Evolución del malware en 2013 – Del Ramsonware al malware mobile

0

En nuestra primera entrada dedicada a resumir la evolución de amenazas de malware en este año 2013, hemos tratado diversos temas importantes, como el de las APT o Amenazas Persistentes Avanzadas: Octubre Rojo, MiniDuke, etc.

Hoy vamos a continuar con los siguientes apartados del mundo de las amenazas: Ransomware, amenazas móviles y ataques Watering Hole.

4. Ransomware

Los métodos usados por los cibercriminales para conseguir dinero de sus víctimas no son siempre silenciosos u ocultos. El Ransomware se refiere a programas que operan como una especie de ataque DDoS (Denegación de Servicio) pero a nivel local, en nuestro ordenador. Bloquean el acceso al sistema de archivos o cifran los datos del usuario, de tal forma que quedan “secuestrados” hasta que se efectúa un pago solicitado.

El modus operandi varía. En áreas donde el nivel de piratería es elevado, por ejemplo, los troyanos asociados al Ransomware afirman haber encontrado software sin licenciar legalmente en el PC de la víctima, y demandan un pago para restablecer el acceso a su computador. En cualquier caso, siempre se muestran pop-ups o ventanas emergentes donde se muestra simbología relacionada con los cuerpos de Policía o fuerzas de seguridad, denunciando haber encontrado software ilegal o pornografía en los ordenadores, demandando el pago de una multa.

Muestra de Ransomware funcionando en España

En otros casos, ni siquiera hay un subterfugio o excusa, como ocurre con Cryptolocker. Símplemente, el malware cifra y bloquea todo el contenido de nuestro disco duro, para después recordarnos que si queremos recuperarlo deberemos efectuar un pago. En este caso concreto, además, tendremos un plazo determinado antes de perder nuestros datos apra siempre. Cryptolocker es el más reciente malware de este tipo, como comentamos el mes pasado.

Cryptolocker  descarga una clave RSA pública desde su Servidor de Comando y Control (C2). Se crea una única clave para cada nueva víctima y solo los autores del malware poseen las claves de descifrado. Para conectarse al C2, Cryptolocker  emplea un algoritmo de generación de dominios que produce 1000 candidatos de nombre de dominio único por día. Los cibercriminales sólo ofrecen a las víctimas 3 días para reaccionar y efectuar el pago. Para reforzar su mensaje instalan un fondo de pantalla que nos avisa del tiempo restante y de las consecuencias de no atender la solicitud. Aceptan diferentes formas de pago, incluyendo Bitcoin. Los países más afectados son Reino Unido y EEUU, seguidos de India, Canadá y Australia.

En este caso no existe una gran dificultad para eliminar el malware del PC, incluso reconstruyendo el sistema de archivos del ordenador infectado, pero los datos podrían perderse para siempre en el proceso. A veces se ha conseguido liberar los datos secuestrados. Pero esto no siempre es posible, si se ha empleado una protección de cifrado muy fuerte, como ocurre con ciertas variantes de Gpcode. Por eso se hace indispensable contar con un sistema de Backups o Copias de seguridad periódicas.

Evolución del ransomware durante el último año

Cryptolocker no ha sido la única muestra de malware de este tipo aparecida en 2013. En Junio vimos aparecer una app para Android llamada “Free calls  Update” -un falso programa antimalware diseñado para asustar a las víctimas, alertándoles de un supuesto software malicioso encontrado en el dispositivo y pidiendo dinero para desinfectarlo, lo que llamamos un Scam. Cuando se instala esta app, lo primero que procura es conseguir privilegios de administrador. De esta forma desactiva conexiones 3G y Wifi, además de imposibilitar que el usuario desinstale la aplicación. El archivo APK instalador se elimina automáticamente después, para evitar ser descubierto por algún software de seguridad existente en el sistema.

La app pretende haber encontrado malware en el equipo y muestra continuas ventanas emergentes con el método de pago para solucionar el problema. Mientras la aplicación maliciosa, supuestamente, está realizando un escaneo del sistema, muestra un aviso que indica que el malware está intentando robar contenido pornográfico existente en el equipo. Este método ha sido usado anteriormente por malware similar, ya que genera un sentimiento “de culpa” (podríamos decir) ya que, aunque el usuario no haya descargado contenido pornográfico en su terminal, a nadie le gustaría que se publiquen ese tipo de actividades tan íntimas y personales.

5. Malware Móvil e inseguridad en las tiendas de App

El crecimiento explosivo de malware móvil que empezó allá por 2011 ha continuado este año. Ahora existen más de 148427 muestras de malware en 777 familias. La mayoría de ella, como en fechas recientes, están enfocadas en Android (98,05%). No hay espacio para la sorpresa aquí. La plataforma Android es la que mejor cumple los objetivos de los cibercriminales: es ampliamente usada, es fácil desarrollar en ella y, por último, los usuarios de esta plataforma tienen la opción de descargar programas (incluyendo malware) de donde quiera que sea en la red. Este último factor es clave: los hackers tienen la opción de sabotear las descargas de aplicaciones desde Google Play, desde otros marketplace (terceros) o desde otras webs dedicadas a ello. Esto posibilita que los delincuentes puedan crear sus propias webs fraudulentas y “vestirlas” de tiendas oficiales y webs especializadas. Como véis, el caldo de cultivo es perfecto, así que no se espera que el fenómeno pierda fuerza, más bien al contrario.

El malware que afecta a dispositivos móviles se asemeja mucho al que afecta a PCs y ordenadores convencionales -backdoors, troyanos y troyanos-espía-. La excepción a esto la conforman los Troyanos-SMS,categoría solo existente en smartphones.

Imagen previa del troyano ObadLa amenaza no sólo está creciendo en volumen. También lo hace en complejidad. En Junio asistimos al nacimiento del troyano “mobile” más sofisticado jamás creado, llamado Obad. Se trata de una amenaza multi-función: envía mensajes a sitios premium (cuestan mucho dinero) y descargan e instalan otros tipos de malware, empleando Bluetooth para auto-propagarse. También realiza envío de comandos a la consola del sistema de forma automática. 

Se trata de un troyano muy complejo, con un código áltamente ofuscado y que aprovecha tres vulnerabilidades existentes y no informadas previamente. Una de ellas permite al malware recibir privilegios totales de administrador (root), pero sin aparecer en la lista de sistema con estos permisos, de forma oculta. Esto hace imposible que la víctima elimine el troyano del smartphone. Obad También es capaz de bloquear la pantalla. Lo hará durante no más de 10 segundos, pero es suficiente para que el troyano se envíe a sí mismo a otros dispositivos cercanos -es una técnica diseñada para que el usuario no perciba las técnicas delictivas del troyano-.

Obad utiliza múltiples métodos para difundirse. Ya hemos mencionado Bluetooth. Además, se expande a través de una app Play Store falsa, mediante Spam o mensajes de texto redireccionados desde sitios web comprometidos. Por último, en ciertos casos es descargado al sistema mediante otro miembro de la familia de troyanos de Android: Opfake.

Los cibercriminales responsables de Obad son capaces de controlar su funcionamiento mediante cadenas de texto predefinidas contenidas en mensajes de texto. Así, el troyano puede efectuar varias acciones, incluyendo envío de SMS, hacer ping a una ubicación, operar como servidor proxy, conectar a una IP específica, descargar e instalar un archivo, enviar una lista de apps instaladas en el terminal, enviar información sobre una aplicación específica y, por último, enviar la lista de contactos del teléfono hacia el servidor que lo controla.

El troyano recopila datos del dispositivo y después los envía al C2 o servidor de Comando -incluyendo la dirección MAC del aparato, el nombre del sistema, número de IMEI, balance de facturación, hora local y cualquier otro dato que el troyano haya sido capaz de averiguar para obtener los derechos de Administrador. Todos estos datos son remitidos a la red, hacia el C2: el troyano intenta, primero, emplear la red de datos operativa en ese momento y, si no hay conexión disponible, localiza redes wifi cercanas que no requieran autenticación.

6. Ataques de tipo Watering Hole

Es posible que ya estéis familiarizados con los términos “drive-by-donwload” y spear phishing. Este tipo de ataques se basan en encontrar una web insegura o desprotegida en la que sea posible “plantar” un script malicioso en el código HTTP o PHP de una de las páginas. El script podría ser capaz de instalar directamente una muestra de malware en el PC de un visitante, o podría intentar (mediante un iFrame) redirigir a la víctima a sitio web malicioso controlado por criminales. Esto supondría una forma dirigida de ataque phishing, normalmente empleado como punto de partida de un ataque dirigido. Un email es enviado a una persona específica dentro de la organización o empresa objetivo, con la esperanza de que esa persona hará click o ejecutará un documento adjunto qu libere el código malicioso y permita al malware asentarse en la organización.

Cuando combinamos las dos aproximaciones (ataques dirigidos y spear-phishing) lo que obtenemos es un ataque tipo “watering hole“. Los atacantes estudian la situación de las personas que trabajan para la organización objetivo, así aprenden sobre sus hábitos de navegación. Después comprometen una web que es de uso frecuente para los trabajadores -preferiblemente una que sea empleada por una organización de confianza y que suponga una fuente valiosa de información-. Lo ideal para ellos es emplear un exploit zero-day. Así, cuando un empleado visite una página ubicada en dicho sitio web, será infectado con un troyano o backdoor que permita a los atacantes introducirse en la red corporativa. En definitiva: en lugar de cazar o interceptar a la víctima, el cazador queda a la espera en un sitio donde sabe que dicha víctima irá a parar (de ahí la terminología empleada, Abrevadero).

Winnti es una campaña dirigida a vulnerar desarrolladoras de videojuegos

Es un tipo de ataque que ha ofrecido grandes resultados a los ciberdelincuentes durante este año. Este año hemos tratado dos ataques de este tipo: Winnti en primer lugar y posteriormente un sitio web relacionado con la causa Tibetana, “Tibetan Homes Foundation“. En el último caso se encontraron certificados digitales empleados en el primer caso, dirigidos a instalar backdoors en simpatizantes de la causa mencionada.

Web atacada, de la Central Tibetan Administration

Esta técnica de Watering Hole volvió a ser usada en Agosto, cuando el código de la web “Central Tibetan Administration” empezó a redirigir el tráfico de visitantes de habla inglesa (exclusivamente) hacia un exploit Java que descargaba una puerta trasera, empleada como parte de un ataque dirigido.

En el próximo artículo finalizamos el recorrido anual de evolución de malware y amenazas. No os lo perdáis!

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR