Cómo conseguir más “Me gustas“ en Facebook y seguidores en Twitter

Seguro que cuando has leído este titular habrás pensado que te voy a hablar de Marketing, ¿a que sí? Bueno, pues sí, vamos a hablar de marketing, pero también de seguridad, y es que muchas veces queriendo atajar en nuestras estrategias de eso tan rimbombante que ahora se llama inbound marketing podemos acabar con algún disgusto.

 Vayamos al principio… Cada vez que un profesional –o un aficionado- del Social Media gestiona cuentas de empresa tiene una única obsesión: conseguir el mayor número posible de seguidores tanto en Facebook como en Twitter, LinkedIn, SlideShare, etc. Yo le llamo el “yo la tengo más larga”, porque muchas veces es un juego de patio de colegio: “chincha-rabiña, tengo más seguidores que tú…”. Pero también es normal: cuanta más gente nos conozca y nos siga, más oportunidades tendremos de llegar a nuestro público objetivo comunicando las bondades de nuestros productos o servicios. Esa es la potencia de las redes sociales, la posibilidad que tenemos de convertirnos en un altavoz de las marcas viralizando los contenidos, comentando, amplificando, etc.

 Si visitas la página de empresa de cualquier marca en Facebook y tiene solo 40 seguidores, o bien es porque se acaba de abrir o porque se ha abandonado o porque lo que comparte no interesa absolutamente a nadie y por lo tanto no crece en seguidores. Lo mismo en Twitter y en el resto de redes sociales. Así que el secreto está en el contenido. Seguro que si te dedicas a esto o eres curioso de las estrategias online habrás oído cien mil veces aquello de “el contenido es el rey”. Y lo es: sin una adecuada estrategia de contenidos que realmente aporte valor y que interese a alguien es muy complicado llegar al público. Desde luego, el típico “vendo, vendo, vendo” acaba aburriendo a las ovejas y generando además un sentimiento negativo hacia la marca por pesada (bueno, pesad@ su community manager ;-).

Y como generar contenidos interesantes cuesta un esfuerzo mental –hay que pensarlos primero- y hasta físico –hay que hacerlos-, pues la inmensa mayoría de las marcas no generan contenidos. Simple y llanamente. Se dedican a compartir artículos de otros sitios que son de interés y que tienen que ver con su sector y con ellos alimentan las redes. Pero claro, esta estrategia no trae más fans ni más seguidores y, muchas veces, los responsables de comunidades se desesperan.

Si tengo que hacer un ranking de las preguntas más frecuentes que me han hecho en los últimos tres años, la primera, sin duda, es “¿cómo consigo más seguidores en las redes sociales?”, seguida por “¿cómo aparezco primero en Google?” (pero este es otro tema diferente).

Pues bien, hay dos formas de conseguirlos: la “legal” y “ética”, es decir, currándoselo bien, y otra más rápida y quizá no tan ética, que es la que puede suponer un peligro para todos.

Póngame cuarto y mitad de fans

Hace un mes aproximadamente, una amiga me llamaba un poco desesperada porque gestiona varias cuentas de empresas en Facebook y en Twitter y no lograba hacerlas crecer en número de fans. Y sus clientes le dan mucha importancia al numerito, sin preocuparse del engagement con su público, es decir, la interacción. Así que me preguntó cómo podía generar más seguidores, y yo le solté el mismo rollo del contenido que anteriormente. Pero claro, ni estas empresas generaban contenido ni a ella le pagaban para hacerlo, por lo que se encontraba en un punto muerto.

Me preguntó por la conveniencia de comprar fans, y le respondí que seguramente en su inmensa mayoría serían perfiles falsos que sí aumentarían el numerito, pero que a la larga sería perjudicial porque el algoritmo de Facebook penaliza en posicionamiento las publicaciones de páginas con muchos fans que interactúan poco. Y si iban a ser falsos, lo más seguro es que interactuaran (darle al “Me gusta”, compartir, etc.) lo más cercano a nada.

Pero ni corta ni perezosa, hizo una búsqueda en Google y compró fans. A un módico precio. En estas cosas, a una siempre se le erizan los pelos del cuello, porque supone que puede ser un timo bastante gordo: pagas y luego ni tienes fans ni los 25€ que te han costado el “cuarto y mitad”. Pero sí los tuvo: a los pocos minutos vio cómo sus cuentas comenzaban a registrar nuevos seguidores. Y lo más sorprendente de todo: muchos, la mayoría, eran perfiles reales de gente con historial, con tweets, que compartían cosas y hacían comentarios. Y en español, de Sudamérica, pero español al fin y al cabo.

Me preguntó cómo lo harían, y sinceramente, me costaba muchísimo imaginarme cómo una o dos o aunque fueran 10 personas pudieran mantener 1.000 perfiles dotándoles de vida. Sería para volverse loco. ¡Cuesta hasta imaginar que lo hagan los chinos! Así que –sin ser informática- le contesté que seguramente habría algún programa que automatizara la tarea, porque si lo hicieran a mano, no le hubiera costado 25 €.

Se puso a buscar, y unos días después encontró la solución en un sitio un poco dudoso: por solo 10 € podías tener el programa que generaba, de forma automática, seguidores y fans. En esta ocasión, le advertí: cuidado, que no sabes ese automatismo en qué consiste.

La última llamada fue para pedirme ayuda, porque se había infectado con un troyano y su antivirus –de otra marca diferente de ESET que no voy a mencionar- no se lo quitaba.

Los llamados sistemas social networks

El programita que había adquirido es uno de tantos sistemas similares que hay en el mercado, del cual no voy a dar el nombre, y que basa su funcionamiento en el “yo te doy, tú me das”. La verdad es que es muy sencillo, si lo piensas bien, ya que consiste en el intercambio en comunidad de me gustas o seguimientos en páginas de gente que tiene un interés común: dar mayor visibilidad a sus páginas. No voy a dar el nombre porque hay un montón (a poco que busques en “san Google” darás con ellos), pero así es como te lo venden:

sistema-social-networks-eset-nod32-antivirus

Cuesta 10 € darse de alta en el sistema, tras lo cual, recibes un Word con instrucciones para ponerte en marcha. No hace falta tener conocimientos técnicos, ya que las instrucciones son muy claritas. Lo primero que tienes que hacer es registrarte en su página. Hasta aquí, ok. Lo siguiente es instalarte Firefox si aún no lo tienes. Y en tercer lugar, instalarte una extensión de Firefox. Bueno, mucha gente tiene extensiones instaladas.

La cosa empieza a oler un poco mal cuando lees el siguiente paso: te tienes que descargar un archivo alojado en Dropbox que automatiza la tarea y que es una macro. Crear unas carpetas, copiar el archivo, etc… y dejar el navegador abierto lanzando la extensión. Que, por cierto, tiene el nombre “Bot like 2013 Jorge”… ¿os suena eso de bot?

sistema-social-networks-eset-nod32-antivirus-2

Para que el programa funcione, debes tener abierto Firefox y una cuenta de Facebook o de Twitter, que, eso sí, te recomiendan que la crees falsa porque es la que va a generar los me gustas en otros sitios. Pero como hemos dicho anteriormente, si revisas la mayoría de los perfiles, muchísimos son reales (el comentario de que hagas una cuenta nueva lo tienes al final del documento, que seguro que casi nadie se lee).

En el momento en que le das a “Ejecutar”, el programa, según su(s) autor(es), “con la ejecución del script conseguirás sumar miles de puntos que luego podrás cambiar por acciones de usuarios en diferentes redes sociales, incluso hasta puedes cambiarlos por visitas hacia tu sitio web (Website hits)”. Es decir, tú pones a disposición del resto un perfil que genera me gustas, seguimientos, visualizaciones de YouTube o visitas a web, y por cada 2 acciones que tu personaje genera, tú ganas un punto. Los puntos se acumulan y puedes canjearlos por acciones que tú quieras. De esta manera, ganan todos.

sistema-social-networks-eset-nod32-antivirus-3

¿Es oro todo lo que reluce?  

El sistema es sencillo: te ayuda a ganar números en tus redes sociales sin tener que hacer nada más que dejar instalado el programa y ejecutándose, con el navegador abierto y la sesión de Facebook también. No es nada ilegal ni ilícito en apariencia: es como si a tu grupo de amigos les pides que por favor te sigan en redes sociales (algo que hemos hecho todos en alguna ocasión). Y no por esto estamos cometiendo una ilegalidad. Esto es lo mismo, pero de forma automática, rápida y efectiva, porque puedes llegar a mucha más gente. En cuanto a si es ético o no, bueno, esa es otra discusión diferente. Desde luego, no es algo que ganes gracias a tu esfuerzo, ni como marca ni como profesional del marketing. Y aquí que cada uno juzgue a su manera.

Pero vámonos ahora al terreno de la seguridad. En realidad, si pensamos en cómo actúa, nos daremos cuenta que no es más que un programa abierto en un navegador que está esperando instrucciones que se lanzarán desde un control central. Es decir, como su nombre indica, es un bot. Y todos los usuarios que han pagado los 10 € y utilizan el programa, son parte de una red de bots o una botnet. Por recordar, un bot es un programa que convierte a un ordenador en un robot que espera instrucciones y las sigue fielmente.

Una red de bots puede tener diferentes finalidades, y no todas tienen por qué ser malas o negativas, ni mucho menos. Esto es igual que cuando decimos que ser hacker no es nada negativo en sí mismo: puedes ser un hacker y emplear tus conocimientos para finalidades buenas o malas…, todo depende de hacia qué lado te inclines. Por lo tanto, no quiero decir que este programa se esté utilizando con otras finalidades diferentes para las que ha sido concebido, pero recordemos que a mi amiga le entró un troyano en un ordenador que tenía única y exclusivamente dedicado a esta labor, sin utilizarlo para nada más.

Si pensamos mal en qué usos se le puede dar, a mí se me ocurren unos cuantos:

  • Lanzar visitas hacia una web que contiene malware, un troyano, por ejemplo. Cuando enviamos a todos los perfiles a visitar dicha web, todos esos ordenadores quedarían infectados. Por supuesto, contamos con que tienen un antivirus instalado, pero no todos los antivirus son capaces de detectar lo mismo (no olvidemos el ejemplo de mi amiga), ni siquiera lanzando análisis bajo demanda y a bajo nivel.
  • Si tienes que tener un perfil de Facebook o de Twitter abierto para ejecutar el programa, es que con ese perfil pueden hacer lo que quieran… Se me ocurre: podrían lanzar spam, o distribuir una amenaza vía mensajería interna de Facebook, o de Twitter… Y como muchos perfiles son reales, pues acabaría llegando el típico mensaje desde un remitente que forma parte de tu red de amigos. Si pincharas, te infectarías, y así sigue la bola.
  • Si ese perfil de Facebook o de Twitter es el de una empresa, el daño podría multiplicarse, al resultar dañada su reputación.
  • También se podría utilizar de alguna manera esa red de ordenadores para alquilarla a spammers…
  • Etc…

Seguro que si eres técnico, se te ocurren muchas otras aplicaciones.

En conclusión: pagamos para formar parte de una red de bots

Reducido al argumento más simplista, podría afirmar que el(los) autor(es) de este bot han descubierto un auténtico negocio. Veamos:

  • Hemos pagado 10€, que es un bajo coste, pero que multiplicado por miles de usuarios pueden suponer un dinero al mes.
  • Le hemos dado nuestros datos, porque nos hemos registrado en su portal.
  • Le damos un ordenador para que hagan con él, y con nuestro perfil en redes sociales, lo que quieran. Y si son listos, ya se encargarán de alquilar esta red de bots para otros fines, para sacarle así más rendimiento.
  • Y además, los usuarios, en su mayoría gente de marketing sin conocimientos técnicos, estamos contentos y agradecidos porque conseguimos fans o likes o seguidores o… Por lo tanto, lo recomendaremos. Porque, se me olvidó decir, que si recomiendas el programa por un link personalizado te dan 300 puntos extra que suma a tu saldo y que posteriormente puedes canjear.

Y todo ello con el halo de “buenrollito.com” y qué buena es la comunidad y las estrategias sociales.

Si te tengo que dar un consejo, te voy a dar el único que te puedo dar: cúrrate una buena estrategia en redes sociales y no hagas trampas. Cuesta más tiempo, más esfuerzo, pero recompensa y compensa mucho más a la larga. Y de paso, te evitarás correr riesgos y tener disgustos. Y dicho sea de paso: si vas a hacerlo, instala un buen antivirus de pago con un buen soporte técnico (el troyano de mi amiga se quitó con el antivirus de ESET ;-); no utilices un ordenador que tengas conectado en Red a ningún otro servicio, y haz copia de seguridad de todo antes de ponerle a hacer este trabajo… solo por si acaso.

Y como veréis, he evitado nombrar el programa o el sistema en todo el artículo. Así que ahorraros el esfuerzo de preguntarme por cualquier canal sobre esta aplicación, porque no pienso convertirme en altavoz de algo que puede ser muy peligroso, o que ya lo es. ¡Eso nunca se sabe! Espero que lo comprendáis ;-).

¡Feliz semana, trop@!

Yolanda Ruiz



Operación Windigo: infectando a los usuarios con servidores Unix secuestrados

Categorias: Botnets,Cibercrimen,Malware | | 1 Comentario » |

Si gestionas un sitio web en un servidor Linux o eres responsable de la seguridad de los servidores Unix de tu empresa, hay algo muy importante que deberías hacer ahora mismo.

Investigadores de ESET, en colaboración con CERT-Bund, la Organización Europea para la Investigación Nuclear (CERN), la Infraestructura Nacional para la Informática de Suecia y otras agencias han descubierto una operación cibercriminal muy extendida que ha tomado el control de decenas de miles de servidores Unix.

WINDIGO_SM_Picture

Si tu sistema se encuentra infectado, los expertos recomiendan que reinstales el sistema operativo y consideres todas las credenciales utilizadas para registrarte en el sistema como comprometidas. Hablando claro, si has sido víctima, todas las contraseñas y claves privadas OpenSSH deben ser cambiadas.

El ataque, que ha sido nombrado “Windigo” por la criatura mitológica del folclore de los nativos americanos Algonquinos, ha conseguido afectar alrededor de 25.000 servidores Unix, lo que ha supuesto un envío diario de 35 millones de correos spam desde las máquinas afectadas. Esto de por sí ya sería suficientemente malo.

windigo-spam

Pero en este caso, los atacantes han estado usando servidores web secuestrados para infectar aquellos PCs con Windows con malware de fraudes por clic y envío de spam, mostrando anuncios de sitios de citas a los usuarios de Mac.

Incluso los usuarios de smartphones se ven afectados, pudiendo ver cómo sus iPhones son redirigidos a contenido pornográfico con la intención por parte de los cibercriminales de ganar dinero con estas visitas.

windigo-iphone

El equipo de investigadores de ESET ha publicado un detallado análisis técnico sobre la “Operación Windigo” y creen que esta campaña de cibercrimen ha estado reuniendo fuerzas, pasando inadvertida por la comunidad dedicada a la seguridad informática por alrededor de dos años y medio.

“Cerca de 35 millones de mensajes spam se envían cada día a las cuentas de usuarios inocentes, saturando sus bandejas de entrada y poniendo sus sistemas en riesgo. Peor aun, cada día cerca de medio millón de ordenadores quedan en riesgo de infección mientras visitan sitios web que han sido infectados por malware para servidores web colocado por la Operación Windigo, redireccionando a kits de exploits maliciosos y webs de anuncios,” comenta el investigador en seguridad de ESET Marc-Étienne Léveillé.

En su intento de secuestrar servidores e infectar ordenadores, Windigo utiliza una variedad de malware sofisticado que incluye Linux/Ebury (una puerta trasera de OpenSSH y que roba credenciales, que ya fue objeto de una detallada investigación realizada por expertos de ESET a principios de mes), Linux/CdorkedPerl/Calfbot, Linux/Onimiki, Win32/Glubteba.M, y Win32/Boaxxe.G.

Durante un único fin de semana, los investigadores de ESET observaron mas de 1.1 millón de direcciones IP diferentes formando parte de la infraestructura de Windigo, antes de ser redirigidos a servidores que albergaban kits de exploits.

Un análisis de los ordenadores que visitaban estos servidores revelaron que se estaban utilizando una amplia variedad de sistemas operativos.

Este análisis aportó datos curiosos, ya que los investigadores descubrieron que “23 personas aún navegan por Internet aparentemente usando Windows 98 y una persona lo hace incluso con Windows 95.”

Léveillé y sus compañeros investigadores hacen un llamamiento a los administradores de sistemas Unix y webmasters para que ejecuten el siguiente comando que les dirá si su servidor se encuentra infectado o no:

$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”

Este comando debería decirte rápidamente si tu sistema se encuentra seriamente comprometido por Windigo o no, y si deberías tomar medidas para limpiar y proteger mejor tus servidores en el futuro. Se pueden ver más detalles que permiten averiguar si tu servidor ha sido comprometido en el análisis técnico sobre la Operación Windigo [PDF].

Josep Albors



La bolsa y la seguridad informática

Categorias: Botnets,Cibercrimen,DDoS,General,seguridad | | Sin comentarios » |

Me pregunta un gran amigo por una noticia curiosa. Unos delincuentes llevan a cabo un ataque de denegación de servicios para modificar unas cotizaciones bursátiles. Nuestros grandes amigos de Flu-project lo explican muy bien.

Lo que se busca en un ataque de denegación de servicios, o DoS (Denial of services) es simplemente molestar. Y cada uno puede pensar que eso es bueno o es malo. Si molestas a la injusticia, a la opresión o a los derechos de las personas, se te aplaude. Sin embargo, si molestas a otros estamentos consolidados, se te critica.

Un ataque de denegación de servicios consiste en dejar algún servidor en Internet sin posibilidad de llevar a cabo su trabajo, es decir, que deniega los servicios para los que está pensado. Puede ser una página web, o un servicio de venta de productos… lo que sea. El caso es dejarlo fuera de combate.

bolsa

Volviendo al origen de la pregunta de mi amigo, ¿puede un ataque de este tipo hacer que unas cotizaciones bursátiles se modifiquen? Por supuesto, y la ciberdelincuencia lo ha aprovechado en los dos sentidos.

Hace ya algún tiempo se pusieron de moda unos mensajes de correo electrónico en el que se avisaba de la posibilidad de comprar unas acciones de una empresa a un precio casi ridículo, con la perspectiva de que fueran a aumentar su valor en breve por cualquier causa (inventada, por supuesto). Evidentemente, el único que secaba provecho de eso era el que se inventaba la noticia, ya que al intentar los incautos comprar acciones de esa empresa, efectivamente, subía su valor, lo necesario para que el estafador vendiera sus acciones y ganara una buena suma.

¿Y al revés? Pues lo mismo. Si los sistemas que gobiernan esas acciones no pueden operar adecuadamente, los inversores retiran la confianza y la cotización cae. Y si la cotización de una empresa cae, suele subir la de la competencia: objetivo logrado.

Para que un ataque de denegación de servicios tenga éxito, es necesaria mucha potencia, las grandes empresas tienen ya previstos estos ataques y se cubren las espaldas. Pero todo tiene un límite. Si un par de cientos de miles de ordenadores se organizan para atacar a un servidor, la probabilidad de éxito es bastante elevada. Pero si ya son dos millones, el éxito puede estar garantizado.

Para poder tener esa cantidad de máquinas dispuestas a atacar, basta con utilizar una red de ordenadores zombis. Son sistemas a los cuales se les ha infectado con un “bot”, una especie de troyano que se queda a la espera de instrucciones para llevar a cabo el ataque.

Estos bots no son bastante frecuentes. Pueden encontrarse en muchos más ordenadores de los que pensamos. Pero lo mejor de ellos es que puede evitarse su actuación. ¿Cómo? Protegiendo tanto el ordenador como el móvil instalando un antivirus. Porque todos tenemos ya protegido tanto el ordenador como el móvil… ¿o no?

Fernando de la Cuadra



Spam de WhatsApp descarga variante de Zeus

Categorias: Botnets,Mensajería,Spam | | Sin comentarios » |

No hace mucho hablábamos en este blog de una serie de mensajes recibidos en nuestro laboratorio que se hacían pasar por el popular servicio de mensajería móvil WhatsApp. En aquella ocasión, el mensaje venía en inglés, y desde el enlace proporcionado se descargaba un malware que servía para descargar otro tipo de amenazas, según decidieran los ciberdelincuentes que se esconden tras  esta campaña de propagación de malware.

Entonces ya avisábamos de que, a pesar de que el mensaje se encontraba en inglés, había conseguido un elevado nivel de infección en España, situándose como la segunda amenaza más detectada durante varios días en nuestro país. La facilidad con la que este tipo de campañas de propagación de malware se pueden adaptar a otros idiomas nos hizo pensar que probablemente no tardaríamos mucho en ver otras variantes en idiomas distintos del inglés, como así finalmente ha sido.

Una nueva variante

Recientemente, nuestros compañeros del laboratorio de ESET Latinoamérica informaban de la detección de varios correos electrónicos en los que se suplanta a WhatsApp escritos en portugués y que tienen como objetivo principal a usuarios de Brasil. No tardamos en reconocer los mismos métodos que ya habíamos analizado semanas antes en las muestras recibidas en nuestros laboratorios aunque, en esta ocasión, los ciberdelincuentes buscaban infectar a los usuarios con un viejo conocido: Zeus.

Los correos recibidos en esta ocasión pueden tener un aspecto similar a la siguiente imagen, aunque se han detectado variantes:

email_whatsapp

Funcionamiento del malware

Este correo apenas sufre variaciones con respecto a los correos en inglés que analizamos hace varias semanas, salvo el detalle de venir traducidos al portugués. Sin embargo, este mensaje contiene el archivo como fichero adjunto o descarga desde un enlace (dependiendo de la variante). Al descargar y ejecutar este fichero malicioso se obtiene un ejecutable que actuará como dropper o descargador de la amenaza final o bien de un segundo dropper.

En una de las muestras analizadas por nuestros compañeros de ESET Latinoamérica se inician dos procesos tras su ejecución. El primero se encarga de limpiar posibles restos dejados por los archivos utilizados como dropper. Para eso se sirve de un fichero BAT que también se autoelimina una vez completada su función, tal y como se observa en la imagen a continuación:

propiedades

Por su parte, el segundo ejecutable es una variante de ZBot, malware que infecta equipos y los incorpora a redes de ordenadores zombis. Esta variante es detectada por las soluciones de seguridad de ESET como Win32/Spy.Zbot. Una vez ejecutado, este malware manipulará los controladores de sonido del sistema infectado, haciéndose pasar por un archivo de audio auténtico.

Si analizamos estos archivos veremos cómo hacen referencia a ficheros reales del sistema Windows, en un intento de disimular sus verdaderas intenciones a la hora de analizarlos, tal y como vemos a continuación.

process_explorer

Medidas de seguridad a tener en cuenta

No es de extrañar que los ciberdelincuentes sigan usando la popularidad de WhatsApp o de otras aplicaciones de moda para realizar este tipo de campañas. De hecho, debemos estar atentos por si empezamos a recibir mensajes de este tipo traducidos al español, algo muy fácil de realizar pero que podría incrementar notablemente los casos de infección entre usuarios de habla hispana.

Como siempre, el mejor consejo, además de contar con una solución de seguridad actualizada, es evitar caer en la trampa, eliminando este tipo de mensajes nada más recibirlos, puesto que WhatsApp no se pone en contacto con nosotros mediante el email. De esta manera tan sencilla nos ahorraremos más de un problema.

Josep Albors

Enlaces relacionados:

Cuidado con los correos falsos de WhatsApp, Paypal y Google Docs

Nuevo caso de spam propagando malware: Tu amigo te envío una foto por WhatsApp

Falso mensaje de WatsApp descarga Zeus

 



Qadars – Un troyano bancario con los Países Bajos en su punto de mira

El siguiente artículo es una traducción y adaptación del publicado por nuestro compañero Jean-Ian Boutin en el blog de ESET We Live Security.

Introducción

Un nuevo troyano bancario ha hecho aparición en los últimos meses. Siendo analizado en primera instancia por LEXSI, este troyano bancario ha estado muy activo y ha infectado a usuarios de todo el mundo. Su modus operandi consiste en el fraude bancario mediante inyecciones web. A pesar de que este vector de ataque ha estado presente durante mucho tiempo en varias familias de troyanos bancarios, aún sigue siendo efectiva. Win32/Qadars utiliza una amplia variedad de inyecciones web, algunas de ellas con componentes móviles de Android, utilizados para saltarse la seguridad de la banca online o para obtener acceso a la cuenta bancaria del usuario.

Normalmente, los troyanos bancarios tienen como objetivos a varias instituciones financieras importantes o se centran en un grupo más pequeño que suele incluir a aquellas instituciones en las que su base principal de usuarios se encuentra geográficamente cerca. Win32/Qadars se encuentra en la segunda categoría, obteniendo sus objetivos de regiones específicas y utilizando ficheros de configuración de inyecciones web diseñados a medida para aquellas entidades financieras más utilizadas por los usuarios. A lo largo de esta investigación hemos visto que hay principalmente seis países afectados por Win32/Qadars:

-          Países Bajos

-          Francia

-          Canadá

-          India

-          Australia

-          Italia

Mientras que la mayoría de ataques dirigidos a los usuarios en estos países fueron lanzados en sucesivas oleadas, los usuarios de los Países Bajos fueron objetivos durante todo el periodo de monitorización. Esto llamó poderosamente nuestra atención por lo siguiente:

  • Sigue siendo muy activo tras seis meses y es actualizado constantemente.
  • Apunta a regiones muy específicas del mundo.
  • Utiliza una amplia variedad de inyecciones web, alguna de las cuales también fue utilizada por otra familia de troyanos bancarios en una campaña sin relación alguna.
  • Utiliza Android/Perkele para saltarse los sistemas de doble factor de autenticación en los móviles.

Perspectiva histórica

Las primeras muestras de actividad que observamos de este malware fue a mediados de mayo de 2013. El siguiente gráfico muestra la detección diaria de Win32/Qadars.

daily_detection_globalImagen 1 : Detecciones diarias de Win32/Qadars

A pesar de que las primeras detecciones se produjeron en mayo, la primera oleada de infecciones sucedió a finales de junio. De forma interesante, los autores parece que tuvieron una fase de pruebas hasta que se observó el siguiente pico de infecciones semanas después sin apenas detecciones entre oleadas. Asimismo, los usuarios italianos fueron el objetivo principal durante la primera oleada mientras que las campañas siguientes tenían como objetivo a usuarios holandeses. Pensamos que este kit se ha mantenido privado o vendido únicamente a un grupo de usuarios seleccionados cuidadosamente. Hemos viso unas cuantas campañas de propagación más, pero la mayoría de infecciones que hemos analizado son de la misma campaña y por eso comparten los mismos servidores de mando y control (C&C).

Podemos seguir la evolución del malware a través del número de versión que se incluye en el ejecutable. La primera versión que vimos fue la 1.0.0.0 y la última fue la 1.0.2.7. El lanzamiento constante de nuevas versiones nos indica que este malware se encuentra en continuo mantenimiento y desarrollo. El siguiente gráfico nos muestra la fecha en que se observó cada nueva versión.

versioning_first_sampleImagen 2 : Evolución del número de versión a través del periodo de monitorización

Análisis técnico

Win32/Qadars utiliza un esquema Man-in-the Browser (MitB) para realizar el fraude financiero. Tal y como hace Win32/Spy.Zbot, Win32/Qadars se inyecta en los procesos del navegador para anclarse a ciertas APIs. Utilizando este anclaje, es posible inyectar contenido en las webs visitadas por el usuario. Este contenido inyectado puede ser cualquier cosa, pero normalmente se trata de un formulario que pretende recopilar credenciales de los usuarios o un código Javascript diseñado para intentar realizar  transferencias automáticas sin conocimiento o autorización del usuario.

Los ficheros de configuración de la inyección web se descargan del servidor C&C y contiene la URL de la web objetivo, el contenido que debería ser inyectado en la web y, finalmente, dónde debería ser inyectado. El formato de configuración del fichero es muy similar a otros troyanos bancarios existentes. Una vez descargada, la configuración se almacena cifrada con AES en las claves de registro del ordenador. Actualmente, Win32/Qadars es capaz de anclarse en dos navegadores para realizar la inyección de contenido: Firefox e Internet Explorer. También hay líneas de código que hacen referencia a Chrome, por lo que podríamos ver versiones que afecten a este navegador en el futuro.

Una vez que el malware ha infectado una máquina, el delincuente al mando de la botnet puede controlar las máquinas infectadas mediante diferentes comandos, la mayoría de los cuales aparecen listados en la tabla a continuación.

Tabla 1:  Comandos y descripción

tabla1

Un añadido que se realiza en la versión 1.0.2.7 es un ladrón de credenciales FTP. Soporta un amplio rango de clientes FTP e intenta abrir sus ficheros de configuración para robar las credenciales del usuario. Curiosamente, para poder robar las credenciales de los usuarios integra algunas contraseñas estáticas conocidas que algunos de estos clientes FTP utilizan para cifrar sus ficheros de configuración. Este comportamiento no es novedoso y ya se ha visto en otras muestras de malware como por ejemplo Win32/PSW.Fareit (Pony Loader).

Comunicaciones de red

Win32/Qadars usa un cifrado AES en modo ECB para cifrar sus comunicaciones de red. Antes de enviar un mensaje, el cliente generará una cadena aleatoria de nueve caracteres y utilizará su hash MD5 como la llave AES para cifrarlo. También generará otra cadena aleatoria que incluirá en el mensaje enviado al servidor. Esta llave será utilizada por el servidor para cifrar su respuesta. Para transferir de forma segura la clave AES utilizada para cifrar el mensaje al servidor el cliente lo cifrará una vez más, dos caracteres cada vez, y la añadirá al mensaje. Finalmente, el mensaje resultante se codifica usando base64 y se envía al servidor. La siguiente imagen representa este proceso y muestra los diferentes campos presentes en los mensajes enviados al servidor.

client_to_server_commImagen 3 : Comunicación Cliente/Servidor

La respuesta del servidor se cifra usando la clave del servidor introducida en la petición del cliente. También se añade el resumen MD5 del mensaje como un mecanismo de detección de errores. La siguiente imagen muestra la estructura de la respuesta del servidor.

server_to_client_commImagen 4 :Comunicación Servidor/Cliente

El análisis de los diferentes ID de los mensajes utilizados por Win32/Qadars nos dicen más cosas acerca de sus funcionalidades. La tabla a continuación nos muestra un listado de los diferentes identificadores de los mensajes y su descripción.

Tabla 2 : ID de los mensajes y su descripción

tabla2

Conocer el protocolo de red utilizado por Win32/Qadars mejoró notablemente nuestra habilidad para realizar el seguimiento de la botnet y estudiar su comportamiento

Vector de infección

 El fichero de configuración de la inyección web de Win32/Qadars cambia frecuentemente y apunta a instituciones específicas. Para maximizar su éxito con estas inyecciones web, los autores del malware intentan infectar a los usuarios en regiones específicas del mundo. En la siguiente sección mostraremos qué países fueron los más atacados, pero echemos primero un vistazo a los vectores de infección que el creador del malware eligió para atacar a ciertos países. Desde mayo a octubre no está claro cómo se propagaba el malware pero, mediante nuestro sistema de telemetría, encontramos numerosas pistas para deducir que los delincuentes habían comprado hosts comprometidos en los países en los que estaban interesados. Llegamos a esta conclusión porque todos los sistemas infectados que analizamos también tenían descargadores de troyanos y otros tipos de malware Pago-por-instalación (PPI) como Win32/Virut

A comienzos de noviembre vimos que Win32/Qadars estaba siendo distribuido a través del Nuclear Exploit Kit. A continuación hay una serie de URL que fueron utilizadas para distribuir este malware a principios de noviembre. El patrón utilizado por Nuclear Exploit Kit en ese momento es claramente visible:

hxxp://nb7wazsx[.]briefthink[.]biz:34412/f/1383738240/3447064450/5

hxxp://o3xzf[.]checkimagine[.]biz:34412/f/1383770160/1055461891/2

hxxp://pfsb77j2[.]examinevisionary[.]biz:34412/f/1383780180/1659253748/5

Ambos vectores de infección permiten a los gestores de la botnet elegir la ubicación de los sistemas comprometidos.

Objetivos regionales

Win32/Qadars se ha centrado hasta ahora principalmente en seis países: los Países Bajos, Francia, Canadá, Australia, India e Italia. El siguiente gráfico muestra la distribución geográfica de la detección en el periodo comprendido entre mayo y noviembre de 2013.

pie_detectionsImagen 5 : Distribución de la detección

Win32/Qadars claramente busca infectar ordenadores holandeses ya que el 75% de las detecciones vienen de esta región. El análisis de las fechas en las que fue detectado muestra que hubieron varias oleadas de infecciones.

area_detections

Imagen 6: Detecciones diarias de Win32/Qadars por países

Las detecciones en los Países Bajos siempre son las más importantes, seguidas por las detectadas en Francia. El caso de Canadá es especialmente interesante ya que todas las detecciones en este país ocurrieron en los últimos quince días de octubre. Por supuesto, el fichero de configuración de la inyección web descargado por los bots en esas fechas contenía código que apuntaba a las principales instituciones financieras canadienses.

El inyector web descargado por los bots apunta a instituciones financieras en los seis países mencionados anteriormente con un grado variante de sofisticación. Algunas inyecciones web solamente recopilarán información extra cuando un usuario intente registrarse en la web segura de su banco. Esto se realiza a través de la inyección de un formulario adicional o de elementos que preguntan al usuario por información privada cuando se conecta a su banco. A continuación se muestra un ejemplo de formulario.

bank_log_screenshotImagen 7 : Inyección web con apariencia de phising

Otras inyecciones web son más complicadas y pueden realizar transacciones automáticamente y saltarse los sistemas de autenticación de doble factor implementados por los bancos.

Inyecciones web

Las inyecciones web utilizadas por los troyanos bancarios pueden ser obtenidas de diferentes formas. Pueden ser programadas directamente por los cibercriminales que manejan la botnet o pueden comprarse. Hay varios programadores que ofrecen inyecciones web públicas o las producen a medida según las necesidades del usuario. Hay muchas de estas ofertas y algunas pedirán una cantidad diferente de dinero dependiendo de las características solicitadas.

Cuando analizamos las inyecciones web utilizadas por Win32/Qadars nos pareció claro que no fueron escritas por las mismas personas, ya que las técnicas empleadas y estilos de programación son bastante diferentes. De hecho, pensamos que todas fueron compradas en varios foros underground. Una plataforma de inyecciones web que utilizan tiene una forma distintiva de obtener contenido externo como por ejemplo scripts e imágenes. La URL en el Javascript inyectado será algo parecido a esto:

hxxp://domain.com/gate.php?data=cHJvamVjdD1tb2ItaW5nbmwtZmFuZCZhY3Rpb249ZmlsZSZpZD1jc3M=

La porción “data=” de la URL está codificada en base 64. Cuando se descodifica se puede leer la siguiente cadena “project=mob-ingnl-fand&action=file&id=css”, lo que nos permite conocer el objetivo así como también el fichero que está tratando de obtener. Curiosamente, encontramos el mismo tipo de sintaxis en inyecciones web utilizadas en una campaña que tenía a  bancos de la República Checa como objetivo y que utilizaba Win32/Yebot (alias Tilon) como troyano bancario. No obstante, a pesar de que no encontramos restos de esta particular plataforma de inyección web en los foros underground en los que buscamos, sí que encontramos otro tipo de ofertas.

Sistemas de Transferencias Automáticas (ATS)

ATS, utilizadas frecuentemente en troyanos bancarios, es un término aplicado a las inyecciones web que persiguen iniciar una transferencia automática una vez que el usuario accede a su cuenta bancaria a través de un ordenador infectado. Normalmente contendrá código para encontrar automáticamente la cuenta con la mayor cantidad de dinero y realizar una transferencia a la cuenta destino controlada por el atacante/mulero. Este código normalmente contiene algunos trucos (a base de ingeniería social) para saltarse los sistemas de autenticación de doble factor que algunos bancos imponen a la hora de realizar transferencias.

Hemos encontrado varios programadores en foros underground que venden ATS públicos o privados para varios bancos de todo el mundo. En los foros underground, una inyección web “pública” es aquella que se vende a cualquiera que la solicite mientras que la “privada” se personaliza según las necesidades del comprador y normalmente no vuelve a ser vendida por el programador. Por regla general, los compradores de las inyecciones web privadas reciben el código fuente y los derechos para redistribuirlas a terceros. Sabemos que los autores de Win32/Qadars están comprando algunas inyecciones web porque encontramos una ATS pública que había sido integrada en el fichero de configuración de su inyección web. Como muchas otras ofertas, este código vende, junto con el inyector web, un panel de administración (mostrado a continuación), que permite a los cibercriminales controlar varios aspectos sobre cómo debe realizarse la transferencia automática de fondos.

french-ats-editedImagen 8 : Panel de administración de inyección web ATS

Esta oferta en particular está apuntando a un banco francés y el programador afirma que puede saltarse el sistema de autenticación de doble factor por SMS establecido por el banco para evitar transferencias fraudulentas.

Perkele

En varios de los ATS que hemos analizado, como el que hemos descrito anteriormente, el malware debe interceptar un SMS para hacer que la transferencia se realice. Esto es necesario porque el banco envía un número de autorización de la transacción (TAN) al móvil del usuario cuando este inicia la transferencia de dinero. El usuario debe introducir este TAN en su navegador antes de que se autorice la transferencia. El uso de un componente móvil en un troyano bancario no es nuevo, puesto que ZitMo y otros han estado entre nosotros durante bastante tiempo.

Lo que resulta particularmente interesante en este caso es que varios programadores de inyecciones web están añadiendo estos malware para móviles en sus inyecciones web. Esto significa que el delincuente que gobierna una botnet puede comprar inyecciones web muy complejas que no son solamente código JavaScript, sino que también contienen un panel de administración y algunos malware para móviles personalizados para el banco objetivo.

En el caso de Win32/Qadars, el componente móvil que hemos visto unido a la inyección web es Android/Perkele, un malware para móviles que puede interceptar mensajes SMS y reenviárselos a los ciberdelincuentes, tal y como comenta Brian Krebs en el análisis de este malware. La inyección web se encarga de todo en este caso: cuando el usuario accede a su cuenta bancaria el contenido se inyecta en su navegador, solicitándole que especifique su marca de móvil y la descarga de una aplicación de “seguridad” en su dispositivo móvil. Debido a que el usuario puede ver este contenido mientras  accede a su cuenta, será más propenso a pensar que este mensaje es genuino y que la aplicación realmente proviene de su banco. En una de las muestras que analizamos, una vez que la aplicación bancaria se instala en el móvil, envía un SMS a un número de teléfono en Ucrania.

ats_frenchImagen 9: Captura de pantalla de Android/Perkele con un banco francés como objetivo

Android/Perkele soporta los sistemas Android, Blackberry y Symbian, pero tan solo hemos visto el componente de Android siendo utilizado en conjunto con Win32/Qadars. Una vez la aplicación se instala en el móvil del usuario se puede realizar la transferencia automática ya que el SMS que contiene el TAN puede ser obtenido por los delincuentes.

Esta oferta de inyectores web es un buen ejemplo de personalización del malware. El gestor de la botnet puede ahora comprar una solución completa que le permitirá realizar transferencias automáticas y saltarse los sistemas de autenticación de doble factor. Todo lo que necesita es proporcionar una manera de inyectar contenido en el navegador del usuario. Esta funcionalidad se encuentra implementada en todos los troyanos bancarios modernos.

Conclusión

Recientemente hemos visto un resurgimiento de nuevos troyanos bancarios distribuidos por ciberdelincuentes. Win32/Napolar, Win32/Hesperbot y Win32/Qadars han aparecido en los últimos meses. Probablemente no sea una coincidencia que haya un elevado número de troyanos bancarios y de su código fuente disponible tras las filtraciones del código de Win32/Zbot y Win32/Carberp.

Otro punto interesante que observar es la scene de los programadores de inyecciones web. Estos individuos están ofreciendo piezas de código cada vez más sofisticadas capaces de saltarse una amplia variedad de sistemas de autenticación de doble factor. Será interesante observar si en algún momento el mercado madura lo suficiente para que podamos ver aparecer kits de inyectores web, de la misma forma que sucedió con la scene de kits de exploits.

Agradecimientos especiales a Hugo Magalhães por su contribución a este análisis.

Hashes SHA1

Win32/Qadars (Nuclear Pack): F31BF806920C97D9CA8418C9893052754DF2EB4D

Win32/Qadars (1.0.2.3): DAC7065529E59AE6FC366E23C470435B0FA6EBBE

Android/Perkele: B2C70CA7112D3FD3E0A88D2D38647318D68f836F

Josep Albors

 



Nuevas variantes de Hesperbot apuntan a Alemania y Australia

Categorias: Botnets,telefonía,Troyanos | | 1 Comentario » |

El siguiente es un artículo traducido y adaptado del que ha publicado nuestro compañero Robert Lipovsky en WeLiveSecurity.

 El pasado mes de septiembre informábamos sobre un nuevo troyano bancario llamado Hesperbot (detectado por las soluciones de seguridad de ESET como Win32/Spy.Hesperbot ). Los creadores de esta amenaza siguen activos y durante el noviembre han desarrollado nuevas variantes que vamos a analizar en el siguiente post.

Nuevos objetivos: Alemania y Australia

La distribución geográfica de las infecciones por Hesperbot se han concentrado en unos cuantos países, debido principalmente al hecho de que los correos fraudulentos suplantan a instituciones de confianza en los países afectados (p.ej. servicio postal o ISP)  y sigue siendo el principal vector de infección.

Tal y como sospechábamos, no paso mucho tiempo hasta que los atacantes empezaron  a buscar nuevos objetivos en usuarios de banca online de otros países. Además de los cuatro países en los que inicialmente se detectó esta amenaza (Turquía, República Checa, Portugal y Reino Unido) en noviembre descubrimos nuevas versiones de Hesperbot que apuntaban a Alemania y Australia.

Mientras tanto, nuevas oleadas de infecciones continuaban en la República Checa y los scripts de inyección web (que no estaban presentes previamente) se añadieron a los ficheros de configuración para la botnet Checa. El siguiente gráfico muestra las detecciones de Hesperbot en noviembre clasificadas por país.

1

Archivos de configuración. Bancos objetivo

La arquitectura modular y el modus operandi de la amenaza siguen sin cambios. El fichero de configuración proporcionado determina que URL debe ignorar el recopilador de formularios (todas las demás peticiones HTTPS POST son capturadas con la intención de recopilar credenciales de acceso a la banca online), las URL que deben activar la captura de vídeo (tanto como método para saltarse la protección ofrecida por los teclados virtuales y también como forma rápida para el operador de la botnet de ver el balance de la cuenta de la víctima sin tener que registrarse) y define las inyecciones web en un formato similar a Zeus o SpyEye. La siguiente tabla muestra las direcciones de los bancos online afectados obtenida de los archivos de configuración más recientes.

tablebotnet

Los formularios web inyectados, a través de los cuales los atacantes intentan engañar a la víctima para que instale el componente móvil, tienen el siguiente aspecto:

2

3

4

Nótese que las capturas de pantalla anteriores han sido realizadas sin el formato CSS, específico para las webs de cada banco. A continuación vemos un caso real de inyección web en la URL de un banco checo:

6La técnica man-in-the-browser de Hesperbot se asegura de que la conexión HTTPS aparezca como segura. Para obtener más detalles acerca de cómo funciona esta técnica, se puede consultar nuestro análisis técnico de esta amenaza.

Nuevos módulos para bloquear procesos y robar Bitcoines

En nuestros artículos anteriores donde analizamos técnicamente esta amenaza (parte 1 y parte 2) describimos a los módulos individuales de Hesperbot y su funcionalidad. La última versión del troyano utiliza ahora dos nuevos módulos.

El primero de ellos, gbitcoin, intenta robar los siguientes ficheros y enviarlos al servidor C&C:

  • %APPDATA%\Bitcoin\wallet.dat
  • %APPDATA%\MultiBit\multibit.wallet

Estos ficheros representan los monederos de Bitcoin que almacenan las claves privadas del cliente original de Bitcoin y MultiBit, respectivamente. Con al valor actual de Bitcoin por las nubes, la decisión de añadir este módulo es muy comprensible. Podemos encontrar noticias relacionadas con el robo de Bitcoines en nuestro blog y consejos para proteger nuestro monedero de monedas virtuales en la Bitcoin wiki.

El Segundo módulo es quizás el más interesante. Sus acciones están determinadas por el fichero de configuración de Hesperbot. Si las entradas correspondientes están presentes, el módulo puede:

  • Suspender todos los hilos de un proceso específico y luego desactivar y ocultar todas sus ventanas visibles.

7

  • Mostrar un mensaje usando la función MessageBox.
  • Bloquear la comunicación con la red al anclarse en las funciones recvWSARecv, recvWSARecv, send, WSASend desde la librería WS2_32.dll durante un periodo de tiempo.

hook4hooks2

Las funciones ancladas simplemente devuelven el error WSAEACCESS . Nótese que para aplicar estos anclajes, Hesperbot utiliza el módulo auxiliar sch_mod .

Hasta ahora, no hemos encontrado ficheros de configuración que hagan uso de esta nueva funcionalidad. No obstante, un posible propósito sería bloquear las aplicaciones independientes de los bancos, ya que el troyano no podría tomar el control de las mismas. De esta forma el usuario se vería obligado a utilizar su navegador infectado.

Panel de administración de la botnet

Tuvimos la oportunidad de echar un vistazo al panel del C&C de Hesperbot:

adminpanel

Esta pantalla muestra los diferentes bancos afectados en un país en concreto y el número de instalaciones con éxito del componente móvil. Tal y como hemos mencionado previamente, el atacante engaña a la víctima para que instale el componente de reenvio de SMS a través de inyecciones web introducidas en la web del banco.

Nótese que este panel de administración muestra botnets de Turquía, Australia y Alemania.

Los operadores de Hesperbot están muy activos, causando pérdidas monetarias reales a los usuarios de la banca online y parece que aún no hemos escuchado al última palabra de este malware. Seguiremos monitorizando esta amenaza y os mantendremos informados de futuras actualizaciones o cambios.

Josep Albors

Autores:
Anton Cherepanov
Robert Lipovsky

Listado de MD5 de las muestras analizadas:

dropper (DE-BOTNET) 04bbb39578d3fa76cab5c16367b9abe1c1a01106
dropper (AU-BOTNET) 3195768f3647b9ee99acc6dd484b997e4661b102
dropper (AU-BOTNET) 0563e9960abb703f72368fdf8ad8fcf641574898
gbitcoin_mod_x64.mod  e1f7a1bb5e4991ca6c77f8fcb2a63df1ab84983c
gbitcoin_mod_x86.mod  43667df9e811863a5456a16b6bfd8ad59f7ff18c
procblock_mod_x64.mod daefe673cd1e7625831b3365602918b33b05dbe0
procblock_mod_x86.mod b1a2603c1850a07ea2f26780ea166ff69c0b39ad



Duro golpe de Microsoft, el FBI, Europol y otros colaboradores a la botnet Sirefef

Categorias: Botnets,Cibercrimen | | Sin comentarios » |

Siempre es una buena noticia enterarse que una de las redes de ordenadores zombi más importantes ha sufrido un duro golpe, algo que se está volviendo cada vez más común gracias a las operaciones llevadas a cabo por empresas como Microsoft y fuerzas de seguridad como el FBI o Europol. En esta ocasión ha sido Sirefef (también conocida como ZeroAccess) la botnet que se ha tratado de desmantelar hace unos días, algo que ha permitido a muchos de los usuarios infectados (aun sin saberlo) retomar el control de sus máquinas.

Se calcula que esta botnet controla alrededor de dos millones de máquinas en todo el mundo y los usuarios, infectados tras visitar una web maliciosa, ven como las búsquedas realizadas en Google, Bing o Yahoo se derivan a sitios potencialmente peligrosos y que muestran publicidad. Esto representa una cantidad aproximada, según Microsoft de 2.7 millones de dólares mensuales a los anunciantes que van a parar a los bolsillos de los ciberdelincuentes.

Según Microsoft, para realizar esta operación se necesitó la colaboración del FBI, Europol y otros socios de la industria, algo que permitió bloquear la comunicación entre los sistemas infectados y las 18 IPs utilizadas por los ciberdelincuentes. Asimismo, también se cerraron 49 dominios relacionados con esta botnet.

A pesar de esta operación a gran escala no hay que lanzar aun las campanas al vuelo. Sirefef es especialmente resistente a este tipo de ataques, ya que su estructura P2P permite a los ciberdelincuentes controlar la botnet desde miles de ordenadores diferentes. No obstante, esta operación tendrá un efecto inmediato en su efectividad debido a que se ha atacado directamente a su modelo de negocio por lo que los controladores de la botnet deberán dedicar tiempo a reconstruir la infraestructura que tenían antes de esta operación.

Esta ha sido la primera operación a gran escala del recientemente inaugurado Centro de lucha contra el Cibercrimen de Microsoft, un lugar donde los abogados de la empresa y expertos en seguridad informática utilizan tecnología de última generación para luchar contra el cibercrimen. Este centro coopera con policías de todo el mundo, empresas y organizaciones no gubernamentales para luchar contra el malware, ciberdelitos y los abusos a menores.

Con respecto a Sirefef, se trata de una botnet con cierta antigüedad, remontándose las primeras muestras de las que tenemos constancia a noviembre de 2009. Durante este tiempo ha ido evolucionando pasando por diferentes modelos de negocio: desde la instalación de falsos antivirus hasta la monetización a base del fraude por clic (generación fraudulenta de clics en anuncios mostrados en webs sin ninguna intención de interactuar con la web del anunciante).

En el siguiente gráfico observamos como Sirefef ha sido una de las amenazas más detectada por las soluciones de seguridad de ESET, ocupando siempre los primeros puestos en el ranking durante los últimos meses:

sirefef_stats

¿Y ahora que? Es probable que los ciberdelincuentes detrás de esta botnet traten de recuperar los sistemas infectados, algo que al parecer ya han intentado según las investigaciones realizadas por el reconocido periodista Brian Krebs. No obstante, todo apunta a que tendrán que cambiar su modelo de negocio si quieren seguir obteniendo beneficio de este malware y por lo que debemos estar alerta, actualizar nuestros antivirus, nuestros sitema y las aplicaciones que usamos para evitar infectarnos por una más que posible nueva variante.

Josep Albors



Win32/Napolar – Un nuevo bot en el vecindario

Categorias: Botnets,Informes,Malware | | 3 Comentarios » |

El siguiente artículo es una traducción y adaptación del post publicado originalmente en el blog internacional de ESET por nuestro compañero Pierre-Marc Bureau.

Hay un nuevo bot en el barrio, identificado por ESET como Win32/Napolar, aunque su autor prefiere llamarlo Solarbot. Este ejemplar de malware nos llamó la atención a mediados de agosto debido a sus interesantes técnicas antidepuración y de inyección de código. También atrajo mucha atención cuando fue analizado en varios foros de ingeniería inversa.

Este malware puede servir para múltiples propósitos. Los tres principales son realizar ataques de denegación de servicio, actuar como un servidor proxy SOCKS y robar información de los sistemas infectados. El malware es capaz de anclarse a varios navegadores y robar la información que se envía en formularios web.

Hemos descubierto muchos detalles sobre este bot desde que se activó a finales de julio, y hemos detectado infecciones desde mediados de agosto. Hemos recibido informes de miles de infecciones, muchos de ellos en Sudamérica. Los países con el mayor número de infecciones son Perú, Ecuador y Colombia. Se puede encontrar más información acerca de la distribución geográfica de esta amenaza en virusradar.

El autor de Win32/Napolar utiliza un sitio web para promocionarlo. Esta web tiene un aspecto muy profesional y contiene información detallada sobre el bot, incluyendo su coste (200 $ por cada versión) e incluso un completo informe de cambios de la evolución del código.

A pesar de que no hemos visto directamente la distribución de Win 32/Napolar, parece que esta amenaza se ha estado distribuyendo a través de Facebook. Debido a que el malware tiene la habilidad de robar las credenciales de Facebook, su operador puede reutilizar estas credenciales para enviar mensajes desde cuentas comprometidas y tratar de infectar a los amigos de la víctima. A continuación mostramos un listado de los nombres de archivos que se han utilizado en esta familia de malware:

  • Photo_032.JPG_www.facebook.com.exe
  • Photo_012-WWW.FACEBOOK.COM.exe
  • Photo_014-WWW.FACEBOOK.COM.exe

Curiosamente, esta amenaza utiliza el viejo truco de utilizar una doble extensión para ocultar la verdadera (*.JPG.EXE, *.TXT.EXE y similares), algo que se remonta a tiempos de Windows 95 pero que sigue utilizándose. Lo divertido sobre este uso de la doble extensión es que el autor de Win32/Napolar no parece darse cuenta de que .COM es una extensión válida, aunque algo vieja, para ficheros ejecutables y que este nombre del fichero hubiera permitido su ejecución sin añadir la extensión .EXE. Un post reciente de nuestros compañeros de AVAST confirma que ellos han visto vectores de infección similares.

En este artículo mostraremos algunos de los trucos antidepuración utilizados por Win32/Napolar. Estos trucos fueron observados en versiones tempranas de esta familia de malware. Las variantes más recientes también utilizan packers de terceros para evadir la detección antivirus y ralentizar la ingeniería inversa manual.

Seguidamente explicaremos el protocolo de mando y control (C&C) utilizado por Win32/Napolar. Finalmente, mostraremos parte de la información que fue recopilada de la web promocional antes de que fuera eliminada.

Técnicas Antidebugging

Cuando analizamos los binarios de Win32/Napolar, la primera cosa de la que nos dimos cuenta fue que no existían puntos de entrada válidos en la cabecera PE, tal y como se muestra en la imagen a continuación:

01_original_entrypoint_to_0

Las primeras instrucciones que se ejecutan cuando se inicia el binario se guardan en las funciones Thread Local Storage (TLS). Hay dos funciones TLS registradas, la primera de las cuales no hace nada. La segunda función descifra más código utilizando el algoritmo de cifrado RC4 y la clave 0xDEADBEEF. El código descifrado se registra como una tercera función TLS antes del retorno de la segunda función, tal y como se muestra en el extracto de código a continuación.

02_inserting_third_tls

La tercera función TLS descifra el resto del código antes de llamar al cuerpo principal del malware. Este código malicioso utiliza otros trucos para hacer más difícil su análisis:

  • Todos los imports se resuelven en el tiempo de ejecución utilizando hashes en lugar de nombres de import.
  • Las interacciones con el sistema operativo se realizan de forma mayoritaria llamando directamente a funciones indocumentadas de la librería NTDLL en lugar de utilizar las API estándar.
  • Todo el código es independiente de la posición en la que se encuentra.

Para encontrar el offset de su propio código que será descifrado, Win32/Napolar busca en su memoria el opcode 0×55. Este opcode representa a “push ebp”, la primera instrucción de la función actual en el lenguaje ensamblador. Si esta instrucción es reemplazada por 0xCC, el opcode para un software breakpoint, el descifrado del código no funcionará. Esta es una manera inteligente de alterar el comportamiento del malware si está siendo analizado con un depurador y si se coloca un software breakpoint en la primera instrucción del TLS.

Win32/Napolar dispone de más trucos antidepuración. Para hacer más complicado el análisis dinámico, Win32/Napolar generará un subproceso de sí mismo y lo depurará con una nueva instancia. La imagen a continuación muestra la llamada a CreateProcess.

05_create_process_debug_only

La técnica de protección del software de la autodepuración ha sido vista con anterioridad, pero en el caso de Win32/Napolar, esto ocurre en el cuerpo principal del malware, no en el packer.

Una vez que ha empezado el proceso de depuración, Win32/Napolar entrará en un bucle que controla los eventos de depuración devueltos por la función WaitForDebugEvent. A continuación se presenta el pseudocódigo del manejo del bucle de eventos de depuración:

04_pseudo_code_debug_loop

El primer evento manejado por este código es  CREATE_PROCESS_DEBUG_EVENT. Este evento tiene lugar cuando el proceso depurado se inicia. En este caso, el proceso principal analizará las cabeceras MZ y PE del proceso depurado para poder recuperar el offset y el tamaño del código independiente de la posición. A continuación reservará otra área de memoria en el proceso depurado, en el cual inyectará el código. Esto genera dos copias del mismo código en el mismo proceso.

El siguiente evento es EXCEPTION_DEBUG_EVENT. En este segundo evento, el proceso principal sobrescribe la primera función TLS del binario para redirigir la ejecución al principio del ejecutable, utilizando una instrucción push – ret. Esto, de nuevo, descifra el cuerpo principal del malware y permite ejecutarlo en el proceso hijo. Es el código del proceso hijo el que procede a inyectarse a sí mismo en todos los procesos que ejecuten subprocesos y anclándose a varias funciones para ocultar su presencia en el sistema y capturar la información deseada.

Finalmente, el proceso principal recibe el evento EXIT_PROCESS_DEBUG_EVENT. Detiene la depuración llamando a la función DebugActiveProcessStop y finaliza su propio proceso utilizando NtTerminateProcess.

chart

Una de las principales características de Win32/Napolar es su habilidad para robar información cuando un usuario rellena un formulario web en un navegador. La protección del navegador de Trusteer probablemente sea capaz de evitar que el malware capture esta información. Este es el motivo por el cual el malware revisa el sistema en búsqueda de productos de Trusteer. Irá pasando por todos los procesos en ejecución y detendrá específicamente cualquier proceso que contenga la cadena “trusteer” en él. No realizamos ninguna prueba para confirmar si este intento de deshabilitar los productos Trusteer funcionaba o no.

Comportamiento de la red

Cuando se comunica con el servidor y centro de mando y control, Win32/Napolar utiliza el protocolo HTTP. La primera búsqueda enviada por el bot al C&C contiene la siguiente información:

  • Versión del bot
  • Nombre del usuario de Windows del usuario infectado
  • Nombre del ordenador
  • Un identificador único del bot
  • Versión del sistema operativo
  • Tipo del sistema, de 32 o 64 bits. De hecho, este bot soporta ambos tipos de arquitectura.

El servidor responde a continuación con comandos que el bot debe ejecutar. Estos comandos están cifrados utilizando RC4, el identificador único del bot se utiliza como clave de cifrado. El bot soporta una variedad de comandos, desde el robo de información y el proxy de SOCKS, a la denegación de servicio, descarga, ejecución y actualización. Cada comando tiene un identificador único almacenado como un único byte y la información que sigue a este byte contiene los parámetros del comando. La siguiente imagen muestra un volcado del tráfico de comunicación entre un sistema infectado por Win32/Napolar y su centro de mando y control.

06_napolar_POST

La siguiente imagen muestra la descripción de este comando usando la clave adecuada. El primer byte del contenido recibido es 0xC, y esto le indica al bot que debe ponerse en modo reposo. El parámetro es una cadena, “600”, que representa el número de segundos que el bot estará en modo reposo.

07_decrypted_cnc_nop

Hemos visto al menos siete centros de mando y control diferentes utilizados por Win32/Napolar. La mayoría de ellos solo permanecieron online durante un par de días antes de que el operador los moviera a otra red. Esto podría indicar que este bot estaba siendo usado activamente. A continuación mostramos una lista de nombres de dominio donde hemos observado servidores de mando y control recientemente:

  • dabakhost.be
  • terra-araucania.cl
  • xyz25.com
  • yandafia.com
  • elzbthfntr.com
  • alfadente.com.br

Existen algunas referencias a la red TOR en el código del malware. Más precisamente, algunas líneas de configuración y referencias al fichero de configuración de TOR. Durante nuestro análisis del malware no se apreció que estuviese haciendo ningún uso de estos datos. Podría tratarse de una característica latente que no estuviese activada en las muestras que hemos analizado.

Sitio web promocional

El autor de Win32/Napolar parece ir muy en serio cuando se trata de vender su Nuevo malware. Para ello ha preparado una web con un aspecto muy profesional donde anuncia su bot como “un bot basado en una shellcode profesional”, referiéndose al hecho de que el malware es independiente de la posición.

08_solar_website1

Este sitio web también proporciona información útil para clientes potenciales. Por ejemplo, el código completo para el servidor de mando y control puede encontrarse aquí, un script en php ejecutándose con una base de datos SQL como backend. El código del servidor de mando y control confirma nuestro análisis del protocolo de red utilizado por el malware Win32/Napolar.

El sitio web promocional también proporciona múltiples ejemplos de complementos que pueden ser utilizados por los operadores del malware. Estos complementos deben haberse escrito utilizando el lenguaje de programación Delphi. Los complementos de ejemplo muestran cómo se puede mostrar un mensaje en un sistema infectado, averiguar qué versión del antivirus hay instalada en el sistema de la víctima e incluso cómo robar monederos Bitcoin.

Finalmente, el sitio web presenta incluso un completo registro de los cambios realizados al código fuente del bot, incluyendo información sobre nuevas características y fallos solucionados. La web muestra la primera entrada en el registro de cambios el 14 de julio. Esto cuadra con nuestra línea temporal ya que observamos las primeras muestras de este bot siendo propagadas a principios de agosto. La fecha de registro del nombre de dominio donde el contenido se encuentra alojado es el primer día de agosto, otro indicio de que el inicio de esta propagación es reciente.

09_solar_website2

Conclusiones

Win32/Napolar es un nuevo bot que apareció en escena en julio y empezó a observarse siendo propagado en agosto. Utiliza técnicas interesantes para contrarrestar la ingeniería inversa. El punto más destacable sobre este malware es cómo se está promocionando abiertamente por su creador utilizando un sitio web. Este anuncio es probablemente el mismo que fue identificado por Dancho Danchev en webroot en julio.

Hemos visto muchos mensajes en varios foros promocionando este bot, como complemento a la existencia de un sitio web accesible públicamente. Tal y como se discutió previamente en el caso Foxxy este es otro buen ejemplo de especialización de las operaciones cibercriminales donde, claramente, tenemos creadores de malware que lo venden a otras bandas para que ellos lo utilicen.

A pesar de que este bot cuenta con funcionalidades similares a las de otras familias como Zeus o SpyEye, podría ganar popularidad porque su autor se encuentra manteniéndolo de forma activa, y también por su facilidad de uso y simplicidad con la que los complementos pueden ser creados.

Ficheros analizados

A continuación mostramos los hashes MD5 de los ficheros analizados:

  • 85e5a0951182de95827f1135721f73ad0828b6bc
  • 9c159f00292a22b7b609e1e8b1cf960e8a4fa795
  • a86e4bd51c15b17f89544f94105c397d64a060bb
  • ce24ae6d55c008e7a75fb78cfe033576d8416940
  • dacfa9d0c4b37f1966441075b6ef34ec8adc1aa6

Agradecimientos

Gracias a Lubomir Trebula y Joan Calvet por su ayuda mientras analizábamos este malware.

Josep Albors



Hesperbot – Análisis técnico 2 de 2

El siguiente artículo es una traducción y adaptación del publicado por nuestro compañero Robert Lipovsky en el blog oficial de ESET WeLiveSecurity.

Win32/Spy.Hesperbot es un nuevo troyano bancario que ha estado afectando a usuarios de banca online en Turquía, la República Checa, Portugal y el Reino Unido. En este tercer post revisaremos la parte más intrigante del malware: la manera en la que intercepta el tráfico de red. Las campañas de propagación del malware y sus víctimas y una visión general técnica de la arquitectura del malware, su componente móvil y otras características han sido descritas en el primer y segundo post.

Intercepción del tráfico de red e inyecciones web

Otros conocidos troyanos bancarios como Zeus y SpyEye son capaces de interceptar y modificar el tráfico HTTP y HTTPS anclándose en las funciones WinSock (send, WSASend, etc.) y en funciones de nivel superior WinInet (HttpSendRequest, InternetReadFile, etc.). Como en las inyecciones web, el robo de datos desde formularios y otros engaños realizados por estos troyanos bancarios tienen lugar en el navegador afectado, conociéndose este método como el ataque “Man-in-the-Browser”. No obstante, Win32/Hesperbot toma una aproximación diferente no muy común pero que ha sido, de hecho, usada por el troyano bancario Gataka. Un buen análisis técnico de Win32/Gataka realizado por nuestro compañero Jean-Ian Boutin puede encontrarse aquí.

La interceptación del tráfico de red y la funcionalidad de inyección HTML en Win32/Spy.Hesperbot se consigue por el trabajo conjunto de los módulos de los plugin nethk, httphk y httpi.

1_Diagramy-02Imagen 1– Relaciones entre los módulos de interceptación de red

A continuación mostramos una breve descripción del propósito de cada uno de los módulos:

Nethk: utilizado para configurar un proxy local, anclar funciones del socket para conducir las conexiones a través del proxy y anclar las funciones de verificación del certificado SSL del navegador. También maneja el descifrado y cifrado del tráfico HTTPS que circula a través del proxy.

  • httphk – utilizado para analizar el tráfico HTTP interceptado por el proxy.
  • httpi – utilizado para tomar capturas de pantalla, vídeos, recopilación de información desde formularios e inyecciones web de acuerdo con el fichero de configuración.

Ahora echémosle un vistazo de cerca a cómo los módulos trabajan juntos y cumplen sus tareas. Tal y como hemos mencionado anteriormente, los módulos exponen sus funciones en una vtable para que puedan ser usadas por otros módulos. El programa fluye entre los módulos al tiempo que cada solicitud HTTP o respuesta es interceptada a través de funciones callback.Nethk

Nethk es el primer módulo del complemento en ser cargado por el módulo core. Win32/Spy.Hesperbot realiza un ataque man-in-the-middle creando un proxy local a través del cual dirige todas las conexiones desde el navegador.

21Imagen 2 – Direcciones IP locales en el código del Hesperbot

33Imagen 3 – Internet Explorer conectado a través del proxy de Hesperbot

Para conseguir esto, el módulo nethk del troyano crea un proxy en un puerto aleatorio en la dirección 127.0.1.1 y ancla las siguientes funciones en la librería mswsock.dll, la librería de bajo nivel Winsock SPI:

  • ·         WSPSocket
  • ·         WSPIoctl
  • ·         WSPConnect
  • ·         WSPCloseSocket

Los punteros a estas funciones son modificados en WSPPROC_TABLE. Para comprender cómo funciona la redirección del proxy, echemos un vistazo a la función anclada WSPConnect.

43

Imagen 4 – API WSPConnect anclada

El socket del navegador, cuando intentamos conectarnos a un sitio web seguro de banca online, por ejemplo, se conecta en su lugar al proxy creado por Hesperbot. En otro hilo, la conexión legítima se establece con el sitio web.

5_Diagramy-03

Imagen 5 – Vista general de la interceptación del tráfico HTTPS a través del proxy de Hesperbot

Una httphk-callbak es lanzada cada vez que el proxy intercepta una solicitud desde el navegador, antes de pasarla al servidor real. De la misma forma, otra httphk-callback es lanzada cada vez que el proxy intercepta una respuesta desde el servidor real, antes de enviársela al navegador. A continuación, el módulo httphk analiza el tráfico.

Hay una diferencia entre el manejo del tráfico HTTP y el HTTPS. En caso del HTTP, la solicitud o datos de respuesta es simplemente enviado al httphk. En el caso de HTTPS, nethk primero se “encarga del cifrado”. Cuando se intercepta una solicitud HTTPS del navegador (cifrado usando su propio certificado SSL y explicado a continuación) esta es descifrada, y los datos descifrados son enviados a httphk a través del callback y luego cifrados usando el certificado real del servidor (p.ej. sitio web de un banco) para, seguidamente, ser enviados a su destino real. Recíprocamente, cuando una respuesta HTTPS se recibe desde el servidor, es descifrada usando el certificado real mientras los datos cifrados son enviados de nuevo al httphk y luego cifrados usando el certificado falso de Hesperbot antes de ser enviados al navegador.

En efecto, a través del proxy man-in-the-middle, Win32/Spy.Hesperbot puede acceder a las comunicaciones salientes HTTPS de la víctima antes de que se cifre y sus comunicaciones entrantes HTTPS después de ser descifradas. El mismo efecto se consigue con las técnicas de Man-in-the-Browser de los malware Zeus y SpyEye, pero esta nueva aproximación es ligeramente más sigilosa.

Por supuesto, está redirección maliciosa vía proxy debe realizarse por un certificado inválido para un sitio web HTTPS. Los autores de Hesperbot también pensaron en esto. El módulo nethk lleva sus propios certificados SSL autofirmados y estos sustituyen a certificados legítimos.

62

Imagen 6 – Certificados SSL dentro del binario nethk

7

Imagen 7 – Ejemplo de certificados falsos en uso de Hesperbot. En un sistema limpio, el certificado de Google se mostraría aquí.

Para poder engañar al navegador y que crea que el certificado es válido y evite mostrar un mensaje de alerta, el módulo malicioso también secuestra las funciones responsables de la verificación de los certificados. La implementación difiere dependiendo del navegador. La siguiente tabla muestra que navegadores son soportados por Win32/Spy.Hesperbot y que funciones son secuestradas.

graph

Imagen 8 – Funciones de verificación del certificado secuestrado por Hesperbot para diferentes navegadores

Una característica interesante de este código malicioso es que los autores han usado hashes en lugar de usar  nombres de procesos del navegador directamente,para así complicar el análisis y, más importante, para proteger el malware de la detección por firmas de los antivirus.

9

Imagen 9 – Ofuscación de código en Win32/Hesperbot. Se utilizan hashes en lugar de nombres de procesos

La imagen a continuación muestra el código de CertVerifyCertificateChainPolicy.

10

Imagen 10 –  API de CertVerifyCertificateChainPolicy

En el caso del proceso de verificación de la política en cadena de un cliente/servidor SSL (otros tipos son rechazadas y enviados a la función original), la función secuestrada simplemente devuelve un resultado indicando que se comprobó la revisión de la política.

Httphk

El modulo httphk sólamente se hace responsable de interceptar los datos del protocolo HTTP. Cuando se lanza el httphk-callback, intercepta las cabeceras HTTP y los datos para rellenar una estructura interna. Esta estructura será accedida por el módulo httpi.

De nuevo, httphk expone dos funciones callbak para invocar httpi: httpi_request_callback and httpi_response_callback.

Httpi                          

Este es el módulo principal que realiza la modificación de los datos HTTP, de acuerdo con el fichero de configuración.

Cuando se llama a httpi_request_callback se realizan las siguientes acciones:

  • Captura de pantallas y vídeos: el módulo lee el fichero de configuración y revisa la URL solicitada. Si se especifica en la configuración, la captura de pantalla y vídeo se empieza a realizar.
  • Recopilación de formularios: el módulo revisa si existe una solicitud POST a través del esquema HTTP y si el tipo de contenido es “application/x-www-form-urlencoded” o “text/plain”. Si se cumplen estas condiciones, es probable que el usuario haya enviado un formulario. Si el fichero de configuración especifica que la URL debe ser monitorizada, estos datos se guardan en un registro.

Cuando se llama a httpi_response_callback ocurre lo siguiente:

  • Inyección HTML: lo primero que hace el troyano es revisar si el código de respuesta HTTP es 200. A continuación, lee el fichero de configuración y, si existen entradas de inyección web para la página web que responde, se introducen en el contenido HTML.

La imagen a continuación muestra un fichero de configuración descifrado utilizado en la botnet portuguesa. Puede observarse que el primer grupo de dominios (ignorados por httpi) son de poco interés para los operadores de la botnet. A pesar de que las credenciales robadas de sitios como Google o Facebook serían consideradas como valiosas para otro software espía, esto demuestra que los creadores de Hesperbot solo están interesados en los datos relacionados con banca online. Las páginas web  objetivo se listan a continuación de las ignoradas. El resto del fichero de configuración contiene códigos HTML que se supone deben inyectarse en los sitios web bancarios.

11

Imagen 11 – Fichero de configuración descifrado de la inyección web usado en la botnet portuguesa.

Parece que las personas que escribieron los scripts de la inyección web hablaban ruso, tal y como se deduce de los comentarios en el código fuente. No obstante, observamos que los scripts podrían ser o no escritos por las mismas personas que crearon el malware Win32/Spy.Hesperbot y/o manejan la botnet. Los scripts de inyección web son normalmente compartidos y reutilizados. Esto es posible cuando se utiliza un formato similar en varias familias de malware y la especialización entre los cibercriminales es algo común.

Authores:
Anton Cherepanov
Robert Lipovsky

Listado de MD5s
3d71bc74007a2c63dccd244ed8a16e26
ce7bcbfad4921ecd54de6336d9d5bf12
f8ef34342533da220f8e1791ced75cda
1abae69a166396d1553d312bb72daf65
83b74a6d103b8197efaae5965d099c1e
91c5a64e6b589ffcfe198c9c99c7d1f0
ae40a00aad152f9113bc6d6ff6f1c363
27d8098fe56410f1ac36008dbf4b323e
8a9cb1bb37354dfda3a89263457ece61
ff858b3c0ea14b3a168b4e4d585c4571
1243812d00f00cef8a379cb7bc6d67e7
1e1b70e5c9195b3363d8fb916fc3eb76
4cf7d77295d64488449d61e2e85ddc72
5410864a970403dae037254ea6c57464
64a59d4c821babb6e4c09334f89e7c2d
1f7b87d5a133b320a783b95049d83332
028a70de48cd33897affc8f91accb1cd
4cc533ef8105cbec6654a3a2bc38cb55
59427cfb5aa31b48150937e70403f0db
c8ee74ada32ea9040d826206a482149e
d3c7d6d10cd6f3809c4ca837ba9ae2e8



Hesperbot – Análisis técnico 1 de 2

El siguiente artículo es una traducción y adaptación del publicado por nuestro compañero Robert Lipovsky en el blog oficial de ESET WeLiveSecurity.

Win32/Spy.Hesperbot es un nuevo troyano bancario que ha estado afectando a usuarios de banca online en Turquía, la República Checa, Portugal y el Reino Unido. Para más información acerca de las campañas de propagación de este malware y sus víctimas se puede consultar el primer post publicado al respecto. En este artículo descubriremos los detalles técnicos del malware, incluyendo la arquitectura general así como también su componente móvil.

Visión general

Como otras familias de malware, Win32/Spy.Hesperbot posee una arquitectura modular. En el primer paso de la infección, la víctima descarga y ejecuta un componente de descarga de ficheros (dropper). Este dropper se encuentra protegido por un empaquetador de malware personalizado y distribuido en un archivo ZIP.

1_Diagramy-01

Imagen 1 – Visión general de los módulos iniciales de Hesperbot

La función del dropper es inyectar el componente principal (core) en el fichero explorer.exe. A continuación, el core descarga y carga módulos adicionales, complementos utilizados para realizar acciones maliciosas.

Screen-Shot-2013-09-06-at-11.00.35

Imagen 2 – Descripción de los módulos de Win32/Spy.Hesperbot

Los distintos módulos se encuentran disponibles en variantes x86 y x64, de acuerdo con el sistema anfitrión.

También están disponibles algunas funciones internas de módulos individuales para que otros módulos puedan usarlo a través de una tabla de métodos virtual (vtable).

Hemos aplicado ingeniería inversa a los componentes del malware y resaltaremos las características más interesantes en los siguientes párrafos. La mayoría de componentes del malware fueron compilados usando Visual Studio 2010 y escritos en el lenguaje de programación C, pero sin utilizar la librería  Run-Time de C. Aun sin ser el malware más sofisticado que hayamos analizado, Win32/Spy.Hesperbot no puede ser considerado una obra de aficionados.

Módulos principales

Dropper

El dropper puede utilizar uno entre varios métodos para inyectar el componente core en la dirección de espacio de explorer.exe:

  • Iniciando una nueva instancia de explorer.exe y modificando su punto de entrada usando NtGetContextThread para apuntar a su propio código (escrito utilizando WriteProcessMemory). Esto puede hacerse bien directamente o a través de un proceso intermedio attrib.exe.
  • Inyectándose a sí mismo en el fichero existente explorer.exe utilizando el elaborado truco Shell_TrayWnd/SetWindowLong/SendNotifyMessage usado en PowerLoader y otro malware (Aleks Matrosov ha publicado varios artículos en el blog recientemente, así que no nos extenderemos en este punto).
  • Inyectándose a sí mismo en el archivo explorer.exe utilizando la aproximación común con CreateRemoteThread.

De forma interesante, el método de inyección también está basado dependiendo de si los drivers cmdguard.sys (Comodo) o klif.sys (Kaspersky) se encuentran presentes en el sistema.

Core

El módulo core, ejecutándose ahora en el context del explorer.exe, controla las comunicaciones con el servidor C&C y lanza otros módulos complementarios. La funcionalidad del malware típico, como la de escribir en la llave Run del registro de Windows, también es controlada por core.

Para poder acceder al servidor C&C, Win32/Spy.Hesperbot.A utiliza bien una dirección URL integrada en el código (se observaron varias diferentes en las variantes utilizadas en las botnets de la República Checa, Turquía y Portugal) o genera nuevas direcciones URL del C&C utilizando un algoritmo de generación de dominios en caso de que el primer servidor se encuentre inaccesible.

La siguiente información se envía al servidor de mando y control (C&C):

  • Nombre del bot basándose en el nombre del ordenador
  • Nombre de la botnet – hasta el momento hemos observado “cz-botnet”, “tr-botnet”, “pt-botnet”, “uk-botnet” y “super-botnet” (utilizada en versiones beta tempranas)
  • Direcciones IP de los adaptadores de red presentes
  • Nombres de las Smart-cards activas

Información acerca de los complementos de Hesperbot instalados

31

Imagen 3 – Identificador de la botnet en el código de Hesperbot

De vuelta, el servidor puede enviar:

  • Un archivo de configuración
  • Módulos de complementos
  • Un ejecutable arbitrario para ejecutar
  • Una nueva versión de sí mismo

Varios detalles técnicos sobre  la funcionalidad que acabamos de nombrar son dignos de mención. En  primer lugar, el malware es capaz de numerar las smart cards presentes en el sistema utilizando las funciones API SCardEstablishContext, SCardListReaders y SCardConnect. A diferencia de ataques más sofisticados contra smart-cards (descritos por Aleks aquí y aquí), Win32/Spy.Hesperbot solo recopila nombres de smart-cards y no posee la habilidad para interactuar con ellas.

En segundo lugar, los datos descargados (es decir, el archivo de configuración y los módulos de complementos) están cifrados usando Twofish cipher. La clave de 256 bits es un hash basada en:

  • Nombre del ordenador
  •  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion] “InstallDate”
  • Versión de Windows
  • Arquitectura del procesador (x86, x64 o IA64)
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography] “MachineGuid”
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion] “DigitalProductId”

Para almacenar los datos descargados así como también otros binarios auxiliares (p.ej. el registro creado por el módulo keylogger), Hesperbot utiliza un subdirectorio nombrado de forma aleatoria en la ruta %APPDATA%.

El módulo core puede inyectarse a sí mismo en todos los procesos en ejecución. Más aun, un truco no documentado de engancharse al UserNotifyProcessCreate se usa cuando se ejecuta dentro de csrss.exe para asegurarse de que el código del troyano se inyectará en todos los nuevos procesos.

Componente Móvil

Actualmente es común que los troyanos bancarios utilicen componentes móviles (como ZitMo y SpitMo, por ejemplo) para poder saltarse las medidas de autenticación bancaria que usan mTANs (Mobile Transaction Authentication Number).

En los scripts de inyección en web que hemos visto hasta ahora, el malware introduce código en el sitio web, lo que invita al usuario a instalar una aplicación en su teléfono móvil. A la víctima se le ofrece un listado de modelos de teléfono y, tras introducir su número de teléfono, se envía un enlace a su móvil para descargar el componente móvil. Se soportan tres plataformas de móviles: Android, Symbian y Blackberry.

41

Imagen 4 – Plataformas móviles soportadas en un Javascript inyectado en web

Hemos analizado las versiones para Symbian y Android, pero no hemos podido obtener una muestra del malware para Blackberry. La versión para Symbian soporta una amplia variedad de dispositivos, incluyendo Symbian S60 3ª edición, Symbian S60 5ª edición y la más reciente, Symbian 3.

Ambos troyanos móviles analizados muestran una funcionalidad similar. Primero se realiza un “procedimiento de activación”. El Javascript de inyección web en el ordenador infectado por Hesperbot genera un “número de activación” aleatorio, que se muestra al usuario. Seguidamente, se le indica al usuario que reintroduzca este número cuando se lo pida la aplicación móvil. Esta aplicación muestra entonces un código de respuesta, que se calcula a partir del número de activación. A continuación se le pide al usuario que introduzca este código en la página web que se muestra en su ordenador para realizar la verificación (el script inyectado contiene el mismo algoritmo para calcular el código de respuesta que el utilizado en el componente móvil). Esta funcionalidad proporciona a los atacantes la confirmación de que la víctima ha instalado el componente móvil con éxito y lo liga con la infección.

51

Captura de pantalla del componente de Android – Android/Spy.Hesperbot.A

Tal y como era de suponer, el código de las versiones Symbian y Android (y muy probablemente también en la versión para Blackberry), registra un servicio que espera a recibir mensajes SMS entrantes y los envía al número de teléfono del atacante. De esta forma, el atacante consigue el código mTAN necesario para registrarse en la cuenta bancaria secuestrada.

El código instalado en el móvil también proporciona al atacante la habilidad de controlar el servicio remotamente a través de comandos SMS.

El componente para Android es detectado por ESET como Android/Spy.Hesperbot.A y la versión Symbian como SymbOS9/Spy.Hesperbot.A

Otras funcionalidades

Keylogger

El modulo keylogger intercepta las pulsaciones de teclas al anclarse en las funciones GetMessage y TranslateMessage en la librería user32.dll. Estas pulsaciones se guardan en un fichero de registro, junto con el nombre del módulo del proceso original y un texto con el título de la ventana. Tras esta operación, el registro se envía al servidor C&C.

Capturas de pantalla y vídeo

Las capturas de pantalla y vídeo se realizan por el módulo httpi si así se especifica en el fichero de configuración.

La funcionalidad de captura de vídeo ha sido usada por el malware Citadel, modificado a partir de Zeus, y proporciona a los atacantes una mejor visión general de lo que está sucediendo en la pantalla de la víctima. Se implementa utilizando funciones Avifil32.dll: AVIFileCreateStream, AVIFileMakeCompressedStream, AVIStreamWrite, etc.

61

Imagen 6– Parte del código de captura de vídeo de Hesperbot

La funcionalidad más común de captura de pantalla se implementa utilizando las funciones de Gdi32.dll BitBlt, GetDIBits, etc.

VNC oculto

La funcionalidad VNC ha sido usada con anterioridad por el infame malware Carberp (de hecho, Carberp ha podido servir como inspiración a los creadores de Hesperbot tras el filtrado de su código fuente). Permite al troyano crear un servidor VNC oculto, al cual se puede conectar remotamente el atacante. Debido a que VNC no desconecta al usuario tal y como hace RDP, el atacante puede conectarse al ordenador de la víctima sin levantar sospechas mientras esta se encuentra trabajando. La sesión de VNC se ejecuta en un escritorio aparte (consulte CreateDesktop en MSDN), de forma invisible para el usuario. El módulo también proporciona al atacante la posibilidad de lanzar un navegador que se encuentre instalado en el sistema anfitrión. De esta forma, el atacante también tendrá acceso a todos los datos asociados con los navegadores (cookies, sesiones, etc.).

En nuestro 3er post hablando sobre Win32/Spy.Hesperbot, comentaremos los detalles técnicos que tienen relación con la interceptación de la red y la funcionalidad de inyección web. Permaneced atentos.



Artículos Anteriores »

Atención: nuestra página utiliza cookies Al utilizar nuestro sitio web, consiente nuestra política de uso.

Aceptar y ocultar este mensaje