Archivo de la etiqueta: Amenazas

Malware de móviles obtiene Dogecoins y Litecoins para acabar recibiendo Bitcoins

Por Veo Zhang (Analista de amenazas móviles)

Recientemente, algunos investigadores reportaron que malware de la familia Android (detectado como ANDROIDOS_KAGECOIN.HBT) minaba las capacidad de cifrado de las monedas. Según nuestro análisis  este malware está involucrado en  varias monedas digitales, incluyendo Bitcoin, Litecoin y Dogecoin. Esto tiene consecuencias reales para los usuarios: corta duración de la batería, mayor desgaste, todo lo cual podría significar una vida más corta del dispositivo.

Los investigadores encontraron originalmente ANDROIDOS_KAGECOIN como copias pirateadas de aplicaciones populares como Football Manager Handheld y TuneIn Radio. Las aplicaciones fueron programadas con el código de una aplicación legítima de la CPU de cifrado de monedas Android . Este código se basa en el software conocido como cpuminer.

Para ocultar el código malicioso, los cibercriminales han modificado parte de la app de Google Mobile Ads, tal como se indica:

1

1. Código modificado de Google Mobile Ads

La operación se inicia como un servicio de fondo una vez que se detecta que el dispositivo afectado está conectado a Internet. Por defecto, la CPU se conecta a un dominio dinámico, que luego se dirige a un grupo anónimo Dogecoin.

El 17 de febrero esta red de móviles hizo ganar miles de Dogecoins al cibercrimen. Después del 17 de febrero, el cibercrimen cambió. El malware está configurado para descargar un archivo que contiene información necesaria para actualizar la configuración del malware. Este archivo de configuración se actualizó y ahora se conecta a la pool conocida como WafflePool. Los Bitcoins se han pagado (es decir, trasladado a cartera del cibercrimen) varias veces.

2

2. Código de configuración de pool de monedas

Las aplicaciones de extracción de monedas mencionadas eran de fuera de Google Play Store, pero hemos encontrado el mismo comportamiento en aplicaciones dentro de Google Play Store. Estas aplicaciones han sido descargadas por millones de usuarios, lo que significa que puede haber muchos dispositivos Android siendo utilizados para extraer cifrado de monedas para ciberdelincuentes. Detectamos esta nueva familia de malware como ANDROIDOS_KAGECOIN.HBTB. (en el momento de la publicación de este post, estas aplicaciones aún están disponibles).

3

3. Apps de extracción in Google Play

 4

4. Cuenta  de descarga de apps de extracción

Analizando el código de estas aplicaciones se descubre el código de cifrado de extracción. A diferencia de otras aplicaciones maliciosas, aquí la extracción sólo ocurre cuando el dispositivo se está cargando, porque con el incremento de uso energía no se nota tanto.

5

5. Código de extracción de cifrado de monedas

La misma lógica tiene la actualización de configuración. Analizando el archivo de configuración, parece que el cibercriminal está cambiando a Litecoins.

6

6. Archivo de configuración, que muestra el cambio a LiteCoin

Creemos que con miles de dispositivos afectados, el cibercriminal acumula gran cantidad de Dogecoins.

Por el lenguaje enmarañado de los términos y condiciones de los sites web de estas aplicaciones, los usuarios pueden ignorar que sus dispositivos son potencialmente dispositivos de robo.

Pero por muy bien diseñado que esté el ataque, el que lo ha llevado a cabo puede que no haya pensado en todo. Los teléfonos no tienen suficiente capacidad para servir como eficaces mineros. Los usuarios notarán rápidamente un comportamiento extraño– se cargan lentamente y se calientan mucho, haciendono particularmente discreta la presencia del minero . Sí, es cierto que ganan dinero, pero a un ritmo glacial.

Los usuarios de teléfonos y tablets que repentinamente se carguen lentamente, se calienten, o se queden sin batería deberían considerar estar siendo expuestos a amenazas. También, sólo porque una aplicación se haya descargado desde una tienda de aplicaciones – incluso Google Play – no significa que sea segura.

Hemos informado de este tema al equipo de seguridad de Google Play.

 

por Rika Joi Gregorio (Threat Response Engineer)

Conforme más países se unen a la búsqueda del desaparecido vuelo de Malaysia Airlines 370, los cibercriminales utilizan esta noticia tan comentada para propagar diferentes amenazas on line.

Una de ellas, que creemos se está extendiendo a través del correo electrónico, contiene un falso video sobre el vuelo. Supuestamente es un video de cinco minutos sobre MH70 llamado Malaysian Airlines MH370 5m video.exe. En realidad, es un backdoor detectado como BKDR_OTOPROXY.WR. Como en la mayoría de los backdoors, este malware permite a un atacante remoto ejecutar varios comandos en el sistema, incluidos los de descargar y ejecutar archivos desde sus servidores y recoger información del sistema.

Este backdoor tiene algo de inusual. Su servidor de comando y control (C & C) www-DPMC dynssl-com (sustituir guiones con puntos) fue observado por otros investigadores de seguridad en octubre del año pasado por estar relacionado con un ataque dirigido. No es habitual que un ataque dirigido comparta la misma infraestructura que una campaña mayor de ciberdelincuencia «convencional», pero que parece ser que es el caso aquí. Actualmente no tenemos ninguna información de que este backdoor en particular esté siendo utilizado en los ataques dirigidos.

También descubrimos estafas que se aprovechan de la tragedia. Una de estas hace uso de las falsas noticias de que el avión desaparecido ha sido encontrado en el mar. Los usuarios que hacen clic en el enlace son dirigidos a una página web que imita el diseño de Facebook. Este site cuenta con un vídeo embebido, supuestamente del descubrimiento del avión desaparecido. Al hacer clic en cualquier parte de la página se abre otra página con un falso video sobre la secuela de la película Avatar.

1

1. Site malicioso con el «video» embebido
Cuando el usuario hace clic en cualquiera de estos videos, se le pide compartir con sus seguidores de redes sociales antes de poder verlo. El video está restringido a menos que se comparta. Después de compartir, el usuario está obligado a verificar su edad, completando un test. Estas pruebas son en realidad una encuesta estafa. Estas estafas solicitan a los usuarios responder a múltiples encuestas a cambio de algo (en este caso, un supuesto video) que en realidad no existe. El feedback de Trend Micro Smart Protection Network indica que el 32% de los usuarios que accede a esta página se encuentra en América del Norte y más del 40% en Asia-Pacífico.

Otra encuesta estafa consiste en un site que imita el diseño de YouTube para presentar otro video del «descubrimiento» del avión desaparecido. Al igual que el anterior, se requiere que los usuarios compartan el video y completen un  «test» antes de poder verlo. Una vez más, este test lleva a un site de encuesta falso.

2
2. Otro site promocionando un «video» de última hora

La actualidad y la actualización de las noticias se han convertido en un cebo de la ingeniería social de los delincuentes cibernéticos. Lamentablementea esto ocurre con frecuencia– sucesos como el terremoto de Tohoku, la maratón de Boston y el tifón Haiyan han servido ​​para difundir diversas amenazas.

Aconsejamos a los usuarios confiar en los sites de noticias de buena reputación y de confianza para obtener información sobre acontecimientos actuales, en lugar de a través de correos electrónicos o de sites de redes sociales. Trend Micro detecta y bloquea todas las amenazas relacionadas con estos incidentes.

Con ideas adicionales de Maela Angeles, Ruby Santos e Isaac Velásquez.

Campaña Siesta: un nuevo ataque dirigido que despierta

por Maharlito Aquino (Threat Research)

En las últimas semanas, hemos recibido varios informes de ataques dirigidos a varias vulnerabilidades de aplicación para infiltrarse en diversas organizaciones. Similar a la Campaña Safe, observamos que las campañas pasaron inadvertidas. Los atacantes que dirigen la campaña que llamamos Campaña Siesta utilizaron malware multicomponente para elegir ciertas instituciones del tipo:

• Bienes y servicios de consumo y servicios

• Energía

• Finanzas

• Sanidad Pública

• Medios de comunicación y telecomunicaciones

• Administración pública

• Seguridad y defensa

• Transporte y tráfico

Los actores amenaza no siempre confían en vectores de ataque complejos para infiltrarse en la red de una organización. Los atacantes también pueden hacer uso de técnicas de ingeniería social básica para que sus víctimas muerdan el anzuelo, como aparece en nuestro siguiente case study.

Campaña Siesta: case study

Actualmente estamos investigando un incidente que involucró a los atacantes enviando mails spear-phishing dirigidos a ejecutivos de una empresa desconocida. Estos mails fueron enviados desde falsas direcciones de correo electrónico de personal dentro de la organización. En lugar de utilizar los archivos adjuntos y exploits de documentos, esta campaña específica sirve su malware a través de un enlace de descarga de archivos de apariencia legítima.

Para conseguir que se descargue el archivo, el atacante lo sirve en una ruta de URL citada tal que así:

http://{Dominio malicioso} / {nombre de la empresa} / {legítimo nombre de archivo} .zip

Este archivo contiene un archivo ejecutable (TROJ_SLOTH) con la apariencia de un documento PDF. Cuando se ejecuta se abre un archivo PDF válido, que probablemente fue tomado del sitio web de la organización elegida.

Junto con este archivo PDF válido, también se ejecuta otro componente malicioso en el fondo.

Este componente de puerta trasera se llama google {BLOCKED} .exe. (Lamentablemente, durante las investigaciones en curso y por el momento, somos incapaces de compartir valores hash y  nombres de archivo). Esta puerta trasera se conecta a http://www.micro { BLOCKED }. com/index.html, servidores de comando y control (C & C). Trend Micro identifica estas muestras como BKDR_SLOTH.B.

En este punto, el malware comienza a esperar comandos adicionales desde el atacante. Los comandos cifrados que se aceptan son:

•Sleep:

  • Ordena a la puerta trasera dormir durante un número de minutos específico
  • Durante nuestro análisis hemos recibido una orden de «sleep: 120» que significa que el malware esperará 2 horas antes de volver a establecer una conexión con el servidor  C&C

• Download: < download_url >

• Ordena a la puerta trasera descargar y ejecutar un archivo (probablemente otro ejecutable Win32) desde una dirección URL específica

El servidor C & C utilizado en esta campaña es nuevamente registrado por poco tiempo, por lo que nos resulta difícil seguir el comportamiento de malware.

Según nuestra investigación, existen dos variantes del malware utilizado en esta campaña. Aunque no exactamente iguales, los comportamientos son casi idénticos.

Una de las muestras similares es un archivo llamado Concerning the Spread of Superbugs Febrero 2014.exe (SHA1: 014542eafb792b98196954373b3fd13e60cb94fe). Esta muestra arroja el archivo UIODsevr.exe, su componente backdoor que se comporta de manera similar aBKDR_SLOTH.B además de comunicar a su C & C en skys com {BLOCKED}. Estas muestras son identificadas por Trend Micro como BKDR_SLOTH.A.

Ambas variantes utilizan excesivamente llamadas de sueño, que representa el malware inactivo durante distintos períodos de tiempo, de ahí el nombre de la campaña «Siesta». Las órdenes se sirven a través de páginas HTML usando diferente palabras clave que se enumeran a continuación:

 

Variant 1 prefix: “>SC<”

Variant 2 prefix: “longDesc=” suffix: “.txt”

A continuación los comandos backdoor que pudimos ver de nuestro análisis:

Variant 1 “run1” – open a remote shell “run2” – pipe shell commands from URL1 “run3” – pipe shell commands from URL2 “http” – pipe shell commands from C2 “x_” – sleep for specified number of minutes

Variant 2 “sleep:” – sleep for specified number of minutes “download:” – download and execute another executable from C2

 

A menudo es difícil atribuir las campañas y los métodos de ataque. Hemos sido capaces de identificar esta nueva campaña a través de inspección de hashes, C & c, los registradores, comandos y obtener información adicional.

siesta_attribution2

Dibujo 1. Gráfico de atribución (haga clic en la imagen para agrandarla)

Durante el curso de nuestra investigación, investigamos el malware. Rápidamente nos dimos cuenta de que la persona registrada como sky {BLOCKED} .com es también la que se registra como micro { BLOCKED } .com y ifued { BLOCKED } .net. Este individuo utiliza el nombre de Li Ning y otros con una dirección de correo electrónico de xiaomao{BLOCKED}@163.com. Este individuo también recientemente había registrado 79 dominios adicionales. Hay un total de aproximadamente 17.000 dominios registrados con esta misma dirección de correo electrónico.

domains-siesta 2

Dibujo 2. Dominios registrados bajo el nombre de Li Ning, basado en datos de Whois

Conclusión

La detección temprana es crucial en la prevención de ataques de datos confidenciales de la empresa. Las organizaciones y las grandes empresas necesitan una plataforma de protección avanzada frente a las amenazas  como Deep Security que puede mitigar los riesgos de ataques a través de sus diversas tecnologías de seguridad e inteligencia de amenaza global. En el corazón de nuestra solución  Custom Defense solución está Deep Discovery que proporciona inteligencia local y global en tiempo real a través del ciclo de vida del ataque. Esto puede ayudar a entender la naturaleza del ataque están tratando con los administradores de ti.

Trend Micro bloquea todas relacionadas con amenazas, mensajes de correo electrónico y URL asociados a estos ataques. Como siempre, aconsejamos a los usuarios que tenga precaución al abrir mensajes de correo electrónico y enlaces.

Con análisis de Kervin Alintanahin, Paloma Chiu y Kyle Wilhoit.

El cliente de escritorio de WhatsApp no existe; es más, es usado para ataques spam

Por Michael Casayuran (Anti-spam Research Engineer)

La popular aplicación de mensajería WhatsApp ha sido noticia al ser adquirida recientemente por Facebook por la asombrosa cifra de 19 mil millones de dólares. Los ciberdelincuentes no han perdido el tiempo en sacar provecho a esta noticia: apenas una semana después del anuncio oficial , un ataque spam confrima que una versión del escritorio de la aplicación móvil popular se está probando .

whatsapp
 1 . Captura de pantalla del mensaje spam

Nuestros ingenieros han encontrado una muestra de spam que alude a la compra por Facebook de WhatsApp, y también apunta a que una versión de WhatsApp ya está disponible para usuarios de Windows y Mac PC . El mensaje proporciona un enlace de descarga para esta versión, que se detecta como TROJ_BANLOAD.YZV , utilizado comúnmente para descargar malware bancario. (Este comportamiento es el mismo, ya sea en PC o en dispositivos móviles.)

Funciona así: TSPY_BANKER.YOSI se descarga en el sistema. Esta variante recupera nombres de usuario y contraseñas almacenados en el sistema, lo que supone un riesgo para la seguridad de las cuentas on line a las que se accede en el sistema afectado. El uso de programas maliciosos, junto con un mensaje portugués, hace pensar que los objetivos son usuarios en Brasil. El feedback de Smart Protection Network afirma que más del 80 por ciento de los usuarios que ha tenido acceso al site malicioso viene de Brasil.

Aunque el volumen de este tipo de spam de ejecución es relativamente bajo, actualmente está aumentando. Una de nuestras fuentes de spam confirma que las muestras representan hasta el 3 % de todo el correo visto, lo que hace suponer un posible brote de spam.

Recomendamos a los usuarios que tengan cuidado con este mensajes o similares ; WhatsApp no tiene actualmente una cuenta Windows o Mac , por lo que todos los mensajes apuntan a que puede ser considerado una estafa. Trend Micro protege a los usuarios de este ataque de spam a través de la detección del archivo malicioso y spam, así como el bloqueo del sitio web.

 

Flappy Bird troyanizado continúa tras la desaparición de la app por su creador

por Veo Zhang (Mobile Threats Analyst)

El giro interesante que han tomado los acontecimientos sobre el juego Flappy Bird ha tenido su repercusión en Internet: tras convertirse en un juego muy popular (descargado más de 50 millones de veces), el desarrollador anunció de repente que lo retiraba de las app stores como realmente luego hizo. La decisión suscitó mayor interés en el juego si cabe, y aparecieron aplicaciones similares en las app stores, e incluso subastas de dispositivos con la app instalada.

Lo que vino después fue, sin embargo, menos agradable: aparecieron un montón de falsas aplicaciones Android Flappy Bird difundiéndose por la red.

Especialmente siginificativo en mercados de aplicaciones de Rusia y Vietnam, estas falsas aplicaciones Flappy Bird tienen exactamente el mismo aspecto que la versión original :
1
Todas las versiones falsas que hemos visto hasta ahora abusan de los servicios de pago – aplicaciones que envían mensajes a números de tarificación adicional, causando por lo tanto cargos no deseados en las cuenta de teléfono de las víctimas. Como se verá más adelante, la falsa aplicación Flappy Bird pide permisos para leer/enviar mensajes de texto durante la instalación – algo que no se requiere en la versión original.
2
Después de que el juego está instalado y puesto en marcha, la aplicación comienza a enviar mensajes a números de tarificación adicional :
3
Y mientras el usuario está ocupado en el juego, este malware se conecta a hurtadillas a un servidor C & C a través de Google Cloud Messaging para recibir instrucciones . Nuestro análisis del malware reveló que a través de esta rutina, el malware envía mensajes de texto y oculta las notificaciones de mensajes de texto recibidos con cierto contenido.

Aparte del abuso de los servicio de pago, la aplicación presenta riesgo de fuga de información para el usuario, ya que envía el número de teléfono, el proveedor de línea telefónica y la dirección Gmail registrados en el dispositivo .

Otras versiones falsas que hemos visto tienen una función de pago añadido en la aplicación originalmente libre. Estas versiones falsas muestran un pop-up preguntando al usuario si quiere pagar por el juego. Si el usuario se niega a jugar, la aplicación se cerrará.

Estas aplicaciones falsas Flappy Birds ahora se detectan como ANDROIDOS_AGENT.HBTF , ANDROIDOS_OPFAKE.HATC y ANDROIDOS_SMSREG.HAT .

Aconsejamos a los usuarios de Android (en especial a los que están dispuestos a descargar la ahora » extinta » aplicación Flappy Bird ) tener cuidado al instalar aplicaciones . Los ciberdelincuentes están constantemente sacando provecho de los juegos populares (como Crush Candy, Angry Birds Space , Temple Run 2  y Bad Piggies ) para dar rienda suelta a las amenazas móviles . Los usuarios también pueden optar por instalar una aplicación de seguridad (como Trend Micro Mobile Security ) para poder comprobar las aplicaciones antes de la instalación .