Nuevo informe: Sofisticado troyano contra bancos chilenos utiliza software popular como «malware launcher» para eludir SmartScreenElevenPaths 10 mayo, 2018 ElevenPaths ha identificado un troyano bancario brasileño mejorado y evolucionado (muy probablemente procede del Kit KL Banker), que utiliza una nueva técnica para eludir el sistema de reputación SmartScreen y evitar la detección en Windows. El troyano descarga programas legítimos y los utiliza como «malware launcher» aprovechando el DLL hijacking en el software. De este modo, el malware puede ejecutarse «indirectamente» y eludir el sistema de reputación SmartScreen e incluso algunos antivirus. En medio de la plaga de ransomware que estamos presenciando, los troyanos bancarios resisten. ElevenPaths ha analizado lo que hemos denominado «N40», un malware en evolución que (al margen de sus capacidades como troyano bancario) resulta bastante interesante en relación con la forma en que trata de eludir los sistemas de detección. El troyano es, en cierto modo, un clásico malware bancario brasileño (superposición en pantalla, programación en Delphi…) que roba credenciales de varios bancos chilenos, pero lo que lo hace aún más interesante son algunas de las características que incluye, que no son tan comunes en este tipo de muestras maliciosas. DLL HijackingUn ataque de DLL Hijacking no es nuevo. Consiste básicamente en un programa que no comprueba correctamente la ruta de carga de la DLL. Esto permitiría a un atacante con la capacidad de reemplazar o instalar una nueva DLL en alguna de las rutas, ejecutar código arbitrario cuando se lanza el programa legítimo. Este es un problema conocido (siguen apareciendo CVEs al respecto después de años de ser descubierto), sin embargo no todos los problemas de secuestro de DLL tienen la misma gravedad. Algunos problemas son mitigados de diferentes formas de acuerdo al orden de carga de las DLL, la forma en que se establecen los permisos donde se encuentra el archivo ejecutable, etc. Este malware es consciente de ello y ha convertido los problemas del DLL Hijacking «menos graves» en una ventaja para que los atacantes eviten los sistemas de detección y, a su vez, ha convertido simples DLL hijackings en una potente herramienta para los desarrolladores de malware. Esto probablemente obligará a muchos desarrolladores a comprobar de nuevo la forma en que cargan las DLL desde el sistema, si no quieren ser utilizados como «lanzadores de malware». Alguna de las DLL susceptibles de tener problemas de DLL hijacking Lo que hace que este malware sea realmente diferente es que utiliza dos etapas. El downloader (primera etapa) descarga una copia desde un servidor de un programa legítimo que sufre un DLL Hijacking. Es el archivo ejecutable original, firmado y legítimo, por lo que no generará ninguna alerta. Posteriormente, descarga el malware (segunda etapa) en el mismo directorio; se trata de una DLL firmada con certificados vendidos en el mercado negro. Estos certificados contienen el nombre de jóvenes empresas británicas reales, pero lo más probable es que estos certificados no sean robados, sino que se hayan creado a partir información de las empresas expuesta en fuentes públicas. En este caso, el malware abusa de un problema de DLL Hijacking en VMnat.exe, que es un programa independiente que viene con varios paquetes de software de VMware. VMnat.exe (como muchos otros programas) intenta cargar una DLL del sistema llamada shfolder.dll (específicamente la función SHGetFolderPathw). Primero intenta cargarlo desde la misma ruta en la que se llama a VMnat.exe; si no se encuentra, lo comprobará en la carpeta del sistema. Lo que hace el malware es colocar tanto el VMnat.exe legítimo como un archivo malicioso rebautizado como shfolder.dll (que es el propio malware firmado con un certificado) en la misma carpeta. VMnat.exe es entonces lanzado por el «malware de primera etapa», el cual primero encuentra el sfholder.dll malicioso y luego lo carga en su memoria. El sistema está ahora infectado, pero lo que el SmartScreen percibe es que lo que se ha ejecutado es un archivo con buena reputación. A través de este innovador movimiento el atacante puede: Evitar las firmas de antivirus fácilmente, pero no puede bypassear tan fácilmente la seguridad de los endpoints (heurística, hooking). El lanzamiento de vmware.exe es de hecho menos sospechoso y, por ello, el malware entra por esta vía, a través de algún tipo de ejecución de «segunda etapa» que es menos ruidosa dentro del sistema. SmartScreen se basa en la reputación y es difícil de eludir para los atacantes. Por esta razón, la ejecución de un archivo ejecutable legítimo como VMware.exe y la carga de una DLL firmada (que a su vez es malware) hace que a SmartScreen le resulte mucho más difícil de detectar la potencial infección. Más funcionalidades interesantesEste malware, por supuesto, utiliza algunas otras técnicas interesantes pero también vistas con anterioridad. Está muy ofuscado y empacado para eludir firmas estáticas (al menos temporalmente) y utiliza la «decodificación de cadenas en tiempo real». Cuando se lanza, mantiene cada una de las cadenas cifradas en memoria, y solo las descifra cuando es estrictamente necesario. Esto le permite ocultarse incluso cuando un analista o sandbox vuelca la memoria. El clipboard criptohijacking es también un vector de ataque interesante. El malware está continuamente revisando el portapapeles de la víctima. Si se detecta un wallet de Bitcoin, la sustituye rápidamente por una billetera controlada por el atacante, en concreto, se ha identificado la siguiente: 1CMGiEZ7shf179HzXBq5KKWVG3BzKMKQgS. Cuando la víctima quiere hacer una transferencia de Bitcoin, normalmente copiará y pegará la dirección de destino. En este caso, el malware la cambiará al vuelo, esperando que el usuario confíe inconscientemente en la acción del portapapeles y confirme la transacción. Esta es una nueva técnica de robo de bitcoins que está empezando a convertirse en una tendencia. En esta dirección Bitcoin, hemos podido comprobar que en el pasado ha llegado a manejar 20 bitcoins, algunos de estos fondos han sido transferidos directamente a otra dirección bitcoin (supuestamente propiedad de los creadores) con 80 bitcoins. Esto significa que los atacantes disponen de abundantes recursos y parece que han tenido bastante éxito. La cartera en el malware envía el dinero a esta otra cartera, con hasta 80 bitcoins ConclusionesEste malware proviene de Brasil, pero está dirigido a los bancos chilenos más populares. Utiliza debilidades desconocidas hasta ahora en software conocido para eludir algunas técnicas de detección. Es un interesante paso adelante en la forma en que se ejecuta el malware en el ordenador de la víctima. VMware ha sido alertado al respecto y ha mejorado rápidamente su seguridad. Sin embargo, este no es un problema específico de VMware, cualquier otro programa de buena reputación con la vulnerabilidad de DLL Hijacking (que son muchos) puede ser utilizado como «malware launcher». Esto ofrece mucho margen para que los creadores de malware utilicen software legítimo y firmado como una técnica de ejecución menos ruidosa. Además, utiliza muchas otras técnicas de vanguardia como el clipboard cryptohijacking, la comunicación con el C&C a través de puertos no estándar que dependen de sistemas DNS dinámicos, el descifrado de cadenas de memoria solo cuando es estrictamente necesario, etc. Todo esto lo convierte en una pieza de malware muy interesante para tener en cuenta cómo están evolucionando los atacantes para evitar ser detectados, incluso un paso por delante de la escuela rusa, que tradicionalmente son más innovadores en el campo del malware. En resumen: Nos encontramos ante una evolución del malware brasileño que contiene técnicas muy avanzadas (además de las tradicionales que no mencionamos pero que resultan estándar en el malware actual) contra los analistas, antivirus y efectivas a su vez contra las entidades bancarias. En resumen, sus puntos fuertes son: Su capacidad de pasar desapercibido: A través del uso de un fallo previamente desconocido en un software popular para ser lanzado. Evitando ser lanzado si encuentra software que le resulte «incómodo» en la víctima. Analizando el software antivirus en la víctima para tener sus propias estadísticas. Cifrando/descifrando las cadenas en memoria recurrentemente. Utilizando canales de comunicación no estándar. Firmando los binarios. Su capacidad de dificultar el análisis: Empacando el software. Rutinas complejas y cadenas ofuscadas. Dejando buena parte de la lógica del lado del servidor. Su capacidad de ataque: Clipboard criptohijacking. Troyano bancario «tradicional» RAT «tradicional». En el informe a continuación se puede encontrar información más concreta e IOCs específicos de la amenaza analizada. N40 Botnet: El nuevo y sofisticado malware brasileño contra el sector bancario chileno from ElevenPaths Innovación y laboratorio en Chile y Españawww.elevenpaths.com Security Day 2018: Welcome on board!Eventos del mes de mayo en los que participan nuestros expertos
Telefónica Tech Boletín semanal de ciberseguridad, 13—20 de mayo VMware corrige vulnerabilidades críticas en varios de sus productos VMware ha publicado un aviso de seguridad con el fin de corregir una vulnerabilidad crítica de omisión de autenticación que afecta...
Jennifer González Qué es la huella digital y por qué es importante conocerla para proteger a los menores en internet Como explicaba en mi anterior artículo sobre las cibervictimizaciones en los menores y el aumento que cada año se registra, hoy querría hablar sobre la importancia de concienciarnos sobre...
Telefónica Tech Boletín semanal de ciberseguridad, 7—13 de mayo Vulnerabilidad en BIG-IP explotada para el borrado de información El pasado 4 de mayo F5 corregía entre otras, una vulnerabilidad que afectaba a dispositivos BIG-IP (CVE-2022-1388 CVSSv3 9.8), que podría...
Juan Elosua Tomé Shadow: tecnología de protección contra filtraciones de documentos Shadow, de Telefónica Tech, es una tecnología que permite identificar el origen de una fuga de información como la sucedida recientemente en EE UU
David García El nuevo final de las contraseñas Password, contraseña, clave, frase de paso… ¿Cuántos puedes recordar si no usas un gestor de contraseñas? Es más ¿Usas un gestor?
Marta Mª Padilla Foubelo Dark Markets, el concepto de mercado negro en la Internet actual ¿Que son los Dark Markets o Black Markets? Basta con traducirlo para hacernos una idea: es el mercado negro que también existe en internet
Estimado, Junto con saludar, además de mantener las maquinas actualizadas que recomendaciones o acciones se pueden efectuar para mitigar el riesgo? Atentamente. Responder