otra alternativa posible a esta estrategia para proteger tu dirección de correo es mediante el uso de direcciones de correo electrónico temporales.

Por otra parte, más del 60% manifestó que utiliza su dirección de correo principal para ingresar a la mitad de los otros servicios online que utiliza y 1 de cada 5 usuarios aseguró que utiliza la misma contraseña de su cuenta de correo para servicios como Twitter, Facebook, LinkedIn Instagram o Netflix, entre otros. La reutilización de contraseñas es una práctica no recomendada porque atenta contra la seguridad de los usuarios, ya que con frecuencia vemos que populares servicios resultan víctimas de incidentes que derivan en filtraciones de cuentas y contraseñas de los usuarios, las cuales luego pueden caer en manos de cibercriminales que las utilizan para realizar ataques de credential stuffing o para comercializarlas en el mercado negro. De hecho, existen servicios que permiten a un usuario averiguar si la contraseña que utilizan fue filtrada en alguna brecha.

Otro dato que aportó la encuesta es que el 44% de los encuestados aseguró haber sufrido un incidente de seguridad a través del correo electrónico. De este porcentaje, un 40% sufrió un incidente al hacer clic en un enlace que luego redireccionaba a un sitio infectado, mientras que un 23% se infectó por abrir un archivo adjunto malicioso y un 27% por caer en un engaño a partir de un correo que suplantaba la identidad de una empresa o servicio legítimo.

En cuanto al phishing, un mecanismo utilizado por los cibercriminales que tiene varias décadas pero que sigue aún vigente dada la efectividad que tiene para los atacantes, según los usuarios encuestados el 58% de los correos de phishing que reciben suplantan la identidad de sitios de compras online, mientras que en un 40% de los casos simulan ser correos de entidades bancarias y en un 30% de compañías de viaje.

Como hemos visto en reiteradas ocasiones, el correo electrónico como vector de propagación de amenazas informáticas no es una novedad. Por eso la importancia de aprovechar fechas como esta para informar acerca de los riesgos de seguridad que existen alrededor de una herramienta clave para la sociedad moderna como es el correo electrónico y aprender a hacer un uso más seguro de la misma para evitar dolores de cabeza. A continuación, compartimos una infografía que elaboramos a partir de los datos que dejó la encuesta.

Fuente: www.welivesecurity.com

WhatsApp tiene más de 1.500 millones de usuarios a nivel global.

El WhatsApp instalado en celulares Android tiene un error grave: una puerta abierta a que cualquier hacker se haga con el control del teléfono.

Así lo alertó esta semana el Instituto Nacional de Ciberseguridad (INCIBE) español en un comunicado, en el que menciona que la vulnerabilidad se esconde en imágenes con extensión GIF «manipuladas de forma maliciosa» que llegan o son utilizadas en la aplicación.

Estos gif o imágenes en movimiento instalan un código malicioso con el que el atacante podría conseguir tener acceso a información personal de la víctima.

El hacker, avisa el organismo, podría incluso ejecutar funcionalidades como grabar video o audio, leer nuestros mensajes o robar archivos de nuestro celular.

El fallo fue descubierto por un analista de seguridad conocido como Awakened que demostró en su blog cómo funcionaba el error.

«El fallo de seguridad funciona bien para Android 8.1 y 9.0, pero no funciona para Android 8.0 o sus versiones inferiores», dijo.

Cómo solucionarlo

Se recomienda actualizar la aplicación a versiones posteriores a la 2.19.244.

Para ello, accede a través de Play Store o la página oficial de WhatsApp, para descargar la última versión disponible.

1.- Desde la app de Play Store, busca la aplicación ya instalada y a continuación, pulsa sobre el botón «Actualizar».

Esta es la opción más sencilla.

Así se actualiza la app desde la tienda de Google.

2.- Desde la web, debes acceder a la opción «Descargar» que encontrarás en el menú principal de la página web.

Una vez allí selecciona tu dispositivo, en este caso Android.

A continuación, pulsa en el botón «Descargar Ahora» y ejecuta el archivo .apk, para iniciar la instalación.

Whatsapp también se puede actualizar desde la web.

Facebook, propietario de WhatsApp desde 2016, contestó en una nota que «no tenemos razones para creer que usuarios fueron afectados por este fallo. Siempre estamos trabajando en mejores formas para ofrecer actualizaciones de seguridad».

La red social ha lanzado un parche de seguridad que soluciona el error.

A pesar de que los mensajes en WhatsApp están cifrados de extremo a extremo, lo que significa que solo deben aparecer en el dispositivo del remitente o del destinatario, la app sigue siendo vulnerable.

Por eso es buena idea mantenerse al día con todas las actualizaciones de la aplicación, ya que a menudo incluyen ajustes de seguridad, recomiendan los expertos.

Fuente: www.bbc.com

La plataforma de billetera móvil BIMO empezó a funcionar el jueves 3 de octubre del 2019. Se trata de una herramienta con la que se puede utilizar servicios bancarios desde el celular. En el 2017, la banca privada se comprometió con el Gobierno a implementar esta aplicación para reemplazar al dinero electrónico que desde el 2014 había puesto en marcha el Banco Central. La meta de la billetera móvil es reducir el uso de efectivo en el país y contribuir a incrementar los niveles de bancarización. Si le interesa usar esta herramienta, estas son las 10 cosas que debe saber:

Descarga

La billetera móvil, operada por BanRed, está disponible para los sistemas Android y iOS (Iphone) y permitirá a las personas hacer pagos las 24 horas del día a través de su celular.

Cuentas

Cada persona natural puede tener hasta dos cuentas activas BIMO con dos números celulares diferentes. Es decir, por cada número de cédula se podrán registrar dos cuentas de BIMO.

Entidades

En total 29 entidades forman parte de la plataforma. De ellas, 16 son bancos y el resto son cooperativas y redes de cooperativas.

Tarifas

La Junta de Política y Regulación Monetaria determinó que la tarifa para el envío de dinero de una cuenta a otra sea de USD 0,09 más IVA, el valor lo paga quien realiza el envío, no quien lo recibe. En total, pagará USD 0,10. El retiro en cajero automático está establecido en USD 0,45 más IVA, para desincentivar el uso de dinero físico.

Uso

Una vez que se descargue la plataforma, necesitará registrar su número de celular, datos personales, correo electrónico y crear una contraseña de seis dígitos. Tiene la opción de generar una cuenta nueva en la entidad que prefiera o vincular su cuenta bancaria de ahorros o corriente que ya esté funcionando al sistema BIMO. La aplicación solo está disponible para personas naturales, no jurídicas.

Movimientos

Se pueden realizar pagos y cobros desde USD 1 hasta USD 50 por cada transacción y retiros de efectivo desde USD 10 hasta USD 100. Recuerde que el cupo diario máximo por pagos, cobros y retiros es de USD 100. El cupo máximo mensual de movimientos es de USD 300.

Tiempos

Si recibe una solicitud de cobro en su cuenta tiene 24 horas para aprobar o rechazar la solicitud, una vez transcurrido este tiempo, la solicitud de cobro se anula. Si quiere hacer un retiro en cajero, recibirá un código que tiene ocho horas de duración para poder usarlo.

Limitaciones

La herramienta solo puede usarse en teléfonos inteligentes y con acceso a Internet. El registro no se puede hacer 100% en línea, pues se requiere que el usuario valide el registro llamando por teléfono o acercándose a las oficinas del banco o cooperativa.

Ayuda

En caso de fallas o inconvenientes con el sistema, robos de celular y otros percances, las personas se pueden comunicar al 1 800 BIMO24, que es un call center operado por Banred. También puede dirigirse a los canales electrónicos como www.bimo.ec y las redes sociales de la plataforma en Facebook, Instagram y Twitter.

Seguridad

Cree una clave que le resulte fácil de recordar, pero no la apunte en papeles ni la comparta con terceros. Evite utilizar datos como su fecha de cumpleaños o combinaciones sencillas como “1234”. Se recomienda alternar letras, números y caracteres y memorícelos.
Fuente: www.elcomercio.com

En esta oportunidad, analizaremos la dinámica maliciosa presente en una campaña detectada recientemente en Latinoamérica por los laboratorios de ESET (presente a nivel mundial desde hace ya un tiempo), que será utilizada como ejemplo para explicar cómo funcionan las amenazas distribuidas en distintas etapas. En este caso en particular, el objetivo principal de la misma es infectar con un ransomware el sistema de sus víctimas, y además hacer uso del mismo para el minado de criptomonedas. A partir del análisis de la campaña descubrimos algunos aspectos interesantes que compartimos a continuación.

Estructura de la campaña 

Esta campaña está compuesta por dos malware con finalidades muy marcadas: un downloader y un ransomware.

• JS/TrojanDownloader.Nemucod.EGZ: script malicioso programado en javascript, este troyano se encarga de descargar y ejecutar otro malware. Cabe destacar que Nemucod es una familia que al menos desde el 2015 viene siendo utilizada para propagar diferentes tipos de malware.
• Win32/Kryptik.GJFG: también conocido como Troldesh, se trata de un ransomware para sistemas Windows de 32bits, encargado de cifrar los archivos del usuario, pedir un rescate a cambio de ellos y minar criptomonedas simultáneamente.

Dinámica de la campaña

Mediante técnicas de ingeniería social combinadas con el envío de spam, los operadores detrás de esta campaña buscan que la víctima ejecute el código javascript. Una vez ejecutado, el script descargará y lanzará el ransomware, que posteriormente realizará su actividad maliciosa. Por lo tanto, el proceso de infección está conformado por esos dos pasos bien definidos.

Al buscar información sobre estas amenazas encontramos algunos de los sitios web desde los cuales se intenta descargar el ransomware y corroboramos que la estructura de la mayoría de estas URLs es similar a la de los sitios detectados durante el análisis de la muestra maliciosa:

• http://xxxxxmedia.nl/wp-content/themes/startright/css/font-awesome/1c.jpg
• http://xxxkans.dk/blogs/media/1c.jpg
• http://www.xxxtan.at/templates/siteground-j15-55/admin/1c.jpg
• https://f.xxxke99.website/wp-content/cache/1c.jpg
• https://xxxxertech.hu/templates/szibertech012/images/1c.jpg
• http://xxxion.nl/ag2017/1c.jpg
• http://xxxdmin.convshop.com/Application/Runtime/Cache/Home/1c.jpg
• http://www.xxxion.nl/wp-content/themes/dt-the7/css/compatibility/woo-fonts/1c.jpg
• http://xxxxximerden.de/wp-content/themes/dreamy/loop/1c.jpg
• http://www.xxxlas.sk/wp-content/themes/Corsa/fonts/1c.jpg
• https://xxxsa.cl/wp-content/themes/my-religion/cmsmasters-c-c/filters/1c.jpg
• http://xxxxxxeducations.org/wp-content/themes/poseidon/css/genericons/1c.jpg

Un factor común entre todas las URLs es que el objeto apuntado se llama 1c.jpg. Lo interesante de esto es el formato con el cual se almacenó el ransomware, ya que en lugar de ser un .exe, fue guardado como .jpg. Esto, en consistencia con las carpetas donde se lo aloja, es una clara estrategia por parte de los operadores detrás de esta campaña para que este archivo pase desapercibido a los ojos de los administradores de los sitios comprometidos y, a su vez, también puede servir para evadir otros controles de seguridad, ya que los archivos .exe suelen ser sospechosos.

Al analizar el contenido de los sitios puede apreciarse que estos no son maliciosos, sino que son sitios legítimos que fueron comprometidos. También puede observarse que todos ellos fueron desarrollados utilizando algún CMS, siendo WordPress el más utilizado. Tiene sentido que se apunte a comprometer este tipo de sitios ya que los CMS no siempre son actualizados por sus administradores y, al ser estos sometidos a muchos análisis de vulnerabilidades dado su uso masivo, suelen existir muchos exploits disponibles para versiones antiguas de los mismos. A partir de esto puede llegarse a la conclusión de que los cibercriminales detrás de esta amenaza están apuntando a comprometer sitios web legítimos con el fin de alojar allí su ransomware y utilizarlos como una pieza más en la mecánica de sus campañas maliciosas.

Imagen 1: esquema de la dinámica general de la amenaza analizada

Con el fin de comprender en mayor profundidad los detalles y comportamientos de los códigos maliciosos involucrados en esta campaña (Nemucod y Troldesh), a continuación se presentará un análisis particular para cada una de ellas.

Análisis del downloader Nemucod (variante EGZ)

Como se explicó anteriormente, este downloader está escrito en javascript y su objetivo es descargar y ejecutar otro malware, en este caso, el ransomware Troldesh. Por lo tanto, dado que nuestro interés es conocer cómo se realiza dicha actividad maliciosa, será necesario analizar el código de la misma.

Al abrir el archivo .js se observa un código difícil de leer, con strings codificadas en números hexadecimales, strings partidas almacenadas en múltiples variables y funciones que únicamente devuelven un string y tienen código inútil para confundir, en otras cosas.

Imagen 2: Código javascript levemente ofuscado

Si bien el código no se encuentra muy ofuscado, es necesario reacomodarlo un poco para facilitar su comprensión y pasar a formato ASCII todos los strings del mismo, ya que estos revelan información sobre su comportamiento. Por ejemplo, algunas de las strings encontradas que resultan importantes para el análisis son: “Scripting.FileSystemObject”, “SaveToFile”, “Write”, “cmd.exe /c”, “Wscript.Shell”, “run”.

Una vez teniendo el código en un formato más legible encontramos lo siguiente:

Nemucod comienza enviando un request HTML con un GET a la URL donde se encuentra alojado el ransomware con el fin de descargarlo. Como puede observarse en la imagen a continuación, en caso de que esta descarga fallara por algún motivo, el código cuenta con una URL de respaldo desde la cual intentará descargarlo:

Un detalle interesante es que el ransomware que se intenta descargar está alojado en los servidores comprometidos en formato .jpg, es decir, su descarga pasará desapercibida como si fuese un GET a un recurso ordinario.

Luego de que el request es respondido y se recibe el ransomware, el mismo se encuentra alojado en la memoria. Por lo tanto, el siguiente paso que realiza Nemucod es escribirlo en el sistema de la víctima mediante las siguientes instrucciones:

Aquí puede observarse que la primera acción que realiza es verificar si efectivamente el resultado del GET fue exitoso. Luego, el resto de la función se encarga de escribir el contenido recibido en un archivo. Algunas instrucciones particularmente importantes en esta función son:

Estas escriben el contenido recibido en el GET (“ResponseBody”) en un archivo que tendrá el nombre y ruta pasado como parámetro en “y1”. En este punto se cambia el formato de .jpg a .exe para que este pueda ser ejecutado fácilmente.

En este punto, Nemucod logró descargar el ransomware y escribirlo en el sistema de la víctima, por lo cual solo resta un paso: ejecutarlo. Para realizar esto utiliza el siguiente código:

Una parte fundamental de este malware es el componente ActiveXObject, el cual permite ejecutar diferentes aplicaciones en el sistema que está ejecutando el código javascript. En este caso, se lo utiliza para obtener una Shell de WScript, la cual permite ejecutar comandos directamente en el sistema. Como se puede observar en la segunda línea de la Imagen 7, se ejecuta en la Shell un comando que abre cmd.exe y hace que este ejecute el ransomware escrito previamente en la ruta contenida en la variable “y1”.

A partir de este punto el script finaliza y el ransomware comienza a ejecutar.

Es importante destacar que en todos los navegadores modernos ActiveXObject se encuentra deshabilitado por defecto dado su gran potencial malicioso. Esto quiere decir que Nemucod solo será efectivo en navegadores muy desactualizados o con parámetros de seguridad mal configurados.

Por último, hay que tener en cuenta que la muestra analizada solo contenía dos URLs desde las cuales descargaba el ransomware; sin embargo, tal como vimos al principio de este artículo, otros análisis han detectado este  ransomware alojado en al menos diez servidores más. Por lo tanto, es altamente probable que existan otras variantes de este mismo downloader que descarguen el ransomware desde las otras URLs que mencionamos anteriormente.

Análisis del ransomware Troldesh (variante detectada como Win32/Kryptik.GJFG)

Al tratarse de un ransomware, este código malicioso tiene como finalidad cifrar todos o gran parte de los archivos del sistema infectado y luego pedir un rescate a cambio de descifrarlos.

Imagen 3: fondo de pantalla de sistema infectado por el ransomware Win32/Kryptik.GJFG en el que se despliega el mensaje del atacante

Como se puede observar en la imagen, luego de cifrar los archivos en el equipo de la víctima, este ransomware cambia el fondo de pantalla y le indica al usuario que lea las instrucciones que debe seguir para recuperarlos, las cuales se encuentran en los archivos README.txt.

Como se puede apreciar en la imagen que sigue, las instrucciones que debe seguir la víctima están en ruso y en inglés:

Imagen 4: Contenido del archivo README.txt que contiene instrucciones que debe seguir la víctima del ransomware

Este mensaje contiene tres detalles interesantes: el primero es que le indica al usuario que envíe un código, el cual supuestamente es utilizado por el atacante para identificar a la víctima. El segundo es que no se pide directamente un rescate en bitcoins u otra criptomoneda, sino que se pide que el usuario se identifique a sí mismo mediante el código para poder recibir las instrucciones de rescate. El tercero es que, en caso de que la comunicación vía email fallara, se provee un método de respaldo para poder comunicarse con el atacante a través de un sitio web en la red Tor:

Imagen 5: sitio web Tor utilizado como un medio de comunicación de respaldo entre la víctima y el atacante

Es posible que la intención detrás de esta dinámica sea que el atacante tenga tiempo para analizar quien es la víctima y ajustar el monto del rescate en base a esto, cobrando mayores montos a empresas u organizaciones.

Análisis técnico de Troldesh

A continuación, se describen algunos aspectos interesantes sobre el comportamiento o las características de este ransomware.

Análisis del ejecutable 

Al analizar el ejecutable con diversas herramientas puede advertirse que el mismo fue compilado con Microsoft Visual C++ y que utiliza la API isDebuggerPresent para establecer mecanismos de protección anti debugging con el fin de dificultar su análisis. Sin embargo, no cuenta con protección anti-VM. También puede advertirse que está firmado con un certificado digital gratuito, con el objetivo de intentar esquivar controles de seguridad dando la impresión de que es un ejecutable confiable.

Las bibliotecas que importa son:

• KERNEL32.dll
• USER32.dll
• GDI32.dll
• ADVAPI32.dll
• SHLWAPI.dll

En este punto el código malicioso presenta una particularidad, ya que dentro de los recursos del ejecutable está presente una biblioteca llamada madExcept, la cual sirve para capturar excepciones y, cuando estas ocurren, permite al usuario enviar reportes de error con información sobre las mismas al desarrollador. Por lo tanto, es muy probable que esté utilizando esta biblioteca para capturar excepciones producidas por incompatibilidades de dependencias o versiones y, en lugar de que el usuario vea estas excepciones, ocultarlas para pasar desapercibido.

Cómo logra la persistencia

El mecanismo utilizado para lograr la persistencia en el sistema no es particularmente sofisticado y consta de dos pasos:

1. Copiarse a sí mismo a la dirección: “C:\ProgramData\Windows\” con el nombre csrss.exe
2. Agregar una entrada al registro para que su copia se ejecute al iniciar el sistema: “HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem” con el valor: “C:\ProgramData\Windows\csrss.exe“

Actividades en el registro

Se lee el contenido de muchas entradas, especialmente las relacionadas a configuración de red del sistema operativo. Por otro lado, algunas de las entradas modificadas más interesantes son las siguientes:

• HKCU\Software\Classes\VirtualStore\MACHINE\SOFTWARE\System32\Configuration\xi

Donde el malware escribe el código hexadecimal de 20 caracteres que el atacante le pide al usuario para que se identifique.

• HKCU\Software\Classes\VirtualStore\MACHINE\SOFTWARE\System32\Configuration\xpk

Donde el malware escribe la clave pública RSA con la cual cifró los datos del sistema infectado. Esto es consistente con el mensaje encontrado en el sitio web Tor, tal como se puede observar en la siguiente imagen, donde se advierte al usuario que sus datos fueron cifrados con RSA-3072 y que la única forma de descifrarlos es con la clave privada que solo el atacante posee:

Imagen 6: explicación del atacante sobre el método utilizado para cifrar los archivos

• HKCU\Control Panel\Desktop\Wallpaper

Aquí se escribe la ruta a la imagen que el malware escribe en el sistema y que posteriormente configura como fondo de pantalla: C:\Users\userName\AppData\Roaming\B06A677FB06A677F.bmp

Actividades de red

Minado de criptomonedas

Al analizar el tráfico de red generado por este malware descubrimos un paquete sin cifrar cuyo contenido tenía una estructura consistente con Stratum Mining Protocol, un protocolo para realizar pooled mining de criptomonedas. Este paquete era parte de una comunicación con la ip 172.65.200.16, la cual es reconocida como una ip relacionada a estas actividades y está presente en algunas blacklists.

Conexiones Tor

La mayoría de sus comunicaciones son realizadas a través de la red Tor y las mismas son cifradas utilizando TLSv1.2. Las direcciones IP a las que se conecta son consistentes con consultas DNS realizadas y, al buscar información sobre ellas, pudimos observar que efectivamente se trata de nodos de la red Tor y que algunas están relacionadas a actividades maliciosas.

Siguiendo este análisis, también observamos que se escriben los siguientes archivos:

• C:\Users\userName\AppData\Local\Temp\6893A5D897\cached-certs.tmp
• C:\Users\userName\AppData\Local\Temp\6893A5D897\cached-microdescs-concensus.tmp
• C:\Users\userName\AppData\Local\Temp\6893A5D897\cached-microdescs.tmp
• C:\Users\userName\AppData\Local\Temp\6893A5D897\cached-microdescs.new
• C:\Users\userName\AppData\Local\Temp\6893A5D897\state.tmp

Estos son archivos de cache de Tor, utilizados para acelerar operaciones de conexión y otras configuraciones y los mismos revelan que la versión de Tor utilizada por este ransomware es la 0.2.5.10.

Requests HTTP

Se realizan dos request HTTP GET a los siguientes sitios:

• whatsmyip.net
• whatismyipaddress.com

Estos son sitios legítimos que proveen un servicio que permite al usuario conocer su IP pública, por lo que este dato podría resultar de interés para el atacante o para el desarrollo de las funciones maliciosas del ransomware, por ejemplo, para geolocalizar el ataque y así saber qué tan fuerte es la moneda del país de la víctima y cobrar un rescate acorde a ello.

Indicadores de compromiso (IoCs)

Técnicas de MITRE ATT&CK

JS/TrojanDownloader.Nemucod.EGZ

Win32/Kryptik.GJFG

Fuente: www.welivesecurity.com

En los mercados ilegales, la información personal es ofertada desde USD 500. Empresas sufren robos de sus bases de datos. Foto referencial: Flickr/Christoph Scholz.

La oferta circula en Internet. ‘Hackers’ y hasta empresas legalmente constituidas ofrecen información de familias enteras. Dicen que los interesados pueden acceder a los nombres de los padres, de los hijos, cédulas, direcciones, correos electrónicos, números telefónicos, remuneración mensual y que solo necesita pagar de USD 500 a USD 1 000 al mes.

Investigaciones ejecutadas al respecto muestran que esas empresas y ‘hackers’ compran las bases de datos en el mercado ilegal, las almacenan y revenden a través de otras compañías, que también están legalmente constituidas.

En el último mes, la Fiscalía investiga dos casos, en los que hay información de millones de ecuatorianos. En el último operativo, realizado la semana pasada, se descubrió que estos archivos se ofertaban a través de suscripciones mensuales.

Quienes contrataban este “servicio” eran empresas, que accedían a información sobre el estado civil de la gente, situación sociodemográfica, árboles genealógicos, números de cédula, profesiones, información laboral, de actividades económicas, salarios que iban entre el 2016 y el 2019.

Para Diego Yépez, gerente de Seguridad y Data Center de CenturyLink, estos datos pueden obtenerse por dos vías.

La primera es legal y consiste en recopilar información que se encuentra almacenada en la base de cualquier institución pública. Por ejemplo, en la Red se puede consultar valores sobre los tributos. Lo único que exige el sitio web es el número de cédula, RUC o nombres de la persona.

Pero la gente también entrega información cuando llena formularios, por ejemplo, para sorteos, cuando publican sus datos en redes sociales o al divulgar sus hojas de vida. Pero las bases también son robadas a través de virus informáticos o la información es comprada ilegalmente. De hecho, los archivos personales descubiertos en el último operativo “evidencian que el origen no es legal”. Esto fue confirmado por un investigador que lleva la causa.

La Agencia de Regulación y Control de las Telecomunicaciones monitorea estos casos.

La semana pasada, la entidad presentó una denuncia en la Fiscalía, para que se investigue a un grupo de “empresas que estarían usando de forma ilegal indicadores personales”.

La transacción web

La compra-venta de las bases de datos se concreta en la denominada Web profunda o Deep Web. A ese espacio solo pueden acceder quienes tienen un cierto grado de especialización en informática. Las transacciones son, por lo general, a través de monedas electrónicas como bitcoins, que por su naturaleza digital son difíciles de rastrear.

Después de concretada la compra, para que la información no pierda vigencia, pues muchos se cambian de casas, adquieren nuevos carros o se divorcian, las firmas pagan por las actualizaciones mensuales.

Quienes están detrás de las actualizaciones son las mismas personas que tienen acceso a las bases de datos de una empresa privada o institución pública de donde se originó la información personal. Este Diario conoció dos casos de empresas que sufrieron el robo de sus bases. Los directivos contaron que las fugas fueron internas. En una compañía, por ejemplo, un empleado se sustrajo la información de la cartera de clientes.

Sin embargo, los directivos no denunciaron. “Eso era más perjudicial. Significa que uno dice: miren nos robaron, porque no pudimos cuidar”, cuenta una ejecutiva. Para evitar este tipo de hechos, el Ministerio de Telecomunicaciones presentó la Ley de Protección de Datos. Las personas que prefieren no pagar mensualmente por los datos, sino tenerlos de forma íntegra y permanente pagan hasta USD 30 000 por todo el paquete ofertado. Pero el robo de información personal no solo es a gran escala.

También hay personas particulares que usan los archivos de otros y los venden. Una persona que repara computadoras en su vivienda, en el norte de Guayaquil, ha logrado recopilar 20 archivos con más de 65 000 contactos. Esta base la oferta en una página de Internet por USD 50.

Dice que es un precio razonable, pero que también tiene paquetes de USD 80 y 100.

Cada carpeta contiene nombres, números de teléfonos, dirección de domicilios y correos electrónicos. “Las he recopilado de las empresas donde reparaba las computadoras. Primero las usaba para ofertar mis servicios. Enviaba correos masivos o a veces llamaba, pero he decidido venderlas”. Las personas que tiene registradas son de las provincias de Guayas, Quito, Cuenca y Santa Elena.

La mayoría son ejecutivos de seguros y funcionarios públicos. Cuando una persona está interesada en la base de datos, él cita en una cafetería o parque. Allí le entrega un ‘pendrive’ de 8GB, pues los archivos ocupan entre 4 y 5 GB. Una de sus carpetas se llama Base de Empresas Ejecutivas. Tiene contactos de personas que trabajan en empresas, en el área de recursos humanos.

En contexto

En septiembre, la firma de seguridad informática vpnMentor reveló una brecha de seguridad que expuso la información de 20 millones de ecuatorianos (incluidos fallecidos). Según su reporte, la brecha ya fue cerrada, pero esta podría haber sido copiada.

Fuente: www.elcomercio.com

La masiva filtración de datos afecta a más de 17 millones de personas.

Ecuador tiene menos de 17 millones de habitantes y, según una firma de seguridad, la mayoría de los datos personales de casi todos ellos han sido expuestos.

La compañía de seguridad informática vpnMentor aseguró en un informe que dos de sus expertos detectaron a inicios de septiembre que un servidor utilizado por una empresa de análisis de datos y que contenía información personal sobre millones de ecuatorianos no contaba con los protocolos de protección necesarios.

Y, por lo tanto, casi cualquier persona podía acceder a ellos.

El gobierno de Ecuador no confirmó de inmediato la filtración, aunque indicó que está investigando lo sucedido y recopilando información al respecto.

«Desde primeras horas de la mañana, el gobierno ecuatoriano realiza una investigación para levantar toda la información y descubrir qué ha sucedido y quiénes son los responsables», indicó una fuente oficial a BBC News Mundo.

De confirmarse de forma oficial, sería la mayor filtración en línea de información personal en la historia del país sudamericano y una de las mayores en Latinoamérica, dado el número de personas expuestas.

¿Qué se sabe de la filtración?

De acuerdo con vpnMentor, la filtración ocurrió desde un servidor en Miami que no contaba con los requisitos de seguridad establecidos y que era administrado por Novaestrat, una empresa ecuatoriana de marketing y análisis.

Se trata de 18 GB de datos distribuidos en una variedad de archivos y que incluía nombres, información financiera y datos civiles de hasta 20 millones de personas.

La filtración comprometió la información personal de millones de personas en Ecuador.

«La filtración abarca una gran cantidad de información personal confidencial (…) La mayoría de los individuos afectados parecen estar ubicados en Ecuador», señala la firma en un comunicado en su página web.

Tras el comunicado de vpnMentor, el acceso al servidor fue restringido por el equipo de seguridad informática de emergencia de Ecuador.

Novaestrat no respondió de forma inmediata a las preguntas de la BBC.

¿Qué información reveló la filtración?

Además de los datos de identidad básicos, los archivos expuestos incluían:

• números oficiales de identificación del gobierno

• números de teléfono

• registros familiares

• fechas de matrimonio

• historias educativas

• registros de trabajo

El caché de información también incluía algunos registros financieros que contaban los saldos de las cuentas de los clientes de un gran banco ecuatoriano, según la firma de seguridad informática.

Mientras, los registros de impuestos, incluidos los números de identificación de ingresos oficiales de las empresas, se encontraron en otro archivo.

¿Cuán grave es la filtración?

Según vpnMentor, se trata de una falla informática «particularmente grave», dado el tipo y la cantidad de información que se reveló sobre cada individuo.

«La violación de datos implica una gran cantidad de información sensible de identificación personal a nivel individual», escribieron Noam Rotem y Ran Locar, los expertos que encontraron la falla.

El gobierno de Ecuador anunció que investiga lo sucedido.

La noticia sobre la violación de datos fue revelada en el sitio web de ZDNet, quien consideró que esa información podría ser «tan valiosa como el oro en manos de bandas criminales».

Las búsquedas simples revelaban listas de ecuatorianos ricos, sus domicilios, si tenían hijos, los autos que conducían y sus números de matrícula, indicó el portal de tecnología.

«Esto pone a las personas en riesgo de robo de identidad y fraude financiero. Una parte maliciosa con acceso a los datos filtrados posiblemente podría reunir suficiente información para obtener acceso a cuentas bancarias y más», consideró vpnMentor.

La empresa informática estimó además que el acceso a detalles sobre los carros puede ayudar a los delincuentes a identificar vehículos específicos y la dirección de su propietario.

«Este tipo de violación de datos podría haberse evitado con algunas medidas de seguridad básicas», consideró el portal tecnológico.

¿Cómo se descubrió?

La agencia de seguridad informática indicó que descubrió la filtración como parte de un proyecto de mapeo web a gran escala.

Los expertos de vpnMentor escanean puertos IP y luego buscan vulnerabilidades en el sistema que indiquen una base de datos abierta.

Se desconoce quién pudo obtener acceso a los datos.

Fue así como encontraron que un servidor en Miami contenía información en la nube de millones de personas.

La compañía indicó que, como parte de su práctica, tras detectar la filtración, contactaron el propietario del servidor y le informaron sobre la vulnerabilidad.

¿Aún es riesgosa la fuga?

Desafortunadamente, sí.

Según vpnMentor, una vez que los datos se han expuesto, la filtración no se puede deshacer.

Esto implica que, aunque actualmente no se puede acceder a la base de datos del servidor, la información podría estar ya en manos de partes malintencionadas.

Según el reporte, la filtración también podría tener un impacto en empresas ecuatorianas, ya que los datos filtrados incluían información sobre empleados, así como detalles sobre algunas compañías.

«Estas compañías pueden estar en riesgo de espionaje comercial y fraude. El conocimiento de los empleados de una empresa podría ayudar a los competidores u otras partes maliciosas a recopilar datos confidenciales adicionales de la empresa», indicó vpnMentor.

Fuente: www.bbc.com

Investigación de ESET devela que los operadores detrás del malware Machete siguen activos y realizando operaciones de ciberespionaje dirigidas a organismos gubernamentales de Ecuador, Colombia, Nicaragua y Venezuela.

América Latina es a menudo pasada por alto cuando se trata de amenazas persistentes y grupos cuyos blancos son seleccionados a partir de motivaciones políticas. Sin embargo, existe una operación de ciberespionaje en curso contra organizaciones de alto perfil que ha logrado mantenerse bajo el radar. El grupo detrás de estos ataques robó gigabytes de documentos confidenciales, principalmente de organismos gubernamentales. Al momento de esta publicación el grupo sigue estando muy activo, introduciendo regularmente cambios en su malware, en su infraestructura y en sus campañas de spearphishing.

ESET ha estado monitoreando una nueva versión de Machete (el conjunto de herramientas del grupo basadas en Python) vista por primera vez en abril de 2018. Si bien la funcionalidad principal del backdoor sigue siendo la misma que en versiones anteriores, se ha ampliado con nuevas características a lo largo del transcurso de un año.

Blancos de ataque

Desde finales de marzo hasta finales de mayo de 2019, los investigadores de ESET observaron que había más de 50 computadoras comprometidas que se comunicaban de manera activa con el servidor de C&C. Esto equivale a gigabytes de datos robados de manera semanal. Más de la mitad de estos equipos pertenecían a organismos gubernamentales. La mayoría de las organizaciones apuntadas por el malware Machete son de países de América Latina, como es el caso de Venezuela (75%), Ecuador (16%), Colombia (7%) y Nicaragua (2%). La distribución de este malware en estos países se puede observar en la Figura 1.

Los operadores detrás de Machete

Los operadores de Machete utilizan técnicas efectivas de spearphishing. Su larga serie de ataques, centrados en países de América Latina, les ha permitido recopilar inteligencia y perfeccionar sus tácticas a lo largo de los años. Conocen bien a sus objetivos, cómo esconderse entre las comunicaciones periódicas y qué documentos son los más valiosos para robar. Machete no solo extrae documentos de ofimática, sino también tipos de archivos especializados que son utilizados por software de sistemas de información geográfica (SIG).

El grupo Machete envía correos electrónicos muy específicos directamente a sus víctimas, y estos cambian de un blanco a otro. Estos correos electrónicos contienen un enlace o un adjunto con un archivo comprimido autoextraíble que ejecuta el malware a la vez que abre un documento que funciona como señuelo.

Para engañar a sus blancos desprevenidos, los operadores de Machete utilizan documentos reales que han robado anteriormente. ESET ha visto casos en los que documentos robados fechados con un día en particular fueron empaquetados con malware y se utilizaron el mismo día como señuelos para comprometer a nuevas víctimas.

El tipo de documentos utilizados como señuelo suelen ser enviados y recibidos legítimamente varias veces al día en las organizaciones seleccionadas como blancos. En este sentido, los atacantes aprovechan para elaborar correos electrónicos de phishing muy convincentes.

Principales características

El grupo Machete es muy activo y ha introducido varios cambios en su malware desde el lanzamiento de una nueva versión en abril de 2018. Versiones anteriores fueron descritas por Kaspersky en 2014 y por Cylance en 2017. En la Figura 3 mostramos los componentes para la nueva versión del malware Machete.

Figura 2. Componentes de Machete

La primera parte del ataque consiste en un downloader que se presenta como un archivo autoextraíble, creado con 7z SFX Builder. Una vez que el archivo es desempaquetado por el código de autoextracción, el extractor abre un archivo PDF o documento de Microsoft Office que funciona como señuelo y luego corre el downloader ejecutable del archivo. Ese ejecutable es otro archivo autoextraíble que contiene el binario del downloader (un componente py2exe) y un archivo de configuración con la URL de descarga, que se encuentra cifrada.

Todas las URL de descarga que hemos visto apuntan a Dropbox o a Google Docs. Todos los archivos descargados han sido autoextraíbles (RAR SFX) que contienen un archivo de configuración (cifrada) y los componentes del backdoor (ejecutables py2exe). Sin embargo, desde mayo de 2019, los operadores de Machete dejaron de utilizar downloaders y comenzaron a incluir el archivo señuelo y los componentes del backdoor en el mismo archivo.

Los binarios py2exe se pueden descompilar para obtener el código en Python. Además, todos los componentes (downloaders y backdoors) han sido ofuscados con pyobfuscate; algo que también se ha utilizado en versiones anteriores del malware. En la Figura 3 se puede apreciar parte de uno de estos scripts ofuscados.

Figura 3. Script ofuscado con pyobfuscate

Desde Agosto de 2018, se añadió una capa adicional de ofuscación a los componentes de Machete. Los scripts ahora contienen un bloque de texto comprimido con zlib, previa codificación en base64, que luego de ser decodificado, resulta en un script como el de la Figura 3. La primera capa de ofuscación es creada utilizando pyminifier con el parámetro -gzip.

Componentes del backdoor

El dropper de Machete es un ejecutable RAR SFX. Tres componentes py2exe son droppeados: GoogleCrash.exe, Chrome.exe y GoogleUpdate.exe. Un único archivo de configuración es droppeado (jer.dll), el cual contiene texto codificado en base64 que corresponde a strings cifradas con AES. Un esquema que resume los componentes se puede observar en la Figura 4.

Figura 4. Componentes de backdoor py2exe de Machete

GoogleCrash.exe es el componente principal del malware. Programa la ejecución de los otros dos componentes y crea tareas en el Programador de Tareas de Windows para lograr persistencia.

El componente Chrome.exe es responsable de recopilar datos de la computadora comprometida y tiene la capacidad de:

• Realizar capturas de pantalla
• Registrar las pulsaciones del teclado
• Acceder al portapapeles
• Cifrar en AES y exfiltrar documentos
• Detectar nuevas unidades insertadas y copiar archivos
• Ejecutar otros binarios descargados del servidor C&C
• Obtener archivos específicos del sistema
• Obtener datos de perfil de usuario de varios navegadores
• Recopilar la geolocalización de las víctimas e información sobre redes Wi-Fi cercanas
• Realizar exfiltración física en unidades extraíbles

Los operadores de Machete están interesados ​​en obtener de los equipos comprometidos determinados tipos de archivos. En este sentido, además de documentos de Microsoft Office, se buscan en las diferentes unidades los siguientes tipos de archivos:

• Archivos de backup
• Archivos de base de datos
• Claves criptográficas (PGP)
• Documentos de OpenOffice
• Imágenes vectoriales
• Archivos para sistemas de información geográfica

Con respecto a la geolocalización de las víctimas, Chrome.exe recopila datos sobre redes Wi-Fi cercanas y las envía a la API del Servicio de ubicación de Mozilla. En resumen, esta aplicación proporciona coordenadas de geolocalización cuando le son proporcionadas otras fuentes de datos, tales como beacons Bluetooth, antenas de telefonía celular o puntos de acceso Wi-Fi. Luego, el malware toma coordenadas de latitud y longitud para construir una URL de Google Maps. Parte del código se puede observar en la Figura 5.

Figura 5: Código para geolocalización

La ventaja de utilizar el Servicio de ubicación de Mozilla es que permite la geolocalización sin un GPS real y puede ser más preciso que otros métodos. En este sentido, si bien se puede utilizar una dirección IP para obtener una ubicación aproximada, la misma no es tan precisa. Por otro lado, si hay datos disponibles para el área, el Servicio de ubicación de Mozilla puede proporcionar información como, por ejemplo, en qué edificio se encuentra el blanco.

El componente GoogleUpdate.exe es responsable de comunicarse con el servidor de C&C remoto. La configuración para establecer la conexión se lee del archivo jer.dll: nombre de dominio, nombre de usuario y contraseña. El principal medio de comunicación para Machete es a través de FTP, aunque la comunicación HTTP se implementó como alternativa en 2019.

Este componente carga archivos cifrados a diferentes subdirectorios en el servidor de C&C, pero también recupera archivos específicos que los operadores de Machete han puesto en el servidor. De esta manera, el malware puede actualizar tanto su configuración, sus archivos binarios maliciosos y sus listados de archivos, pero también puede descargar y ejecutar otros binarios.

Conclusión

El grupo Machete está operando con más fuerza que nunca, incluso después de que los investigadores hayan publicado descripciones técnicas e indicadores de compromiso para este malware. ESET ha estado siguiendo esta amenaza durante meses y ha observado varios cambios, a veces en semanas.

Al momento de esta publicación, el último cambio que se introdujo en el malware son seis componentes del backdoor, que ya no son ejecutables py2exe. En este caso se trata de scripts de Python ofuscados, un ejecutable original de Python 2.7 y todas las librerías utilizadas, que son empaquetadas en un archivo autoextraíble.

Varios artefactos que hemos visto en el código de Machete y la infraestructura subyacente nos llevan a pensar que se trata de un grupo de habla hispana. Asimismo, la presencia de código para exfiltrar datos a unidades extraíbles cuando hay acceso físico a una computadora comprometida podría indicar que los operadores de Machete están presentes en alguno de los países blanco de sus ataques, aunque no podemos estar seguros de esta afirmación.

Por otra parte, añadir que ESET detecta esta amenaza como una variante de Python/Machete.

Fuente: www.welivesecurity.com