A principios de marzo, los profesionales de la ciberseguridad de todo el mundo llenaron los amplios salones de exposiciones del Centro de Convenciones de San Francisco Moscone para discutir y aprender sobre todo lo relacionado con la información, desde el cifrado de claves públicas hasta la respuesta a incidentes, y desde el aprendizaje automático hasta el abuso doméstico .

Fue la Conferencia RSA 2019, y Malwarebytes se presentó para asistir y presentar. Nuestra sesión del miércoles por la tarde: ” Una persona puede cambiar el mundo, la historia detrás de GDPR “, exploró la nueva y amplia ley de privacidad de datos de la Unión Europea que, sobre todo, protege los “datos personales”.

Pero un lenguaje amplio y de la ley, los miembros del público severas penalizaciones izquierda finitos con una persistente pregunta: ¿Qué es exactamente es los datos personales?

La respuesta: depende.

Los datos personales, tal como se definen en el Reglamento general de protección de datos de la UE, no son lo mismo que la “información de identificación personal”, tal como se define en las leyes de protección de datos y de ciberseguridad de los EE. UU. . Además, en los EE. UU., Las leyes de protección de datos y las leyes de ciberseguridad tienen propósitos separados y, de la misma manera, otorgan definiciones ligeramente separadas a los datos personales.

Para complicar el asunto, el enfoque instintivo del público hacia la información personal, los datos personales y la privacidad en línea. Para las personas comunes, la información personal puede significar cualquier cosa, desde números de teléfono hasta información de pasaportes o códigos postales; las definiciones legales pueden estar condenadas.

Hoy, en el último blog de nuestra serie de ciberseguridad y privacidad de datos , analizamos las innumerables condiciones y los regímenes legales que se combinan para formar una amplia comprensión de la información personal.

Las empresas no deberían pensar demasiado en esto. En su lugar, los abogados de privacidad de datos dijeron que las empresas deberían prestar atención a la información que recopilan y dónde operan para comprender mejor la protección y el cumplimiento de los datos personales.

Como Duane Morris LLP, Michelle Donovan, socia de derecho intelectual y cibernética, dijo:

“Lo que se reduce a, es que, no importa cuáles son las reglas en China si no está haciendo negocios en China. Las empresas deben averiguar qué jurisdicciones aplican, qué información están recolectando, dónde residen sus sujetos de datos, y en base a eso, averiguar qué ley aplica ”.

¿Qué ley se aplica?

La información personal que necesitan las empresas para proteger los cambios de ley a ley. Sin embargo, aunque las leyes de protección de datos globales definen la información personal de diversas maneras, las definiciones en sí mismas no son importantes para todas las empresas.

Por ejemplo, una pequeña empresa en California que no tiene presencia física en la Unión Europea y no realiza esfuerzos concertados para promocionar a los residentes de la UE no tiene que preocuparse por GDPR. Del mismo modo, una empresa japonesa que no recopila datos de ningún californiano no necesita preocuparse por la ley de privacidad de datos recientemente firmada en ese estado. Y cualquier empresa fuera de los EE. UU. Que no recopile ningún dato personal de EE. UU. No debería tener que soportar los dolores de cabeza de cumplir con 50 leyes de notificación de violación de datos estatales individuales.

Vincent Schroeder, asesor legal de Baker & McKenzie LLP, quien asesora a las empresas en materia de privacidad, protección de datos, tecnología de la información y comercio electrónico, dijo que las diversas reglas que determinan qué leyes se aplican a las empresas se pueden dividir en tres categorías básicas: territorial Reglas, reglas personales y reglas sustantivas.

Las reglas territoriales son simples: determinan el cumplimiento legal basado en la presencia de una compañía en un país, estado o región. Por ejemplo, GDPR se aplica a compañías que operan físicamente en cualquiera de los 28 estados miembros de la UE, junto con compañías que comercializan directamente y ofrecen sus productos a los ciudadanos de la UE. Esa segunda regla de marketing directo es similar a otra ley de privacidad de datos en Japón, que se aplica a cualquier empresa que ofrece específicamente sus productos a residentes japoneses.

“Esa es la ‘regla del mercado’, lo llaman”, dijo Schroeder. “Si está haciendo negocios en ese mercado, conscientemente, entonces está afectando los derechos de las personas que están allí, por lo que debe cumplir con la ley reglamentaria local”. 

Las reglas sustantivas, por otro lado, determinan el cumplimiento en función de las características de una empresa. Por ejemplo, la recientemente aprobada Ley de Privacidad del Consumidor de California se aplica a las compañías que cumplen con uno solo de los siguientes tres criterios: obtener ingresos anuales de $ 25 millones, obtener el 50 por ciento o más de esos ingresos anuales de la venta de información personal de los consumidores, o compre, reciba, venda o comparta la información personal de 50,000 o más consumidores, hogares o dispositivos.

Las empresas que deseen saber qué información personal proteger legalmente deben ver primero qué leyes se aplican. Solo entonces deberían avanzar, porque la “información personal” nunca es solo una cosa, dijo Schroeder.

“Es una interacción de diferentes definiciones de los ámbitos territorial, personal y sustantivo de la aplicación, y para las definiciones de datos personales”, dijo Schroeder.

Información personal, ¿qué incluye?

El significado de la información personal cambia dependiendo de a quién le pregunte y qué ley lea. A continuación, nos centramos en cinco interpretaciones importantes. ¿Qué significa la información personal para el público? ¿Qué significa según GDPR? Y qué significa de acuerdo con las tres leyes estatales de California: la vanguardia legislativa del país en la protección de la privacidad en línea y los datos personales de sus residentes.

El público

Seamos claros: cualquier negocio relacionado con las obligaciones legales de proteger la información personal no debe iniciar un viaje de cumplimiento, por ejemplo, realizando una encuesta de empleados en Slack y obteniendo opiniones personales. 

Dicho esto, las opiniones públicas sobre los datos personales son importantes, ya que pueden influir en los legisladores para redactar nuevas leyes para proteger mejor la privacidad en línea.

Jovi Umawing, redactor principal de contenido de Malwarebytes Labs que recientemente recopiló las opiniones de casi 4.000 encuestados sobre la privacidad en línea , dijo que la información personal es algo que puede definir a una persona de otra.

“La información personal para mí es información relevante sobre una persona que los hace únicos o sobresalientes”, escribió Umawing. “Es algo intangible que uno posee o posee que (cuando se combina con otra información) apunta a la persona con una precisión muy alta o incuestionable”.

Pieter Arntz, investigador de inteligencia maliciosa para Malwarebytes, proporcionó una visión similar. Dijo que considera “todo lo que se puede usar para identificarme o encontrar información más específica sobre mí como información personal”. Esto incluye direcciones, números de teléfono, números de Seguro Social, información sobre licencias de conducir, información de pasaportes y “también cosas como la Código postal “, que para las personas que viven en ciudades muy pequeñas, puede ser revelador, dijo Arntz.

Curiosamente, algunas de estas definiciones se superponen con algunas de las leyes de privacidad de datos más populares de la actualidad.

GDPR

En 2018, entró en vigor el Reglamento general de protección de datos, que otorga a los ciudadanos de la UE nuevos derechos de acceso, transporte y eliminación de datos personales. En 2019, las empresas aún están descubriendo qué incluyen los datos personales.

El texto de la ley ofrece poca claridad, en lugar de proporcionar esta ideología que abarca todo el océano: “Los datos personales deben interpretarse de la manera más amplia posible”.

Según GDPR, los datos personales que las empresas deben proteger incluyen cualquier información que pueda identificar “directa o indirectamente” a una persona, o sujeto, a quien pertenece o describe la información. Se incluyen nombres, números de identificación, datos de ubicación, identificadores en línea como nombres de pantalla o nombres de cuentas, e incluso características que describen la “identidad física, fisiológica, genética, mental, comercial, cultural o social de una persona”.

La última parte podría incluir cosas como el registro de desempeño de un empleado, el historial de diagnóstico médico de un paciente, las opiniones políticas anarco-libertarias específicas de un usuario e incluso el color y la longitud del cabello de una persona, si es suficiente para determinar la identidad de esa persona.

Donovan, el abogado de Duane Morris, dijo que la definición de GDPR podría incluir casi cualquier información sobre una persona que no está anónima.

“Incluso si esa información no identifica a [una persona] por su nombre, si se identifica por un número, y se sabe que ese número se usa para identificar a esa persona, ya sea solo o en combinación, aún podría asociarse con esa persona”. Dijo Donovan. “Debe asumir que si tiene algún dato sobre una persona que no está anonimizado cuando lo recibe, es probable que se cubra”.

La Ley de Privacidad del Consumidor de California

En junio de 2018, California se convirtió en el primer estado de la nación en responder a las frecuentes crisis de privacidad en línea al aprobar una ley de privacidad de datos en todo el estado . La Ley de privacidad del consumidor de California, o CCPA, establece nuevas reglas para las compañías que recopilan datos personales de los residentes de California.

La ley, que entrará en vigencia en 2020, llama a este tipo de datos “información personal”.

“Información personal”, según la CCPA , es “información que identifica, se relaciona con, describe, es capaz de asociarse o podría estar vinculada, directa o indirectamente, con un consumidor u hogar en particular”.

Sin embargo, lo que incluye en la práctica es una amplia gama de puntos de datos, incluido el nombre real de una persona, la dirección postal y la dirección IP en línea, junto con información biométrica, como el ADN y los datos de huellas dactilares, e incluso su historial de navegación, historial de educación, y lo que la ley describe vagamente como “información de audio, electrónica, visual, térmica, olfativa o similar”.

Además de proteger varios tipos de datos nuevos, la CCPA también hace un cambio importante en la forma en que los californianos pueden hacer valer sus derechos de privacidad de datos en los tribunales. Por primera vez, una ley de privacidad de datos en todo el estado detalla los “daños legales”, que son montos monetarios establecidos por la legislación que una persona puede pedir para recuperar al presentar una demanda privada contra una compañía por presuntamente violar la ley. Según la CCPA, las personas que creen que se violaron sus derechos de privacidad de datos pueden demandar a una empresa y solicitar hasta $ 750.

Este es un gran cambio en la ley de privacidad de datos, dijo Donovan.

“Por primera vez, hay una verdadera ley de privacidad con los dientes”, dijo Donovan.

Anteriormente, si los individuos querían demandar a una empresa por una violación de datos, tenían que probar algún tipo de pérdida económica al solicitar daños monetarios. Si, por ejemplo, se creó una tarjeta de crédito fraudulenta con datos robados, y luego se hicieron cargos fraudulentos en esa tarjeta, los daños monetarios pueden ser fáciles de resolver. Pero rara vez es tan simple.  

“Ahora, independientemente del daño monetario, puede obtener este daño legal de $ 750 por incidente”, dijo Donovan.

Ley de notificación de violación de datos de California y ley de protección de datos

Si nos quedamos en California pero retrocedemos en el tiempo varios años, vemos el comienzo de una tendencia: California ha sido el primer estado, más de una vez, en aprobar una legislación de protección de datos .

En 2002, California aprobó su ley de notificación de violación de datos . El primero de su tipo en los Estados Unidos, la ley obligó a las compañías a notificar a los residentes de California sobre el acceso no autorizado a su “información personal”.

Las definiciones anteriores de información personal y datos que hemos cubierto, el enfoque amplio de GDPR, y la inclusión de CCPA de datos personales “olfativos” basados ​​en el olfato hasta ahora inimaginados, no se aplican aquí.

En cambio, la información personal en la ley de 17 años, que recibió una actualización hace cinco años, se define como una combinación de tipos de información. Los componentes necesarios incluyen el nombre y apellido de un californiano, o la inicial y el apellido, combinados con cosas como su número de Seguro Social, número de licencia de conducir y número de tarjeta de crédito y el código de seguridad correspondiente, junto con la dirección de correo electrónico y la contraseña de una persona.

Entonces, ¿si una compañía sufre una violación de datos del nombre y apellido de un residente de California más su número de Seguro Social? Eso se considera información personal. ¿Si una violación de datos compromete la primera inicial, el apellido y las reclamaciones de seguros médicos anteriores de otro residente de California? Una vez más, esos datos se consideran información personal, de acuerdo con la ley.

En 2014, esta definición se trasladó un poco a la ley de protección de datos de California. Ese año, entonces gobernador de California, Jerry Brown, firmó cambios a del estado co civiles de que crearon los requisitos de protección de datos para cualquier empresa que posee, licencias, o mantiene la “información personal” de los residentes de California.

Según el Proyecto de ley de la Asamblea núm. 1710, “información personal” es, una vez más, la combinación de información que incluye un nombre y apellido (o la primera inicial y apellido), más un número de Seguro Social, número de licencia de conducir, tarjeta de crédito Número y número de seguridad correspondiente, e información médica e información de salud.

Sin embargo, las definiciones no son idénticas. La ley de protección de datos de California, a diferencia de la ley de notificación de violación de datos, no cubre los datos recopilados por lectores de matrículas automáticos o ALPR. Los ALPR pueden capturar de forma indiscriminada, y en ocasiones de manera desproporcionada, los números de matrícula de cualquier vehículo que se cruce en su campo de visión.

Aproximadamente un año después, California aprobó una ley para fortalecer la protección de los datos recopilados por ALPR.

La comida para llevar

A estas alturas, es probable que sea más fácil definir qué información personal no es más que qué es (obviamente, también hay una respuesta legal a eso, pero nos reservamos los detalles). Estas definiciones en evolución apuntan a un panorama legal cambiante, donde los datos no están protegidos únicamente por su tipo, sino por su importancia inherente para la privacidad de las personas.

Al igual que no existe una definición de talla única para la información personal, no existe una conformidad de talla única para el cumplimiento de la protección de datos personales. Si una empresa se encuentra preguntándose qué datos personales debe proteger, podemos sugerir algo que hayamos hecho para cada blog de esta serie: Pregúntele a un abogado.

Únase a nosotros pronto para el próximo blog de nuestra serie, en el que hablaremos sobre las protecciones de los consumidores para las violaciones de datos y las invasiones de privacidad en línea.  

Por  William Tsing , Vasilios Hioureas y Jérôme Segura

En los últimos meses, hemos notado un aumento de la actividad y el desarrollo de nuevos ladrones. Uno de estos nuevos ladrones, llamado Baldr, apareció por primera vez en enero de 2019, y nuestro análisis de este malware encuentra que sus autores tomaron en serio la creación de un producto de larga duración.

A diferencia de muchos troyanos bancarios que esperan a que la víctima inicie sesión en el sitio web de su banco, los ladrones suelen operar en modo de agarrar y usar. Esto significa que, tras la infección, el malware recopilará todos los datos que necesita y los eliminará de inmediato. Debido a que estos ladrones a menudo no son residentes (lo que significa que no tienen un mecanismo de persistencia) a menos que sean detectados en el momento del ataque, las víctimas no sabrán que han sido comprometidos.

Este tipo de malware es popular entre los delincuentes y cubre una mayor superficie que los banqueros más especializados. Además de capturar el historial del navegador, las contraseñas almacenadas y las cookies, los ladrones también buscarán archivos que puedan contener información valiosa.

En esta publicación del blog, revisaremos al ladrón de Baldr analizando su introducción en los foros de delitos informáticos y su distribución en el medio silvestre.

Baldr en el mercado

Es probable que Baldr sea el trabajo de tres actores de amenazas: Agressor para la distribución, Overdot para ventas y promoción, y LordOdin para el desarrollo. Apareciendo por primera vez en enero, Baldr generó rápidamente muchos comentarios positivos en la mayoría de los populares foros de piratería rusos de clearnet.

Anteriormente asociado con el ladrón de Arkei (que se ve a continuación), Overdot publica la mayoría de las publicidades en múltiples foros de mensajes, proporciona servicio al cliente a través de Jabber y aborda las quejas de los compradores en el sistema de reputación utilizado por varios foros.

De interés es una publicación de foros que hace referencia al trabajo anterior de Overdot con Arkei, donde afirma que los desarrolladores de Baldr y Arkei están en contacto y colaboran en ocasiones.

A diferencia de la mayoría de los productos publicados en los tableros clearnet, Baldr tiene una reputación de confiabilidad y también ofrece una comunicación relativamente buena con el equipo que lo respalda.

LordOdin, también conocido como BaldrOdin, tiene un perfil significativamente más bajo en combinación con Baldr, pero monitoreará y apreciará las publicaciones que lo rodean.

Principalmente publica para diferenciar a Baldr de productos de la competencia como Azorult, y confirma que Baldr no es simplemente un personaje de Arkei:

Agressor / Agri_MAN es el jugador final que aparece en la distribución de Baldr:

Agri_MAN tiene un historial de ventas de tráfico en los foros de piratería rusos que se remontan aproximadamente a 2011. En contraste con LordOdin y Overdot, él tiene una reputación más marcada, apareciendo en una lista negra para las devoluciones de cargo, así como siendo llamado para usar las cuentas de títeres. Para generar buenos comentarios.

Utilizando la cuenta alternativa Agressor, actualmente mantiene una tienda automatizada para generar construcciones de Baldr en  service-shop [.] Ml . Curiosamente, Overdot hace referencia a un robot de instalación automatizado que no está conectado a ellos, y está generando quejas de los clientes:

Esto puede indicar que Agressor es un afiliado y no está directamente asociado con el desarrollo de Baldr. En Presstime, Overdot y LordOdin parecen ser los principales actores de amenazas que manejan Baldr.

Distribución

En nuestro análisis de Baldr, recopilamos algunas versiones diferentes, lo que indica que el malware tiene ciclos de desarrollo cortos. La última versión analizada para esta publicación es la versión 2.2, anunciada el 20 de marzo:

Capturamos a Baldr a través de diferentes cadenas de distribución. Uno de los vectores principales es el uso de aplicaciones troyanas disfrazadas de grietas o herramientas de hackeo. Por ejemplo, vimos un video publicado en YouTube que ofrecía un programa para generar Bitcoins gratuitos, pero en realidad era el ladrón de Baldr disfrazado.

También atrapamos a Baldr a través de una campaña de drive-by con el kit de explotación de Fallout:

Análisis técnico (Baldr 2.2)

La funcionalidad de alto nivel de Baldr es relativamente sencilla, ya que proporciona un pequeño conjunto de habilidades maliciosas en la versión de este análisis. No hay nada innovador en cuanto a lo que está tratando de hacer en la computadora del usuario, sin embargo, donde esta amenaza se diferencia en sí misma es en su implementación extremadamente complicada de esa lógica.

Por lo general, es bastante evidente cuando se lanza un malware para obtener una inversión rápida en comparación con cuando se crea con habilidad para una campaña de larga duración. Baldr se sienta firmemente en la última categoría, no es el trabajo de un script para niños. Ya sea que estemos hablando de su uso del empaquetador, la estructura del código de la carga útil, o incluso de su C2 backend y su distribución, está claro que los autores de Baldr pasaron mucho tiempo desarrollando esta amenaza particular.

Descripción de la funcionalidad

La funcionalidad principal de Baldr se puede dividir en cinco pasos, que se completan en orden cronológico.

Paso 1: Perfil del usuario

Baldr comienza reuniendo una lista de datos de perfiles de usuarios. Todo, desde el nombre de la cuenta de usuario hasta el espacio en disco y el tipo de sistema operativo, se enumera para la exfiltración.

Paso 2: Exfiltración de datos sensibles.

A continuación, Baldr comienza a recorrer todos los archivos y carpetas dentro de las ubicaciones clave de la computadora víctima. Específicamente, busca en la carpeta AppData y temporal del usuario información relacionada con datos confidenciales. A continuación hay una lista de ubicaciones clave y datos de aplicaciones que busca:

AppData \ Local \ Google \ Chrome \ Datos de usuario \ Predeterminado
AppData \ Local \ Google \ Chrome \ Datos de usuario \ Predeterminado \ Datos de inicio de sesión
AppData \ Local \ Google \ Chrome \ Datos de usuario \ Predeterminado \ Cookies
AppData \ Local \ Google \ Chrome \ Datos de usuario \ Predeterminado \ Datos Web
AppData \ Local \ Google \ Chrome \ Datos de usuario \ Predeterminado \ Historial
AppData \ Roaming \ Exodus \ exodus.wallet
AppData \ Roaming \ Ethereum \ keystore 
AppData \ Local \ ProtonVPN 
Carteras \ Jaxx 
Libertad\ 
NordVPN \ 
Telegrama 
Farfullar 
Comandante total 
Ghisler

Muchos de estos archivos de datos van desde bases de datos sqlite simples hasta otros tipos de formatos personalizados. Los autores tienen un conocimiento detallado de estos formatos de destino, ya que solo los datos clave de estos archivos se extraen y se cargan en una serie de matrices. Una vez analizados y preparados todos los datos dirigidos, el malware continúa con su siguiente conjunto de funciones.

Paso 3: captura de archivos ShotGun

Los archivos DOC, DOCX, LOG y TXT son los objetivos en esta etapa. Baldr comienza en los directorios Documentos y Escritorio e itera recursivamente todos los subdirectorios. Cuando se encuentra con un archivo con cualquiera de las extensiones anteriores, simplemente toma todo el contenido del archivo.

Paso 4: ScreenCap

En este último paso de recopilación de datos, Baldr le da al controlador la opción de capturar una captura de pantalla de la computadora del usuario.

Paso 5: Exfiltración de red

Una vez que todos estos datos se han cargado en arreglos / listas organizados y categorizados, Baldr aplana los arreglos y los prepara para enviarlos a través de la red.

Una nota interesante es que no hay ningún intento de hacer que la transferencia de datos sea más discreta. En nuestra máquina de análisis, proporcionamos deliberadamente una cantidad extrema de archivos para que Baldr los tomara, preguntándonos si el malware exfiltraría lentamente esta gran cantidad de datos, o si simplemente los enviaría de vuelta al C2.

El resultado fue una transferencia de red grande y obvia. El malware no tiene funcionalidad incorporada para permanecer residente en la máquina de la víctima. Ya ha recopilado los datos que desea y no le importa re-infectar la misma máquina. Además, no existe un mecanismo de difusión en el código, por lo tanto, en un entorno corporativo, cada empleado tendría que ser dirigido manualmente con un intento único.

Análisis de nivel de código de Packer

Comenzaremos con la ofuscación de la carga útil y el uso del empacador. Esta versión de Baldr comienza como un script AutoIt integrado en un exe. Usando un descompilador AIT disponible gratuitamente, llegamos a la primera etapa del empaquetador a continuación.

Como puede ver, este código está muy confuso. Las dos primeras funciones son el principal caballo de batalla de esa ofuscación. Lo que está sucediendo aquí es simplemente reordenar la cadena provista, de acuerdo con los índices pasados ​​como segundo parámetro. Sin embargo, esto no representa un gran problema, ya que podemos extraer fácilmente las cadenas generadas simplemente modificando este script a ConsoleWrite las cadenas desofuscadas antes de regresar:

Las cadenas resultantes extraídas se encuentran a continuación:

Ejecutar
BinaryToString
@TempDir
@SystemDir
@SW_HIDE
@StartupDir
@ScriptDir
@Versión del sistema operativo
@HomeDrive
@CR
@ComSpec
@AutoItPID
@AutoItExe
@AppDataDir
WinExists
UBound
StringReplace
StringLen
StringInStr
Dormir
ShellExecute
RegWrite
Aleatorio
ProcessExists
ProcesoCerrar
IsAdmin
FileWrite
FileSetAttrib
FileRead
FileOpen
El archivo existe
FileDelete
ArchivoCerrar
DriveGetDrive
DllStructSetData
DllStructGet
DllStructGetData
DllStructCreate
DllCallAddress
DllCall
DirCreate
BinaryLen
BandejaIconcultar
: Zone.Identifier
kernel32.dll
encargarse de
CrearMutexW
estructura *
FindResourceW
kernel32.dll
palabra
SizeofResource
kernel32.dll
LoadResource
kernel32.dll
LockResource
byte[
VirtualAlloc
byte shellcode [

Además de estas llamadas a funciones obvias, también tenemos una cantidad de blobs binarios que se desenfocan. Hemos incluido solo un conjunto limitado de estas cadenas para no sobrecargar este análisis con conjuntos largos de datos.

Podemos ver que está extrayendo y desencriptando una DLL de recursos desde el ejecutable principal, que se cargará en la memoria. Esto tiene sentido después de analizar una versión anterior de Baldr que no usó AIT como su primera etapa. Las versiones anteriores de Baldr requerían un archivo secundario llamado  Dulciana. Entonces, en lugar de usar AIT, las versiones anteriores usaron este archivo que contiene los bytes cifrados de la misma DLL que vemos aquí:

Avanzando a la etapa dos, todas las cosas esencialmente permanecen iguales en todas las versiones del empaquetador Baldr. Tenemos la DLL cargada en la memoria, lo que crea un proceso secundario del ejecutable Baldr principal en un estado suspendido y procede a vaciar este proceso, reemplazándolo finalmente con la carga útil principal de .NET. Esto hace que el desempaquetado manual con ollyDbg sea agradable porque después de interrumpir la carga de Baldr.exe secundario, podemos recorrer el código restante del padre, que escribe para procesar la memoria y finalmente llama a ResumeThread () .

Como puede ver, una vez que se carga el proceso hijo, las funciones que ha configurado para llamar contienen VirtualAlloc, WriteProcessMemory y ResumeThread, que nos da una idea de qué buscar. Si volcamos esta memoria escrita justo antes de llamar al hilo de reanudación, podemos extraer fácilmente la carga útil principal.

Nuestro colega @hasherezade ha hecho este video paso a paso de desempacar Baldr:

Análisis de código de carga

Ahora que hemos desempaquetado la carga útil, podemos ver la funcionalidad maliciosa real. Sin embargo, aquí es donde comenzaron nuestros problemas. En su mayor parte, el malware escrito en cualquier lenguaje interpretado es un alivio para un ingeniero inverso en lo que respecta a la facilidad de análisis. Baldr, por otro lado, logró hacer la depuración y el análisis de su código fuente una tarea difícil, a pesar de estar escrito en C #.

El código base de este malware no es sencillo. Toda la funcionalidad está muy resumida, encapsulada en funciones de envoltura y utiliza una tonelada de clases de utilidad. Al analizar esta base de código de alrededor de 80 clases y módulos separados, no es fácil ver dónde se encuentra la funcionalidad clave. Se requieren múltiples pases estáticos sobre la base del código para comenzar a darle sentido a todo. Agregue el hecho de que los nombres de las funciones han sido modificados y se han insertado instrucciones de correo no deseado en todo el código, y el siguiente paso sería comenzar a depurar el archivo ejecutable con DnSpy.

Ahora llegamos a nuestro siguiente problema: hilos. Cada acción de minuto que realiza este malware se ejecuta a través de un hilo separado. Esto fue obviamente hecho para complicar la vida del analista. Sería exacto decir que hay más de 100 funciones únicas que se llaman dentro de los hilos en todo el código base. Esto no incluye los subprocesos que se llaman recursivamente, que podrían convertirse en miles.

Afortunadamente, podemos ver los datos locales a medida que se escriben, y eventualmente podemos ubicar las secciones clave del código:

La función que se muestra arriba recoge el perfil del usuario, como se mencionó anteriormente. Esto incluye el tipo de CPU, el nombre del equipo, las cuentas de usuario y el sistema operativo.

Una vez que se completa el proceso completo, se aplanan las matrices que almacenan estos datos, lo que resulta en una cadena como esta:

La siguiente sección de código muestra una de las muchas clases de enumeradores que se utilizan para completar un ciclo de directorios, buscando datos de aplicaciones, como las cuentas de usuario almacenadas, que guardamos a propósito para realizar pruebas.

Los datos recuperados se guardaron en listas en el siguiente formato:

En la etapa final de la recopilación de datos, tenemos los subprocesos a continuación, que completan los directorios clave en busca de archivos txt y doc. Guardará el nombre de archivo de cada txt o documento que encuentre, y almacenará el contenido del archivo en varios arreglos.

Finalmente, antes de continuar con el segmento de red del malware, tenemos la sección de código que realiza las capturas de pantalla:

La función Class 2d10104b 1b0b685 () es uno de los módulos principales que se bifurca para realizar la mayoría de las funciones, como recorrer los directorios. Una vez que se han recopilado todos los datos, los hilos convergen y las líneas de código restantes continúan en un solo hilo. Es entonces cuando comienzan las llamadas de la red y todos los datos se envían de vuelta al C2.

Panel

Al igual que otros ladrones, Baldr viene con un panel que permite a los clientes (delincuentes que compran el producto) ver estadísticas de alto nivel, así como recuperar la información robada. A continuación se muestra una página de inicio de sesión del panel:

Y aquí, en una captura de pantalla publicada por el actor de amenazas en un foro, vemos el interior del panel:

Análisis final

Baldr es un ladrón sólido que se distribuye en la naturaleza. Su autor y distribuidor están activos en varios foros para promover y defender su producto contra los críticos. Durante un corto período de tiempo de solo unos pocos meses, Baldr ha pasado por muchas versiones, lo que sugiere que su autor está corrigiendo errores e interesado en desarrollar nuevas características.

Baldr tendrá que competir contra otros ladrones y diferenciarse. Sin embargo, la demanda de tales productos es alta, por lo que podemos esperar que muchos distribuidores lo utilicen como parte de varias campañas.

Los usuarios de Malwarebytes están protegidos contra esta amenaza, detectada como Spyware.Baldr.

Gracias a S! Ri por contribuciones adicionales.

Indicadores de compromiso

Muestras de baldr

5464be2fd1862f850bdb9fc5536eceafb60c49835dd112e0cd91dabef0ffcec5 -> versión 1.2
1cd5f152cde33906c0be3b02a88b1d5133af3c7791bcde8f33eefed3199083a6 -> versión 2.0
7b88d4ce3610e264648741c76101cb80fe1e5e0377ea0ee62d8eb3d0c2decb92> versión 2.2
8756ad881ad157b34bce011cc5d281f85d5195da1ed3443fa0a802b57de9962f (2.2 sin empaquetar)

Hace unos años, los investigadores de ciberseguridad predijeron que la industria de los videojuegos sería el próximo gran objetivo de los ciberdelincuentes. Ya sea que esto se haga realidad en el futuro o no, el jugador promedio puede tener poca o ninguna idea de lo que les espera, y mucho menos estar preparado para ello.

De hecho, aunque en general son más expertos técnicamente que el Joe promedio, la mayoría de los jugadores no están familiarizados con los riesgos que pueden enfrentar al jugar o navegar en la web en busca de contenido relacionado con el juego. Para la mayoría de los hogares de EE. UU., Esto ocurre en dispositivos como la computadora personal, el teléfono inteligente y la consola de juegos dedicada.

Tomando en cuenta el crecimiento constante de la industria del juego desde 2011 (los cambios en la percepción, los hábitos y el apetito de los consumidores por los nuevos contenidos, la tecnología y los accesorios) y la expectativa de que, a pesar de una caída nominal prevista , la industria seguirá marcando altos puntajes en las ventas a finales de año, es más crucial que nunca educar a los jugadores sobre las mejores prácticas de ciberseguridad. Esto incluye las diversas amenazas que los jugadores pueden encontrar en línea, sus consecuencias en el mundo real y lo que pueden hacer para protegerse.

Si bien mucho ha cambiado en la industria del juego en los últimos cinco años, la mayoría de las tácticas probadas de atrapar lo desconocido (y muchas veces, lo experimentado) todavía existen, causando pánico y haciendo titulares.

Así que, sin más preámbulos, aquí están los riesgos que todo jugador, en una PC, dispositivo móvil o consola de juegos, debería estar atento.

Malware y programas potencialmente no deseados (PUP)

Malware y PUP han sido las amenazas más importantes para los jugadores en línea, y por una buena razón. Vienen en muchas, muchas formas: generadores clave; grietas de juego; entrenadores; aplicaciones de juegos móviles falsos [ 1 ] [ 2 ], instaladores de juegos, clientes / lanzadores y  protocolo de audio ; hacks de juego ; archivos de trucos [ 1 ] [ 2 ]; modificaciones infectadas o arriesgadas ; parches de juego no oficiales; Emuladores falsos: lo que sea. En este punto, no será una sorpresa considerar que cada software concebible relacionado con los juegos podría tener un equivalente malicioso en la naturaleza.

El malware no solo aparece como aplicaciones, sino que también se puede incrustar en archivos de imagen. En 2016, se descubrió que los ciberdelincuentes ocultaron un troyano en archivos de imagen en más de 60 aplicaciones de Android utilizando estenografía . Tal vez aún más sorprendente, el código criptómino se incluyó en Abstractism , una plataforma que una vez se vendió en Steam y finalmente se retiró del mercado después de una avalancha de quejas.

Los binarios maliciosos también pueden explotar vulnerabilidades de software, como lo hizo elransomware TeslaCrypt cuando, con la ayuda de varios kits de exploits conocidos, aprovechó los programas Adobe Flash Player sin parches.

Por último, el malware puede afectar a los jugadores cuando se conectan a servidores infectados. En el informe, Estudio del troyano Belonard, que explota las vulnerabilidades de día cero en Counter-Strike 1.6 , los expertos en seguridad de la empresa antivirus rusa Doctor Web investigaron a Belonard, un troyano que aprovecha las debilidades de Steam y versiones piratas de Counter-Strike 1.6. (CS 1.6).

Una vez infectado con Belonard, los jugadores se convierten en parte de una red de bots, que puede propagar aún más la promoción y la comercialización de otros servidores potencialmente maliciosos.

Estafas de encuesta

A veces nos preguntamos cómo una táctica tan antigua puede durar tanto tiempo, y encontramos la respuesta en un truismo de phishing de larga data: funciona.

Los estafadores de la encuesta inmediatamente se lanzaron a la locura de Far Cry 5 al ofrecer copias “gratuitas” del juego después de su lanzamiento en el segundo trimestre de 2018. Sin saberlo, los usuarios que son más guiados por su deseo de obtener un juego de título Triple-A gratuito, que protegen su de datos, se suscriben a un servicio que pretende ofrecer “películas ilimitadas”, pero terminan regalando sus direcciones de correo electrónico, reciben aún más ofertas que no desean y se dan cuenta al final de que no recibieron nada de lo que Se les ofreció.

Una multitud similar ocurrió cuando Grand Theft Auto 5 (GTA V) salió en el tercer trimestre de 2017. Muchos estafadores utilizaron YouTube para comercializar sus llamados generadores de dinero , que son estafas de encuestas, para incitar a los jugadores a revelar su información de identificación personal (PII) o descargar un archivo potencialmente malicioso.

Tampoco olvidemos la cantidad de estafadores que bajaron  cuando Pokemon Go alcanzó su máxima actividad .

Estafas de phishing

Es probable que los usuarios de Steam estén más que familiarizados con los tiempos en que los phishers utilizaron dominios en cuclillas para atraerlos a dar sus credenciales a Steam o a su sitio de comercio de terceros favorito, como CS: GO Lounge .

sleamcummunity.comy steamcornmunity.comfueron solo dos de los varios dominios nuevos que aparecieron, se hicieron para que pareciera una página de Steam Community y se usaron en varias campañas con el objetivo de obtener cuentas de Steam. Creíamos que las cuentas robadas se podrían usar para llevar a más usuarios de Steam a entregar sus credenciales también.

De manera similar, un dominio falso de CS: GO Lounge se registró e imitó al sitio real de negociación y licitación. Los criminales detrás de esto también estaban detrás de las credenciales de Steam. Para frotar sal en la herida, incluso agregaron un troyano que pretendía ser un archivo de activación de Steam.

Toma de control de cuenta (ATO)

La toma de posesión de una cuenta es el resultado del fraude de credenciales causado por el phishing, la piratería o la violación de datos. Cualquier persona que mantenga una cuenta en línea está en riesgo.

Ubisoft, la compañía detrás de Assassin’s Creed y la marca Tom Clancy, se vio comprometida en 2013. Mientras que la compañía no sabía cómo sucedió, uno de nuestros expertos insinuó que un empleado pudo haber sido engañado , lo que permitió a los delincuentes acceder Su red interna. Ubisoft instó a sus usuarios a cambiar rápidamente sus contraseñas.

Los empleados no son los únicos objetivos probables de aquellos con intenciones infames. Los foros de desarrolladores de juegos también están en riesgo. El DayZ de Bohemia Interactive tuvo sus propios compromisos , ya que los piratas informáticos acceden y descargan nombres de usuario, contraseñas y direcciones de correo electrónico.

Inundación y publicidad maliciosa.

Los anuncios, ya sea que se muestren en sitios web o aplicaciones, son percibidos como más una molestia que una amenaza para los usuarios normales. Pero cuando se vuelven demasiado agresivos, Malwarebytes los caracteriza como adware.

Los usuarios de dispositivos móviles que disfrutan jugando juegos gratuitos probablemente pueden dar fe de que pueden tolerar los anuncios; por lo general, no están en el camino del juego al que están jugando. Pero si los anuncios son más frecuentes que el juego real, entonces espere escuchar a los usuarios quejarse. Mucho.

Por supuesto, algunos anuncios también contienen publicidad maliciosa , lo que abre el ángulo de que los anuncios se pueden usar como vectores de infección para llegar a los usuarios a los que normalmente no les molesta.

Acoso cibernético

No todas las amenazas a las que se enfrentan los jugadores de video en línea son su información o su dinero. Algunos los persiguen,  su reputación, su tranquilidad. Imploramos a cada jugador que desconfíe de los elementos a continuación tanto como de los elementos anteriores porque pueden causar daños mentales y emocionales, en lugar de financieros.

Según el Departamento de Salud y Servicios Humanos de los EE. UU., La división que mantiene el sitioweb stopbullying.gov , el acoso en línea incluye llamas, hostigamiento, exclusión, denigración, salida / vergüenza causada por el engaño o la pretensión, y doxing . Compartir fotos desnudas o vengarse del porno también puede considerarse una forma de acoso cibernético.

El acoso cibernético puede ocurrirle a los jugadores mientras interactúan en línea, ya sea mediante el uso de las funciones de voz de los juegos multijugador, o en foros u otras funciones de chat de las plataformas de juegos.

Hemos cubierto el tema del ciberacoso en varias ocasiones, especialmente durante eventos como el Mes Nacional de Concientización sobre la Seguridad Cibernética (NCSAM) . Compartimos tecnología que podría ayudar a frenar el ciberacoso, las  estadísticas sobre las tendencias de acoso en línea y desmitificamos los mitos que rodean esta ley. Vale la pena volver atrás y leer estos mensajes.

Trolling / duelo

Trolling puede ser divertido y divertido. Al menos al principio. Pero después de que la risa estridente se reduce a una carcajada, los jugadores finalmente deciden ponerse serios y llevar.

Excepto que no pueden.

Porque a veces ese troll continúa parado en la puerta abierta haciendo saltos, evitando que los jugadores vayan a la siguiente sala y avanzando en el juego.

Esto fue lo que sucedió después de que Ubisoft lanzara oficialmente The Division de Tom Clancy.

Por otro lado, el duelo, el término usado para llevar el duelo a los jugadores al arruinar su experiencia en general, no se pierde en Elite Dangerous, una simulación de exploración espacial. Para uno de sus jugadores, el comandante DoveEnigma13, el juego final es alcanzar un sistema estelar distante llamado Colonia. Puede ser su última oportunidad para hacer el viaje, ya que había estado luchando contra una enfermedad terminal durante al menos tres años. Así que, con otros jugadores de Elite, su hija y Frontier (los desarrolladores del juego) ayudando a hacer de este viaje un éxito, nació la Expedición Enigma .

Sin embargo, los informes de otros gritos peligrosos de la élite estaban saboteando la expedición al atacar el punto de ruta final, una mega nave llamada Dove Enigma, que Frontier también creó como homenaje al Comandante. Sin esto, sería difícil para la flota Enigma de más de 560 jugadores fuertes llegar a Colonia debido a la escasez de combustible. Sin embargo, en una entrevista con el Polígono , uno de los jugadores que formaba parte de la flota dijo que “la amenaza es menor en el mejor de los casos”.

---

Leer: Cuando los trolls vienen en un traje de tres piezas

---

El acecho

Gracias a Pokemon Go , la realidad aumentada (AR) se ha convertido en parte del vocabulario del jugador moderno. Es el futuro de los juegos interactivos e inmersivos, llevando la experiencia a nuevas alturas. Desafortunadamente para algunos, los juegos AR como Ingress también han abierto un camino para que los jugadores con intenciones cuestionables utilicen herramientas no oficiales para acosar a otros jugadores, visitar sus hogares de la vida real y dejar mensajes espeluznantes en las puertas para que los propietarios puedan verlos.

Intoku, un jugador de Ingress, admitió a Kotaku en una entrevista : “Los jugadores de ambos lados han acechado y han sido acosados”. Con un juego que se basa en lugares del mundo real, los jugadores no deben sorprenderse, ni deben esperar poco o nada. No hay riesgo al jugar tales juegos.

Golpeando

Los aplausos pueden comenzar como una broma a los servicios de emergencia, pero los resultados, un despacho de un gran número de policías armados a una dirección en particular, pueden convertirse rápidamente en mortales, como hemos visto en el caso de Andrew Finch . Y, sin embargo, Peter “Rolly Ranchers” Varady, un joven seguidor de YouTube de 12 años de edad, fue aplastado menos de un mes después de la muerte de Finch. Esto sucedió días después de que Cizzorz, un renombrado transmisor de YouTube con millones de suscriptores, lo ayudara a aumentar dramáticamente su conteo de suscriptores de 400 a casi 100,000.

En otra historia, un jugador con el seudónimo de “Desagradable” usó aplastar para volver a los jugadores en su mayoría jóvenes y mujeres  que ignoraron o rechazaron las solicitudes de sus amigos en League of Legends (LoL).

En respuesta a numerosas historias de aplastamiento, algunas agencias locales de cumplimiento de la ley de los EE. UU. Ofrecen  un servicio anti-aplastamiento a los jugadores de video y usuarios de YouTube.

Aseo

Probablemente el mayor riesgo que pueden encontrar los jugadores jóvenes en línea es el aseo, que es cuando un pedófilo prepara a un niño para una reunión con la intención de cometer un delito sexual. La preparación no solo es un acto específico, sino que también es premeditado. A veces, se puede detener si un padre está en la misma habitación que su hijo, o si la policía ya está persiguiendo a un sospechoso. Otras veces, puede llevar a la tragedia más allá de las palabras .

Breck Bednar tenía 14 años cuando conoció a Lewis Daynes en línea. Daynes era el maestro de ceremonias de la “casa club virtual” donde Bednar y sus amigos en la escuela se juntaban. Afirmó ser un ingeniero informático que dirigía una empresa multimillonaria. Daynes preparó a Bednar para engañar a sus padres con el fin de organizar una reunión. Un domingo de febrero de 2014, invitó a Bednar a su apartamento en Essex. Bednar le envió un mensaje de texto a su padre diciendo que pasaría la noche con un amigo (que no era Daynes). Esa fue la última vez que hablaron.

Hay otro lado de la preparación que se basa en el popular juego Fortnite: el tipo de delito cibernético. Según la BBC , los adolescentes de tan solo 14 años admiten haber robado cuentas privadas de juegos y revenderlas en línea. Los expertos dicen que el crimen organizado está vinculado a estas actividades, y que la preparación de los delitos informáticos se lleva a cabo detrás de la escena por personas o grupos peligrosos.

Juegalo de forma segura. Siempre.

Con una gran cantidad de riesgos en los juegos en línea, desde financieros hasta físicos, es especialmente importante adherirse a las mejores prácticas de ciberseguridad. La comunidad de juegos es activa, comprometida y apasionada, y los criminales se aprovecharán de eso lo mejor que puedan. Aléjalos en el pase siguiendo nuestros consejos:

• Explora tus opciones. Independientemente de su plataforma de juego, siempre vale la pena saber cómo funciona. Dado que muchos juegos para PC utilizan lanzadores, familiarícese con su configuración y personalícelos teniendo en cuenta la seguridad y la privacidad.
• Aproveche las opciones de seguridad y privacidad adicionales cuando estén disponibles. Estos lanzadores pueden tener algún tipo de autenticación de dos factores (2FA) para garantizar que un usuario que afirma poseer la cuenta puede verificar esta reclamación fácilmente.
• Actualice todo el software instalado en su plataforma de juegos o, si es un jugador de consola, el firmware y los juegos instalados en él.
• Siempre trate los enlaces enviados a su manera, ya sea por alguien que conoce desde hace mucho tiempo o por alguien que acaba de conocer, como sospechoso. Debido a la cantidad de formas en que las cuentas de juego pueden ser tomadas por los malhechores, y la mayoría de las veces, los jugadores victimizados no son conscientes de esto, es prudente manejar los enlaces con precaución. Sería más fácil si tuviera otros medios para comunicarse con el remitente del enlace que no sea la plataforma de juegos para verificar que efectivamente fueron ellos los que le enviaron un mensaje. Idealmente, si usted y sus amigos y familiares juegan juegos para establecer vínculos, establezca entre ustedes un proceso de verificación, como una palabra clave / frase que puede mencionar o escribir en el chat. No decir la palabra o frase clave puede indicar que no está hablando con la persona que dice ser.
• Use una forma de administración de contraseñas que funcione para usted. Sabemos que causa fatiga solo por recordar todas esas combinaciones de nombre de usuario y contraseña. Sobre la base de algunos comentarios que hemos recibido en el blog de Malwarebytes Labs, también sabemos que no todos utilizan los administradores de contraseñas, sino que han creado su propia forma de administrar y almacenar contraseñas. Vaya con lo que funciona, siempre que sus contraseñas se mantengan seguras. Sobre todo, evite reutilizar contraseñas.
• Gestiona tus perfiles de juego. En estos días, los perfiles de juego deben tratarse como lo hacen un perfil y un feed de redes sociales regulares. No revele información sobre usted que se considere sensible. Puede elegir y elegir quién ve sus actividades de juego y quién no. Usa tus opciones sabiamente.
• Mantenga sus escudos arriba. Si los archivos sospechosos afirman que pueden ayudarte en tus juegos, pero primero debes desactivar tu antivirus o apagar tu firewall, eso es una gran señal de alerta. Si una pieza de software quiere tener acceso gratuito a su sistema sin sus protecciones de seguridad, es mejor que encuentre alternativas más seguras.
• Practique juegos en presencia o al alcance de sus padres / cuidadores. A los adultos que viven con menores que les gusta jugar siempre se les recomienda participar de esta manera. No tienen que respirar por el cuello de sus hijos, pero al menos deberían aparecer de vez en cuando y asegurarse de que no esté ocurriendo nada nefasto, ya sea el contenido del juego en sí o las conversaciones entre jugadores.

Juego terminado

Podemos decir con confianza que muchos de los riesgos para los jugadores en línea de hace algunos años siguen siendo los riesgos a los que se enfrentan en la actualidad. Aunque hoy en día, las noticias sobre jugadores que se comportan mal con otros jugadores están en pie de igualdad con las noticias sobre malware y delincuentes en línea que se dirigen a los jugadores. Debido al impacto en el mundo real y al cambio de vida que presentan a las personas que están detrás de los avatares, y a sus familias y seres queridos, ahora hay más en juego que simplemente jugar en un mundo generado por computadora. Los jugadores no solo son llamados a tomar en serio la ciberseguridad, sino también a ser  ciudadanos digitales responsables .

Jugar videojuegos es para ser divertido; una forma de relajarnos, desahogarnos y eliminar el estrés. Sin embargo, reconozcamos también que los juegos ya forman parte del panorama general de amenazas. Asegúrese de que su información, y su persona, estén a salvo del mundo digital y más allá.

¡Juego encendido!

La semana pasada, examinamos las vulnerabilidades de los complementos , los problemas de laaplicación de seguimiento de ubicación y hablamos sobre problemas con las contraseñas de texto sin formato . También examinamos la regulación federal de privacidad de datos y nos sumergimos profundamente en el software publicitario de BatMobi . 

Otras noticias de ciberseguridad.

• Dolor de cabeza de la actualización del software envenenado para ASUS (Fuente: The Register)
• La junta de supervisión de Huawei del Reino Unido publica sus conclusiones (Fuente: UK.GOV)
• Manifiesto de sospecha de terrorismo troyano en circulación (Fuente: Blue Hexagon)
• Lecciones aprendidas de hacks criptográficos (Fuente: Help Net Security)
• Office Depot y Support.com pagarán $ 35 millones para resolver los cargos de estafa de soporte técnico(Fuente: Washington Post)
• Hypnospace Outlaw se remonta a la época del salvaje oeste de internet (Fuente: Variety)
• El ataque de phish reclama más de $ 100 millones de Google y Facebook (Fuente: CNBC)
• YouTube ejecuta anuncios criptográficos que conducen a malware (Fuente: ETHNews)
• Las aplicaciones de la tienda Google Play contienen malware del gobierno (Fuente: placa base)
• Phisher obtiene acceso a las cuentas de Apple de atletas profesionales (Fuente: The Verge)