Archivo de la etiqueta: Malware

¡2014: qué año fue!

¿Cómo definiría un año que se inició con una de las violaciones de datos más grande jamás conocidas, que afectaba a Target, y terminó con otra gran brecha de datos causando un daño significativo a un estudio de Hollywood?

 

¿Cómo definiría un año que supuso el retorno a los viejos tiempos de codificación para parchear las vulnerabilidades de software ampliamente desplegado y que puso a casi todo el mundo en riesgo?

¿Cómo definiría un año que multiplicó por cuatro el malware bancario en la plataforma Android pasando el número total de casos de malware en Android a cuatro y un cuarto de millón (4.260.000)?

Infosnippet-2014-Annual-Security-Roundup-300x300

Por muchas razones, 2014 fue un año excepcional(mente malo) para la seguridad y privacidad en línea. Desde vulnerabilidades a violaciones de datos, desde el malware para Android hasta el  ransomware 2014 fue un año de primicias horribles. Pero 2014 no fue un año malo por una única razón: que fue un año de muchas novedades en muchas áreas.

Parafraseando a la Reina Isabel II, 2014 puede calificarse como un annus horribilis. Lamentablemente, 2015 no muestra ningún dato significativo de mejora.

Para entender mejor lo difícil que fue un año 2014, consulte nuestro informe anual recientemente publicado “Magnified Losses, Amplified Need for Cyber-Attack Preparedness.”

Por favor, añada sus comentarios o sígame en Twitter; @ChristopherBudd.

Encontrando agujeros en la Seguridad Bancaria: Operación Emmental

David Sancho (Senior Threat Researcher)

Al igual que el queso suizo Emmental, la forma en que sus cuentas bancarias on line están protegidas podría estar llena de agujeros. Los bancos han estado tratando de evitar que los delincuentes tengan acceso a sus cuentas en línea desde siempre. Contraseñas, PINs, tarjetas de coordenadas, TANs, tokens de sesión – todos fueron diseñados para ayudar a prevenir el fraude bancario. Recientemente hemos encontrado una operación criminal que tiene como objetivo derrotar a una de estas herramientas: tokens de sesión. Así es como lo consiguen.

Esta banda criminal intenta dar en el blanco de los bancos que utilizan los tokens de sesión enviados a través de SMS (es decir, mensajes de texto). Este es un método de autenticación de dos factores, que utiliza los teléfonos de los usuarios como canal secundario. Tratando de iniciar sesión en el site de un banco, el mismo banco debería enviar a los usuarios un SMS con un número. Los usuarios tienen que introducir ese número, junto con su usuario y contraseña habituales con el fin de realizar transacciones con la entidad bancaria. Por defecto, este es utilizado por algunos bancos en Austria, Suecia, Suiza, y otros países europeos.

Los cibercriminales spamean a los usuarios desde esos países con correos electrónicos spoofing que parecen venir de minoristas on line. Los propios usuarios hacen clic en un enlace malicioso o en un archivo adjunto e infectan sus ordenadores con malware. Hasta ahora, todo es bastante típico y desde una perspectiva de amenaza, un tanto aburrido.

Pero aquí es donde se pone interesante. Los equipos de los usuarios en realidad no se infectan, desde luego no con el malware bancario habitual. El malware sólo cambia la configuración de sus ordenadores y luego se elimina a sí mismo. ¿Qué te parece esto como infección indetectable? Los cambios son pequeños …. pero de grandes repercusiones.

Así es como funciona: la configuración de los DNS de los «ordenadores» de los usuarios se cambia para que apunte a un servidor externo controlado por ciberdelincuentes. El malware instala un certificado raíz SSL en sus sistemas para que los servidores HTTPS maliciosos confíen y no vean ninguna advertencia de seguridad.

1

Figura 1. ¿Qué sucede en el proceso de autenticación de 2 factores cuando el PC está infectado por la Operación Emmental?

Ahora, cuando los usuarios con ordenadores infectados intentan acceder a la página web del banco, se dirigen a un site malicioso que se parece al de su banco. Hasta ahora, esto es sólo un sofisticado ataque de phishing, pero estos criminales son mucho más retorcidos que eso. Una vez que los usuarios introducen sus credenciales, se les indica que instalen una aplicación en su smartphone.

Esta aplicación Android maliciosa está disfrazada de generador de tokens de sesión del banco. En realidad, interceptará mensajes SMS desde el banco y los remitirá a un servidor de comando y control (C & C) o a otro número de teléfono móvil. Esto significa que el ciberdelincuente no sólo obtiene las credenciales de banca online de las víctimas a través de la página web de phishing, sino también las sesiones de tokens necesarias para operaciones bancarias en línea. Los delincuentes terminan con un control total de las cuentas bancarias de las víctimas.

Es una gran operación de malware. Campañas de spam adaptadas al país, malware no persistente, servidores DNS maliciosos, páginas de phishing, malware para Android, servidores C & C y servidores back end. No se puede decir que estos criminales sean perezosos.

Los criminales detrás de esta operación en particular tienen como objetivo a los usuarios de Internet en Suiza, Austria y Suecia. En mayo, añadieron a los usuarios japoneses a su lista de potenciales víctimas. Hemos sido capaces de rastrear los operadores de vuelta mediante los apodos: – = FreeMan = – y Northwinds. Estos cibercriminales han estado activos desde 2011. En aquel entonces, expandían paquetes de malware como SpyEye y Hermes. En cuanto a los binarios que se desplegaron recientemente, creemos que los criminanles hacen uso de al menos dos servicios de cifrado diferentes. Uno de estos servicios está dirigido por una persona de Uzbekistán. No hemos sido capaces de identificar el otro.   

Puedes encontrar más información sobre este ataque en nuestro informe Finding Holes: Operation Emmental, que habla de esta técnica en profundidad. SWITCH.CH, el CERT de Universidades en Suiza, también realizó investigaciones sobre Emmental  y publicó sus conclusiones en su site.

Las amenazas ponen en juego el balón antes que el Mundial de Brasil

Por

Los delincuentes cibernéticos conocen bien la curiosidad que despiertan ​​ acontecimientos mundiales. Por ejemplo, la próxima Copa Mundial de la FIFA 2014 en Brasil. Mientras el mundo está esperando su inicio, los ciberdelincuentes no pierden el tiempo y ahora están poniendo en marcha las nuevas amenazas que convierten en víctimas a los seguidores globales .
Resultados de la búsqueda de malware , adware

Recientemente, hemos encontrado un archivo llamado Jsc Sport Live + Brasil Copa Mundial 2014 HD.rar que contiene el archivo de Brasil Copa Mundial Streaming 2014.exe . Este archivo es un backdoor identificado como BKDR_BLADABIN.AB .
Este backdoor en particular es una variante BLADABINDI que se cree ha sido creado con nJRAT , una herramienta de acceso remoto conocida. Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado. También puede capturar imágenes, que pueden ser utilizadas para obtener información sensible .
Los aficionados a los juegos de fútbol también están en el punto de mira . Una búsqueda sobre el Mundial llevó a un supuesto generador de claves para el juego FIFA 14. Sin embargo, el supuesto generador de claves es en realidad adware identificado como ADW_INSTALLREX .
FIFA-malicious-page                                               1. Site que aloja el generador de claves falsas

Ataques de phishing

Las amenazas del Mundial no se limitan a malware. Hemos encontrado correos electrónicos de phishing que utilizan un supuesto ” Sorteo de promoción de la Copa Mundial de la FIFA 2014″ para convencer a los usuarios a compartir información personal. También hemos visto un sitio web que pide a los usuarios suministro de información como sus credenciales de la tarjeta de crédito. Al escribir estas líneas, la página ha sido desactivada .
FIFA-phishing-page                                                                    2. Página de Phishing

La necesidad de una vigilancia constante

La vigilancia constante se mantiene como el mejor escudo de defensa que se puede utilizar contra estos esquemas de ingeniería social. Desde mensajes spam hasta posts sospechosos en los social media, los ciberdelincuentes saben cuál es el cebo para convertirle en una víctima. Piense y verifique antes de hacer clic en el siguiente enlace que aparece en su correo.
Para obtener más consejos sobre los esquemas de la ingeniería social , puede leer nuestra guía electrónica Digital Life ” Cómo funciona la Ingeniería Social “.
Con análisis adicional de Abigail Villarin , Antonio Pangilinan II, Karla AGREGADO y Rika Gregorio.

Malware de móviles obtiene Dogecoins y Litecoins para acabar recibiendo Bitcoins

Por Veo Zhang (Analista de amenazas móviles)

Recientemente, algunos investigadores reportaron que malware de la familia Android (detectado como ANDROIDOS_KAGECOIN.HBT) minaba las capacidad de cifrado de las monedas. Según nuestro análisis  este malware está involucrado en  varias monedas digitales, incluyendo Bitcoin, Litecoin y Dogecoin. Esto tiene consecuencias reales para los usuarios: corta duración de la batería, mayor desgaste, todo lo cual podría significar una vida más corta del dispositivo.

Los investigadores encontraron originalmente ANDROIDOS_KAGECOIN como copias pirateadas de aplicaciones populares como Football Manager Handheld y TuneIn Radio. Las aplicaciones fueron programadas con el código de una aplicación legítima de la CPU de cifrado de monedas Android . Este código se basa en el software conocido como cpuminer.

Para ocultar el código malicioso, los cibercriminales han modificado parte de la app de Google Mobile Ads, tal como se indica:

1

1. Código modificado de Google Mobile Ads

La operación se inicia como un servicio de fondo una vez que se detecta que el dispositivo afectado está conectado a Internet. Por defecto, la CPU se conecta a un dominio dinámico, que luego se dirige a un grupo anónimo Dogecoin.

El 17 de febrero esta red de móviles hizo ganar miles de Dogecoins al cibercrimen. Después del 17 de febrero, el cibercrimen cambió. El malware está configurado para descargar un archivo que contiene información necesaria para actualizar la configuración del malware. Este archivo de configuración se actualizó y ahora se conecta a la pool conocida como WafflePool. Los Bitcoins se han pagado (es decir, trasladado a cartera del cibercrimen) varias veces.

2

2. Código de configuración de pool de monedas

Las aplicaciones de extracción de monedas mencionadas eran de fuera de Google Play Store, pero hemos encontrado el mismo comportamiento en aplicaciones dentro de Google Play Store. Estas aplicaciones han sido descargadas por millones de usuarios, lo que significa que puede haber muchos dispositivos Android siendo utilizados para extraer cifrado de monedas para ciberdelincuentes. Detectamos esta nueva familia de malware como ANDROIDOS_KAGECOIN.HBTB. (en el momento de la publicación de este post, estas aplicaciones aún están disponibles).

3

3. Apps de extracción in Google Play

 4

4. Cuenta  de descarga de apps de extracción

Analizando el código de estas aplicaciones se descubre el código de cifrado de extracción. A diferencia de otras aplicaciones maliciosas, aquí la extracción sólo ocurre cuando el dispositivo se está cargando, porque con el incremento de uso energía no se nota tanto.

5

5. Código de extracción de cifrado de monedas

La misma lógica tiene la actualización de configuración. Analizando el archivo de configuración, parece que el cibercriminal está cambiando a Litecoins.

6

6. Archivo de configuración, que muestra el cambio a LiteCoin

Creemos que con miles de dispositivos afectados, el cibercriminal acumula gran cantidad de Dogecoins.

Por el lenguaje enmarañado de los términos y condiciones de los sites web de estas aplicaciones, los usuarios pueden ignorar que sus dispositivos son potencialmente dispositivos de robo.

Pero por muy bien diseñado que esté el ataque, el que lo ha llevado a cabo puede que no haya pensado en todo. Los teléfonos no tienen suficiente capacidad para servir como eficaces mineros. Los usuarios notarán rápidamente un comportamiento extraño– se cargan lentamente y se calientan mucho, haciendono particularmente discreta la presencia del minero . Sí, es cierto que ganan dinero, pero a un ritmo glacial.

Los usuarios de teléfonos y tablets que repentinamente se carguen lentamente, se calienten, o se queden sin batería deberían considerar estar siendo expuestos a amenazas. También, sólo porque una aplicación se haya descargado desde una tienda de aplicaciones – incluso Google Play – no significa que sea segura.

Hemos informado de este tema al equipo de seguridad de Google Play.

 

Campaña Siesta: un nuevo ataque dirigido que despierta

por Maharlito Aquino (Threat Research)

En las últimas semanas, hemos recibido varios informes de ataques dirigidos a varias vulnerabilidades de aplicación para infiltrarse en diversas organizaciones. Similar a la Campaña Safe, observamos que las campañas pasaron inadvertidas. Los atacantes que dirigen la campaña que llamamos Campaña Siesta utilizaron malware multicomponente para elegir ciertas instituciones del tipo:

• Bienes y servicios de consumo y servicios

• Energía

• Finanzas

• Sanidad Pública

• Medios de comunicación y telecomunicaciones

• Administración pública

• Seguridad y defensa

• Transporte y tráfico

Los actores amenaza no siempre confían en vectores de ataque complejos para infiltrarse en la red de una organización. Los atacantes también pueden hacer uso de técnicas de ingeniería social básica para que sus víctimas muerdan el anzuelo, como aparece en nuestro siguiente case study.

Campaña Siesta: case study

Actualmente estamos investigando un incidente que involucró a los atacantes enviando mails spear-phishing dirigidos a ejecutivos de una empresa desconocida. Estos mails fueron enviados desde falsas direcciones de correo electrónico de personal dentro de la organización. En lugar de utilizar los archivos adjuntos y exploits de documentos, esta campaña específica sirve su malware a través de un enlace de descarga de archivos de apariencia legítima.

Para conseguir que se descargue el archivo, el atacante lo sirve en una ruta de URL citada tal que así:

http://{Dominio malicioso} / {nombre de la empresa} / {legítimo nombre de archivo} .zip

Este archivo contiene un archivo ejecutable (TROJ_SLOTH) con la apariencia de un documento PDF. Cuando se ejecuta se abre un archivo PDF válido, que probablemente fue tomado del sitio web de la organización elegida.

Junto con este archivo PDF válido, también se ejecuta otro componente malicioso en el fondo.

Este componente de puerta trasera se llama google {BLOCKED} .exe. (Lamentablemente, durante las investigaciones en curso y por el momento, somos incapaces de compartir valores hash y  nombres de archivo). Esta puerta trasera se conecta a http://www.micro { BLOCKED }. com/index.html, servidores de comando y control (C & C). Trend Micro identifica estas muestras como BKDR_SLOTH.B.

En este punto, el malware comienza a esperar comandos adicionales desde el atacante. Los comandos cifrados que se aceptan son:

•Sleep:

  • Ordena a la puerta trasera dormir durante un número de minutos específico
  • Durante nuestro análisis hemos recibido una orden de “sleep: 120” que significa que el malware esperará 2 horas antes de volver a establecer una conexión con el servidor  C&C

• Download: < download_url >

• Ordena a la puerta trasera descargar y ejecutar un archivo (probablemente otro ejecutable Win32) desde una dirección URL específica

El servidor C & C utilizado en esta campaña es nuevamente registrado por poco tiempo, por lo que nos resulta difícil seguir el comportamiento de malware.

Según nuestra investigación, existen dos variantes del malware utilizado en esta campaña. Aunque no exactamente iguales, los comportamientos son casi idénticos.

Una de las muestras similares es un archivo llamado Concerning the Spread of Superbugs Febrero 2014.exe (SHA1: 014542eafb792b98196954373b3fd13e60cb94fe). Esta muestra arroja el archivo UIODsevr.exe, su componente backdoor que se comporta de manera similar aBKDR_SLOTH.B además de comunicar a su C & C en skys com {BLOCKED}. Estas muestras son identificadas por Trend Micro como BKDR_SLOTH.A.

Ambas variantes utilizan excesivamente llamadas de sueño, que representa el malware inactivo durante distintos períodos de tiempo, de ahí el nombre de la campaña “Siesta”. Las órdenes se sirven a través de páginas HTML usando diferente palabras clave que se enumeran a continuación:

 

Variant 1 prefix: “>SC<”

Variant 2 prefix: “longDesc=” suffix: “.txt”

A continuación los comandos backdoor que pudimos ver de nuestro análisis:

Variant 1 “run1” – open a remote shell “run2” – pipe shell commands from URL1 “run3” – pipe shell commands from URL2 “http” – pipe shell commands from C2 “x_” – sleep for specified number of minutes

Variant 2 “sleep:” – sleep for specified number of minutes “download:” – download and execute another executable from C2

 

A menudo es difícil atribuir las campañas y los métodos de ataque. Hemos sido capaces de identificar esta nueva campaña a través de inspección de hashes, C & c, los registradores, comandos y obtener información adicional.

siesta_attribution2

Dibujo 1. Gráfico de atribución (haga clic en la imagen para agrandarla)

Durante el curso de nuestra investigación, investigamos el malware. Rápidamente nos dimos cuenta de que la persona registrada como sky {BLOCKED} .com es también la que se registra como micro { BLOCKED } .com y ifued { BLOCKED } .net. Este individuo utiliza el nombre de Li Ning y otros con una dirección de correo electrónico de xiaomao{BLOCKED}@163.com. Este individuo también recientemente había registrado 79 dominios adicionales. Hay un total de aproximadamente 17.000 dominios registrados con esta misma dirección de correo electrónico.

domains-siesta 2

Dibujo 2. Dominios registrados bajo el nombre de Li Ning, basado en datos de Whois

Conclusión

La detección temprana es crucial en la prevención de ataques de datos confidenciales de la empresa. Las organizaciones y las grandes empresas necesitan una plataforma de protección avanzada frente a las amenazas  como Deep Security que puede mitigar los riesgos de ataques a través de sus diversas tecnologías de seguridad e inteligencia de amenaza global. En el corazón de nuestra solución  Custom Defense solución está Deep Discovery que proporciona inteligencia local y global en tiempo real a través del ciclo de vida del ataque. Esto puede ayudar a entender la naturaleza del ataque están tratando con los administradores de ti.

Trend Micro bloquea todas relacionadas con amenazas, mensajes de correo electrónico y URL asociados a estos ataques. Como siempre, aconsejamos a los usuarios que tenga precaución al abrir mensajes de correo electrónico y enlaces.

Con análisis de Kervin Alintanahin, Paloma Chiu y Kyle Wilhoit.