NetTraveler está de vuelta con nuevos trucos

0

NetTraveler, amenaza que describimos en pronfundidad ya hace meses, es un APT (Advanced Persistent Threat) que infectó a miles de víctimas de alto perfil en más de 40 países. Los objetivos conocidos de NetTraveler (también conocido como “Travnet” o “Netfile“) incluyen, entre otros, a los activistas uygures/tibetanos, compañías de petróleo, centros e instituciones de investigación, universidades, empresas privadas, gobiernos e instituciones gubernamentales, embajadas y contratistas militares.

Durante la pasada semana, varios ataques tipo spear-phishing contenidos en emails fueron enviados a múltiples activistas de la etnia Uygur. Un ejemplo:

Correo relacionado con NetTraveler que contiene ataque tipo spear-phishing

Una traducción aproximada:

“El portavoz del WUC realizó la siguiente declaración sobre la masacre en la región de Karghiliq. A la atención de todo el mundo”

Contiene un enlace a una supuesta página del World Uyghur Congress. Sin embargo, el enlace real de la página nos llevará a un conocido dominio relacionado con NetTraveler, en “wetstock(punto)com”.

Aquí esté el contenido de la página enlazada desde esa url:

Applet Java que contiene la amenaza

Este simple código HTML carga y ejecuta un applet de Java llamado “new.jar” (c263b4a505d8dd11ef9d392372767633). Este applet aprovecha un exploit para CVE-2013-2465, una amenaza muy reciente para plataformas Java en versiones 5, 6 y 7. Fué corregido por Oracle en Junio de 2013. Es detectado por Kaspersky con el nombre “HEUR:Exploit.Java.CVE-2013-2465.gen”.

La carga útil del exploit es un archivo llamado “file.tmp” (15e8a1c4d5021e76f933cb1bc895b9c2), que es almacenado dentro del JAR. Este es un clásico ejemplo de backdoor dropper para NetTraveler. Kaspersky lo detecta y bloquea con el nombre “Trojan-Dropper.Win32.Dorifel.adyb”. Fué compilado en “Martes 30 de Mayo 03:24:13 de 2013” si nos fiamos de su marca de tiempo en el encabezado.

Fecha teórica de creación de la amenaza

Esta variante de NetTraveler conecta con un Centro de Comando y control situado en un servidor previamente desconocido, en “hxxp://worldmaprsh[dot]com/gzh/nettr/filetransfer[dot]asp”, alojado en la IP 198.211.18.93. Dicha IP está ubicada en los Estados Unidos en “”Multacom Corporation” y es usado en exclusiva para acoger esta amenaza.

Información del Centro de comando y control de NetTraveler

El C&C (servidor de comando y control) está activo en el momento de escribir este artículo, aceptando datos sustraídos a terceros.

En el próximo artículo trataremos otra vertiente diferente de esta amenaza.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR