Foxxy Software: Hosting malicioso a la carta

La profesionalización del malware en los últimos años ha provocado también la aparición de cierto tipo de servicios, llamémosles “profesionales”, que proporcionan herramientas y facilitan la vida de los ciberdelincuentes a la hora de realizar sus actividades delictivas. En los diversos laboratorios que ESET tiene repartidos por todo el mundo, nos dedicamos a analizar todo tipo de amenazas, incluyendo aquellas URL en las que observemos nuevas tendencias en campañas de malware.

Nuestro compañero, Sébastien Duquette, del laboratorio de ESET en Montreal, acaba de publicar el resultado de una investigación en la que ha analizado un grupo de URL que seguían un patrón similar. Cuando nuestro compañero investigó más a fondo encontró que estas URL apuntaban a copias de web legítimas que incluían un applet de Java dentro de su código.

Un ejemplo de ello es la siguiente captura de pantalla donde se compara el sitio web original (en este caso, la página web principal del popular juego RuneScape) con su copia. La zona gris que aparece en la web clonada es debido a que el applet de Java se encontraba desactivado cuando se tomó esta captura.

Cuando examinamos el código fuente HTML de los sitios webs clonados encontramos comentarios indicando que las primeras versiones fueron copiadas con HTTrack, una herramienta open-source usada con el objetivo de guardar webs para su posterior lectura offline. En las últimas versiones, el comentario ha sido modificado para poner “FoxxySF Website Copier”. Nos sorprendió comprobar cómo la persona detrás de este asunto se molestó en modificar el comentario en lugar de eliminarlo.

Observamos cómo se incluyó un script y un applet de Java en los sitios web clonados. Esto, por sí mismo, no es nada nuevo: los applets de Java se han usado por un tiempo para instalar malware en los ordenadores. No obstante, usar una copia del sitio web de Runescape es una estrategia bien pensada, ya que el juego en sí es un applet de Java y, por lo tanto, los usuarios pueden estar acostumbrados a ver avisos de seguridad de Java y caer en la trampa.

Este script malicioso fue escondido e incorporaba un contador de impactos albergado en un servidor en otro dominio para mantener un registro del número de visitantes a los sitios web clonados.

Al ejecutarlo, el applet de Java descarga un archivo ejecutable malicioso albergado en varios servicios de almacenamiento de ficheros y lo pone en marcha. Cuando se descompila el applet encontramos que el autor usó HelloESET como nombre de la función.

Tras ejecutar con éxito el archivo descargado, el applet también realizó una llamada al mismo dominio que mencionó el script previamente. Ese dominio parecía un excelente candidato para continuar con nuestro análisis.

Presentamos a FoxxySoftware

Cuando visitamos el dominio con un navegador web, nos sorprendimos al descubrir que estaba alojando en un sitio web desde donde se ofrecía un servicio de distribución de malware.

Esta web contenía una comparativa de las funciones de las diferentes versiones del producto, mencionando características maliciosas como “clonador de sitios web”, “auto propagación”, uso de compresión de archivos ejecutables y análisis con varios motores antivirus para asegurarse de que los archivos no son detectados antes de ser distribuidos. La descripción incluía también la siguiente frase: “FoxxyJava le permite descargar una aplicación a los varios ordenadores de forma rápida y efectiva, sin complicaciones ni frustraciones”.

En el sitio web se incluía un blog y en uno de los artículos del mismo el desarrollador se quejaba de las detecciones que realizaban los productos de ESET. Lo gracioso es que no nos encontrábamos siguiendo el rastro de este malware antes de que empezáramos este análisis (que comenzó después de que publicara su queja) y ni siquiera teníamos una cuenta en este blog.

Además del seudónimo usado en el blog de FoxxySoftware, también teníamos direcciones de email y otra información recopilada de las entradas de WHOIS para los nombres de dominio. Nuestro siguiente paso fue revisar y ver qué información adicional podíamos encontrar en relación con este caso. Esto muchas veces resulta complicado y un considerable gasto de tiempo, porque los autores de malware y ciberdelincuentes suelen tomar precauciones para no proporcionar demasiada información sobre ellos mismos y así poder mantener su vida personal separada de su alter ego maligno. Pero no fue así en esta ocasión.

Conociendo a JHFIRE

La primera información que encontramos fue en foros de hacking, donde nuestro nuevo amigo estaba promocionando su producto, lo cual no debería sorprendernos porque es una práctica habitual. También encontramos posts antiguos donde usaba el mismo seudónimo y estilo de lenguaje y donde se pavoneaba de usar trampas en juegos online. Este es, posiblemente, el inicio de su “carrera” de ciberdelincuente. Buscando un poco más descubrimos que tenía incluso cuentas de Twitter donde anunciaba su producto.

También realizó una pregunta en el foro de programación StackOverflow, pidiendo ayuda con parte de un código Javascript.

Asimismo, también encontramos quejas suyas en los foros de Dropbox sobre su interfaz de programación de aplicaciones (API), la cual era usada para descargar los ejecutables del malware a los ordenadores de sus víctimas. Nos gustaría destacar el hecho de que Dropbox no estaba al tanto de este abuso de su sistema y respondió de forma eficaz y profesional cuando se lo notificamos.

En la página Web of Trust, servicio que permite clasificar sitios web como seguros o peligrosos, se quejaba de que su página había sido etiquetada como maliciosa.

También comentó un artículo en el blog de Kaspersky, donde se quejaba de la explicación de una descarga “drive-by”.

Buscando en Youtube también encontramos una cuenta relacionada con este personaje. Entre los vídeos que publicó, hay uno que se llama “Hacking a Hacker”, donde se puede observar un nombre que aparece durante breves instantes en el menú de Inicio de Windows. ¡Ups!

Buscando por una de las direcciones de email que extrajimos desde las entradas de WHOIS encontramos el mismo nombre asociado a una cuenta de Skype.

Conclusión

A pesar de que hay una parte cómica, este caso ilustra una tendencia problemática representada en la existencia de servicios de creación y distribución de malware de forma fácil y sencilla. Servicios como la compresión automática de ejecutables, análisis para evitar la detección por parte de los antivirus, alquiler de botnets para el envío de spam o ataques de denegación de servicio. Básicamente, un poco de todo lo que un ciberdelincuente podría necesitar puede ser comprado y usado con solo un par de clics. Y, mientras que la mayoría de estos servicios se anuncian en foros “underground”, el hecho de que veamos cada vez más casos de este tipo en webs públicas presentándose como un negocio legítimos es motivo de preocupación.

También es difícil cerrar este tipo de servicios, incluso ante casos evidentes de abuso como este. Contactamos con los servicios de alojamiento usados por FoxxySoftware con escasos resultados, por lo que el sitio web aun sigue accesible en el momento de publicar este artículo [1]. Por eso, desaconsejamos encarecidamente acudir a este sitio para evitar ser objetivos de un ataque.

[1] Nos gustaría dar las gracias a Dropbox y PublicDomainRegistri por tomar acciones rápidamente tras haber contactado con ellos

Josep Albors

@JosepAlbors

Un comentario

Comentar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..