Malware: un «snapshot» de la actualidad

Vamos a tomarle el pulso al malware más reciente e interesante. Las últimas técnicas, ataques y formas que está tomando esta amenaza y que están reflejando los medios en los últimos meses. Desde los ataques más sofisticados, hasta los tradicionales troyanos bancarios.
El malware lleva ya acompañándonos desde la década de los 70, cuando el virus Creeper se arrastraba por un incipiente Internet llamado ARPANET, asaltando los cerebros primigenios de las arcaicas PDP-10.

Si pudiéramos preguntar a John von Newmann (el matemático padre de la arquitectura de computadores que lleva su nombre), qué tipo de futuro vislumbraba acerca de su trabajo sobre los programas autorreplicantes, probablemente se hubiese acercado bastante al panorama actual… exceptuando el hecho de que ya el malware no suele replicarse a sí mismo (ya no solemos hablar de “virus”), sino que habitualmente se aprovecha de vulnerabilidades con las que acude el usuario desprotegido, o directamente el usuario se encarga de infectarse. Ya en aquellos tiempos, intuía una amenaza que finalmente ha sido capaz de mover miles de millones de dólares, constituir una industria (en el doble sentido) y transformarse en una poderosa arma militar. Pero, ¿cuáles son las últimas tendencias?

Sin sorpresa alguna, el cryptojacking va dejando de ser una moda pasajera, para establecerse como uno de los vectores favoritos del malware. McAfee aporta cifras en este sentido en su último informe sobre amenazas. Una auténtica explosión en crecimiento desde principios de este año. También lo constata CheckPoint en su informe mensual, que otorga a Coinhive la primera posición en cuanto a malware dominante. Debemos hacer notar que, curiosamente, Coinhive no es un malware en sí, sino un script «legítimo» que es abusado como payload para minar.
El problema con el cryptojacking es el amplio espectro disponible para desplegar mineros. Básicamente, cualquier dispositivo con capacidad de cómputo y conectado a la red puede servir de plataforma y víctima. Aplicaciones móviles, publicidad online, páginas web, troyanos, extensiones del navegador, dispositivos del IoT, etc. Todo un surtido de ciclos de cómputo disponibles, procesadores esperando pacientemente código que pase por sus registros.

Google, desde julio de este año ha prohibido en Google Play las aplicaciones que minen criptomonedas; justo después de que Apple lo hiciera en la App Store. A esta prohibición le siguió el portal de extensiones para el navegador Chrome. Porque claro, las extensiones también se apuntaban a la fiebre amarilla del oro digital con la venida de Monero y su minero para la web Coinhive.

Aun con las medidas de seguridad adoptadas para combatir esta amenaza, el market oficial de Android todavía aloja aplicaciones maliciosas. Por poner un ejemplo, hasta 25 APKs fueron detectados por Sophos portando el script de Coinhive o una versión de XMRig para Android, que entre todas sumaban más de 120.000 instalaciones. Ante la guerra declarada al dominio Coinhive.com. Por cierto, los scripts ya no son bajados directamente desde Coinhive.com. Este dominio suele ser filtrado por levantar sospechas, así que el alojamiento pasa a cargo de los creadores del malware.

Explotación de vulnerabilidades
Aunque, tal y como comenta Microsoft, los kits de exploits continúan siendo ampliamente usados, pero parece que ceden terreno. El atacante consigue acceso a un servidor y ya no prefiere alojar un conjunto de exploits para infectar a cualquiera que lo visite. Si la víctima se infecta con troyanos bancarios o ransomware, se debe aún atravesar una segunda barrera: tener finalmente éxito. Porque aunque alguien se infecte con un troyano bancario puede que nunca llegue a operar con banca electrónica, no ser cliente de las entidades objeto del troyano o que simplemente no consume la estafa dentro de la ventana de vida útil del troyano. La situación con el ransomware es parecida: la víctima podría abandonar toda esperanza de recuperación y simplemente, (como en los 90), formatear el equipo y volver a instalar el sistema. La tasa de conversión de éxito de este malware no era alta, pero sí suficiente.

Así que, bien pensado, las vulnerabilidades interesantes siguen estando en los servidores sí (con el permiso de EternalBlue), pero una vez allí, en vez de implantar un exploit kit, quizás tiene más beneficio el «poner a minar» a los clientes que visiten la web. El caso más cercano lo tenemos en XBash, analizado por la Unit42 de Palo Alto Networks y sobre el que descubrimos como usaba un repositorio de Github para alojar su infraestructura. Aprovechaba exploits para Redis, Hadoop y ActiveMQ, entre otros para expandirse por servidores.

O mejor aún, si podemos controlar un servidor que toma tarjetas de crédito, con 20 líneas podremos crear un skimmer virtual y pasar desapercibidos durante meses. Cada persona que introduce su tarjeta en esa web, envía sin notarlo sus datos al atacante. Con una sola infección (la del servidor), la tasa de conversión de éxito es del 100 %.

Troyanos bancarios
Aunque el cryptojacking llena tanto titulares como estadísticas, debemos tener en cuenta casos notables de clásicos que perviven. Malware orientado al ataque contra entidades bancarias. Ramnit, por ejemplo, es un troyano bancario que ha infectado a más de 100.000 máquinas en los dos últimos meses. Activo desde (nada más y nada menos) 2010, con intensidad variable.

CheckPoint lleva haciendo un seguimiento de esta operación, con un interesante análisis técnico del ejemplar donde muestran las distintas funcionalidades que explota y que ya afecta a distintas entidades bancarias de Estados Unidos, México, Europa del norte y este, Turquía, Rusia, India, Sudáfrica e incluso España y Portugal.

IoT, el Internet de las cosas… olvidadas
VPNFilter está copando la mayoría de los análisis en los últimos tiempos. Descubierto por el personal de Cisco Talos, este ejemplar afecta hasta a 75 tipos de routers. Curiosamente comparte, según los investigadores, partes de código con el malware BlackEnergy asociado a los ataques acontecidos en Ucrania.

El malware en sí es interesante por la capacidad de ampliación de funcionalidades con las que los autores lo pueden mejorar a través de módulos. Desde plugins para diseccionar y manipular el tráfico http, utilidad ssh (tanto cliente como servidor), mapeador de red, denegación de servicio, port forwarding, proxy socks5 o montar una VPN entre dispositivos infectados.

Y aun así, ataques más sofisticados
Y aunque sofisticados, estos ataques son genéricos. Además de estos ataques generalistas, asociados a las vías tradicionales de infección masiva (phishing, etc.), seguimos observando campañas orientadas por grupos especializados, como los ataques detectados por la Unit42 de Palo Alto Network. El grupo OilRig, cuyos objetivos se circunscriben a agencias gubernamentales y de organizaciones de oriente medio.
Destaca, por su actividad, el troyano BONDUPDATER. Posee un núcleo de funcionalidad sencillo (ampliable a través de descargas) capaz de usar los registros DNS para escamotear las comunicaciones con el C2, codificando información en el subdominio y recibiendo datos durante la resolución. O la nueva variante que incorpora el uso del registro TXT de consultas DNS, no nuevo pero siempre interesante. Muy recomendable la lectura del informe de Unit42, como suele ser habitual en sus trabajos, para entender la comunicación a través de DNS.

BONDUPDATER no se expande de forma indiscriminada. Como cabría de esperar en operaciones APT, se usa en campañas muy estudiadas de spear phishing, explotando vulnerabilidades relativamente recientes con la conocida técnica de la incrustación de macros y script de PowerShell en documentos con formato Word.

Conclusión
En conclusión, el malware se adapta, siempre vivo y escurridizo, se inyecta en cada grieta que pueda encontrar a lo ancho y largo de todas sus potenciales víctimas. Y sigue encontrando hueco en nuevos caladeros en los que maximizar los beneficios de sus creadores. No hay límites, móvil, escritorio, IoT… ni tampoco descartan fórmulas ni objetivos, ya sea amargar una transferencia bancaria o hacer sudar al silicio para llenar el saco de maravedís digitales. ¿Hacia dónde evolucionará en los próximos tiempos?