NetTraveler está de vuelta con nuevos trucos

NetTraveler, amenaza que describimos en pronfundidad ya hace meses, es un APT (Advanced Persistent Threat) que infectó a miles de víctimas de alto perfil en más de 40 países. Los objetivos conocidos de NetTraveler (también conocido como “Travnet” o “Netfile“) incluyen, entre otros, a los activistas uygures/tibetanos, compañías de petróleo, centros e instituciones de investigación, universidades, empresas privadas, gobiernos e instituciones gubernamentales, embajadas y contratistas militares.

Durante la pasada semana, varios ataques tipo spear-phishing contenidos en emails fueron enviados a múltiples activistas de la etnia Uygur. Un ejemplo:

Correo relacionado con NetTraveler que contiene ataque tipo spear-phishing

Una traducción aproximada:

“El portavoz del WUC realizó la siguiente declaración sobre la masacre en la región de Karghiliq. A la atención de todo el mundo”

Contiene un enlace a una supuesta página del World Uyghur Congress. Sin embargo, el enlace real de la página nos llevará a un conocido dominio relacionado con NetTraveler, en “wetstock(punto)com”.

Aquí esté el contenido de la página enlazada desde esa url:

Applet Java que contiene la amenaza

Este simple código HTML carga y ejecuta un applet de Java llamado “new.jar” (c263b4a505d8dd11ef9d392372767633). Este applet aprovecha un exploit para CVE-2013-2465, una amenaza muy reciente para plataformas Java en versiones 5, 6 y 7. Fué corregido por Oracle en Junio de 2013. Es detectado por Kaspersky con el nombre “HEUR:Exploit.Java.CVE-2013-2465.gen”.

La carga útil del exploit es un archivo llamado “file.tmp” (15e8a1c4d5021e76f933cb1bc895b9c2), que es almacenado dentro del JAR. Este es un clásico ejemplo de backdoor dropper para NetTraveler. Kaspersky lo detecta y bloquea con el nombre “Trojan-Dropper.Win32.Dorifel.adyb”. Fué compilado en “Martes 30 de Mayo 03:24:13 de 2013” si nos fiamos de su marca de tiempo en el encabezado.

Fecha teórica de creación de la amenaza

Esta variante de NetTraveler conecta con un Centro de Comando y control situado en un servidor previamente desconocido, en “hxxp://worldmaprsh[dot]com/gzh/nettr/filetransfer[dot]asp”, alojado en la IP 198.211.18.93. Dicha IP está ubicada en los Estados Unidos en “”Multacom Corporation” y es usado en exclusiva para acoger esta amenaza.

Información del Centro de comando y control de NetTraveler

El C&C (servidor de comando y control) está activo en el momento de escribir este artículo, aceptando datos sustraídos a terceros.

En el próximo artículo trataremos otra vertiente diferente de esta amenaza.

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.