Esta publicación de blog fue escrita por Hossein Jazi y Jérôme Segura.

El 2 de julio, encontramos un archivo con un documento incrustado que pretendía ser del gobierno de la India. Este archivo utiliza la inyección de plantilla para eliminar una plantilla maliciosa que cargó una variante de Cobalt Strike.

Un día después, el mismo actor de amenazas cambió su plantilla y soltó un cargador llamado MgBot, ejecutando e inyectando su carga útil final mediante el uso del Servicio de Administración de Aplicaciones (AppMgmt) en Windows.

El 5 de julio, observamos otro archivo con un documento incrustado que tomó prestada una declaración sobre Hong Kong del primer ministro del Reino Unido, Boris Johnson. Este documento utilizó los mismos TTP para descartar y ejecutar la misma carga útil.

Considerando las continuas tensiones entre India y China, así como las nuevas leyes de seguridad sobre Hong Kong, creemos que esta nueva campaña es operada por un actor chino patrocinado por el estado. Según nuestro análisis, creemos que este puede ser un grupo APT chino que ha estado activo desde al menos 2014.

Target activo con diferentes señuelos

Pudimos rastrear las actividades relacionadas con estos actores de amenazas durante la sucesión de varios días basados ​​en intentos únicos de phishing diseñados para comprometer su objetivo.

‘Comprobación de seguridad del correo’ con Cobalt Strike (variante 1)

Esta campaña probablemente se llevó a cabo a través de correos electrónicos de spear phishing. El archivo .rar ( Mail security check.rar ) incluye un documento con el mismo nombre (Figura 1).

El documento utiliza la inyección de plantilla para descargar una plantilla remota desde la siguiente URL (Figura 2).

La plantilla descargada utiliza el protocolo de intercambio dinámico de datos (DDE) para ejecutar comandos maliciosos, que están codificados dentro del contenido del documento (Figura 3).

Después de la decodificación, podemos ver la lista de comandos que DDE ejecutará:

Como muestra la Figura 4, los actores de la amenaza usaron certutil con los parámetros -urlcache -split -f para descargar un scriptlet de su servidor y luego usaron la técnica Squiblydoo para ejecutar el scriptlet descargado a través de regsvr32.exe en la máquina víctima.

Este scriptlet se almacena en el directorio Documentos como «ff.sct». El scriptlet es un archivo XML que tiene incrustado VBscript (Figura 5).

El scriptlet crea una macro VB y llama a Excel para ejecutarlo. La macro se ha ofuscado para evitar el mecanismo de seguridad estático y es responsable de inyectar la carga útil integrada en rundll32.exe utilizando el método de inyección reflectante de DLL. La carga útil inyectada es una variante de Cobalt Strike.

El siguiente diagrama muestra el proceso general de este ataque:

‘Verificación de seguridad del correo’ con MgBot (variante 2)

Como mencionamos anteriormente, un día después del primer ataque, el grupo APT cambió su plantilla remota. En esta nueva variante, los actores dejaron de usar la técnica Squiblydoo y Cobalt Strike como carga útil.

La Figura 7 muestra los nuevos comandos codificados incrustados en el archivo de plantilla.

La Figura 8 muestra la lista de comandos que DDE ejecutará.

En este nuevo archivo de plantilla, el scriptlet storm.sct fue reemplazado por storm.txt . Similar a la versión anterior, certutil se utiliza para descargar el archivo storm.txt, que es un ejecutable almacenado en el directorio Documentos como ff.exe.

El siguiente diagrama muestra el proceso de ejecución general:

«Boris Johnson se compromete a admitir 3 millones de Hong Kong» con MgBot (variante 3)

El último documento utilizado por el grupo APT chino en esta campaña se centró en los problemas que ocurren en Hong Kong. El archivo fue incrustado dentro de un archivo llamado «Boris Johnson se compromete a admitir 3 millones desde Hong Kong a UKrar».

Este documento cita al primer ministro después de que China emitiera una nueva ley de seguridad contra Hong Kong (Figura 10).

Similar a los otros documentos, también utiliza la inyección de plantillas para descargar la plantilla remota (Figura 11).

La plantilla descargada (BNOHK.docx) es similar a ADIN.docx (variante 2) en la que usa DDE para descargar y soltar su cargador.

Análisis de carga útil: MgBot (BLame, Mgmbot)

El ejecutable eliminado (ff.exe) es una nueva variante de un cargador llamado MgBot que elimina y carga la carga útil final. Este cargador pretende ser una herramienta Realtek Audio Manager (Figura 12).

Tiene cuatro recursos integrados en los que dos de ellos están en chino simplificado. Este es un indicador que sugiere que esta campaña probablemente sea operada por un grupo APT chino.

El cargador comienza su proceso mediante la escalada de privilegios a través de un bypass UAC utilizando la interfaz COM CMSTPLUA .

MgBot utiliza varias técnicas anti-análisis y anti-virtualización. El código se auto modifica, lo que significa que altera sus secciones de código durante el tiempo de ejecución. Esto hace que el análisis estático de la muestra sea más difícil.

MgBot intenta evitar ejecutarse en entornos virtualizados conocidos como VmWare , Sandboxie y VirtualBox . Para identificar si se está ejecutando en uno de estos entornos, busca los siguientes archivos DLL: vmhgfs.dll , sbiedll.dll y vboxogl.dll y, si encuentra alguno de estos archivos DLL, pasa a un bucle infinito sin realizar ninguna actividad maliciosa. (Figura 14).

También verifica la presencia de productos de seguridad en la máquina de la víctima y toma un flujo de ejecución diferente si se detecta un producto de seguridad. Por ejemplo, comprueba zhudongfangyu.exe, 360sd.exe, 360Tray.exe, MfeAVSvc.exe y McUICnt.exe en diferentes partes del código (Figura 15). El malware no realiza todas las comprobaciones a la vez, sino que comprueba algunas de ellas en diferentes pasos de su ejecución.

Para invocar las API requeridas, el malware no las llama directamente, sino que crea una tabla de puntero de función para las API requeridas. Cada solicitud a una llamada API se realiza a través del acceso al índice relevante de esta tabla.

Como ejemplo, cuando el malware necesita invocar WinExec , lo invoca a través de su índice desde la tabla de punteros de función.

Después de compilar la tabla de llamadas API necesarias, el malware realiza los siguientes procedimientos:

• Se llama CreateFileW para crear iot7D6E.tmp (nombre aleatorio a partir de IOT) en el % Temp% APPDATA directorio. Este archivo tmp es un archivo cab que incorpora la carga útil final.
• Llama a WriteFile para llenar su contenido
• Llama a CreateProcessInternalW para invocar expand.exe para descomprimir el contenido de iot7D6E.tmp en ProgramData \ Microsoft \ PlayReady \ MSIBACF.tmp \ tmp.dat (el nombre del directorio MSIBACF.tmp se genera aleatoriamente y comienza con MSI y luego es seguido por un MSI combinación de números aleatorios y caracteres)

• Llama a CopyFileW para copiar tmp.dat en pMsrvd.dll
• Llama a DeleteFileW para eliminar tmp.dat
• Cae DBEngin.EXE y WUAUCTL.EXE en el Datos de programa \ Microsoft \ PlayReady directorio. Ambos archivos son rundll32.exe que se usa más tarde para ejecutar la DLL eliminada.
• Modifica la sección de registro de la ubicación de registro HKLM \ SYSTEM \ CurrentControlSet \ Services \ AppMgmt para hacerse persistente. Para realizar esta modificación, coloca dos archivos de registro llamados iix * .tmp (se han agregado números aleatorios a iix) en el directorio% APPDATA% Temp, que son las colmenas de registro antiguas y nuevas para la ubicación de registro mencionada.

Para cargar el archivo DLL caído ( pMsrvd.dll ), el cargador lo registra como un servicio. Para lograr esto, hace uso del servicio ya instalado, AppMgmt, para cargar la carga útil como se muestra en las siguientes imágenes:

Finalmente, ejecuta la DLL eliminada ejecutando net start AppMgmt . Después de cargar la DLL, el cargador crea un archivo cmd ( lgt * .tmp .cmd) en el directorio% APPDATA% TEMP con el contenido que se muestra en la Figura 20. Luego lo ejecuta para eliminar el archivo cmd y el cargador de la máquina de la víctima.

Pudimos identificar varias variantes diferentes de este cargador. En general, todas las variantes descartan la carga útil final usando expand.exe o extrac32.exe y luego usan «net start AppMgmt » o «net start StiSvc» para ejecutar la DLL caída con una de las siguientes configuraciones:

• svchost.exe -k netsvcs -p -s AppMgmt
• svchost.exe -k netsvcs
• svchost.exe -k imgsvc

La DLL eliminada es la carga principal utilizada por este actor de amenazas para realizar actividades maliciosas. A continuación se muestra la información de la versión del archivo que pretende ser una aplicación de Video Team Desktop.

El tiempo de creación de esta DLL parece ser «2008-04-26 16:41:12». Sin embargo, según los datos del encabezado Rich, podemos afirmar que el actor de la amenaza podría haber alterado esto.

La DLL tiene ocho funciones de exportación con nombres cuidadosamente seleccionados para fingir que están haciendo tareas normales. Puede verificar los servicios en ejecución y, en función de eso, puede inyectarse en el espacio de memoria de WmiPrvSE.exe.

Utiliza varias técnicas anti-depuración y anti-virtualización para detectar si se está ejecutando en un entorno virtualizado o si un depurador lo está depurando. Utiliza las llamadas API GetTickCount y QueryPerformanceCounter para detectar el entorno del depurador.

Para detectar si se está ejecutando en un entorno virtual, utiliza instrucciones de detección anti-vm como sldt y cpid que pueden proporcionar información sobre el procesador y también verifica los puertos Vmware IO (VMXH).

Todas las cadenas utilizadas por este RAT están ofuscadas o codificadas con XOR para dificultar su análisis.

Este último fragmento de código incluido en MgBot es un troyano de administración remota con varias capacidades como:

• Comunicación C2 sobre TCP (42.99.116 [.] 225: 12800)
• Posibilidad de tomar capturas de pantalla
• Keylogging
• Gestión de archivos y directorios.
• Gestión de proceso
• Crear MUTEX

Relaciones de infraestructura

A continuación se muestra la infraestructura utilizada por este APT y las relaciones entre los hosts utilizados por este grupo. Este grupo APT ha utilizado varias direcciones IP diferentes para alojar sus cargas maliciosas y también para sus comunicaciones C2.

Lo interesante es que la mayoría de las direcciones IP utilizadas por este APT se encuentran en Hong Kong y casi todas estas direcciones IP basadas en Hong Kong se utilizan para la comunicación C2. Incluso en sus campañas anteriores, en su mayoría han utilizado infraestructura en Hong Kong. El gráfico también muestra la relación entre las diferentes direcciones IP utilizadas por este grupo APT.

Android RAT

También encontramos varias aplicaciones maliciosas de Android que creemos que son parte del conjunto de herramientas utilizadas por este grupo APT. Malwarebytes los detecta como Android / Trojan.Spy.AndroRat.KSRemote .

Todas estas aplicaciones falsas contienen un archivo jar llamado ksremote.jar que proporciona la funcionalidad RAT:

• Pantalla de grabación y audio usando la cámara / micrófono del teléfono
• Localización de teléfono con coordenadas
• Robo de contactos telefónicos, registro de llamadas, SMS, historial web
• Enviar mensajes SMS

Esta RAT se comunica con los servidores de C&C utilizando números de puerto aleatorios dentro del rango 122.10.89.170 a 179 (todos en Hong Kong)

• 122.10.89 [.] 172: 10560
• 122.10.89 [.] 170: 9552
• 122.10.89 [.] 172: 10560

TTP en línea con los APT chinos

Los señuelos utilizados en esta campaña indican que el actor de la amenaza puede estar apuntando al gobierno indio y a las personas en Hong Kong, o al menos a quienes están en contra de la nueva ley de seguridad emitida por China.

Los TTP observados en estos ataques han sido utilizados por varios grupos chinos de APT:

• Se sabe que Rancor APT usa Certutil para descargar su carga útil
• Se sabe que KeyBoy usó DDE en sus campañas anteriores
• APT40 ha utilizado Squiblydoo e inyección de plantillas en sus campañas anteriores.

Teniendo en cuenta estos factores, atribuimos este ataque APT con moderada confianza a un nuevo grupo APT chino. Con base en los TTP utilizados por este grupo de APT, pudimos rastrear sus actividades al menos hasta 2014. En todas sus campañas, el actor ha utilizado una variante de MgBot.

Un actor de amenazas con una larga historia documentada

Una aguja en una publicación de blog del pajar de 2014 detalló una campaña que arroja un troyano disfrazado como una biblioteca legítima de codificadores de MP3. En esta campaña, el actor utilizó CVE-2012-0158 para soltar su troyano. El resto de los TTP, incluidos los métodos utilizados por el actor de la amenaza para ejecutar MgBot y las modificaciones del registro, son similares a esta campaña en curso.

En 2018, este grupo realizó otra operación en la que utilizaron una vulnerabilidad VBScript ( CVE-2018-8174) para iniciar su ataque para eliminar una variante de MgBot. En marzo de 2020, se envió un archivo de archivo ( warning.rar ) a VirusTotal que creemos que es parte de otra campaña utilizada por este actor.

Continuaremos las actividades de este grupo para ver si sus objetivos o técnicas evolucionan. Los usuarios de Malwarebytes están protegidos de esta campaña gracias a nuestra capa anti-exploit sin firma.

Técnicas MITRE ATT y CK

Táctica	CARNÉ DE IDENTIDAD	Nombre	Detalles
Ejecución	T1059	Interfaz de línea de comandos	Inicia CMD.EXE para la ejecución de comandos.
	T1106	Ejecución a través de carga de módulo	Cargas caídas o ejecutables reescritas – WUAUCTL.EXE – svchost.exe – rundll32.exe
	T1053	Rundll32	Utiliza RUNDLL32.EXE para cargar la biblioteca
	T1064	Scripting	WScript.exe: inicia MSHTA.EXE para abrir archivos HTA o HTMLS
	T1035	ejecución del servicio	Inicia NET.EXE para la gestión del servicio.
	T1170	mshta	Inicia MSHTA.EXE para abrir archivos HTA o HTMLS
	T1086	Potencia Shell	Ejecuta scripts de PowerShell
Escalada de privilegios	T1050	nuevo servicio	Crea o modifica servicios de Windows a través de rundll32.exe
	T1088	Bypass UAC	Ataque de escalada de privilegios conocido a través de DllHost.exe
Persistencia	T1031	Modificar servicio existente	Crea o modifica servicios de Windows a través de rundll32.exe
	T1050	nuevos servicios	Crea o modifica servicios de Windows a través de rundll32.exe
Evasión de defensa	T1107	Eliminación de archivos	Inicia CMD.EXE para borrarse automáticamente
	T1085	Rundll32	Utiliza RUNDLL32.EXE para cargar la biblioteca
	T1088	bypass UAC	Ataque de escalada de privilegios conocido a través de DllHost.exe
	T1497	Virtualización / Evasión de Sandbox	El cargador utiliza varias técnicas de detección anti-virtualización.
	T1221	Inyección de plantilla	Maldoc usa inyección de plantillas para descargar plantillas remotas
	T1218	Ejecución de proxy binario firmado	Use Squiblydoo para cargar el ejecutable
Descubrimiento	T1012	Registro de consultas	Lee el GUID de la máquina del registro
	T1082	Descubrimiento de información del sistema	Lee el GUID de la máquina del registro
	T1007	Descubrimiento de servicio del sistema	Inicia NET.EXE para la gestión del servicio.
Movimiento lateral	T1105	Copia remota de archivos	– certutil.exe: descarga archivos ejecutables de Internet – cmd.exe: inicia CertUtil para descargar archivos
C&C	T1105	Copia remota de archivos	– certutil.exe: descarga archivos ejecutables de Internet  – cmd.exe: inicia CertUtil para descargar archivos

COI

2a5890aca37a83ca02c78f00f8056e20d9b73f0532007b270dbf99d5ade59e2a Boris Johnson se compromete a admitir 3 millones desde Hong Kong a UKdocx

fc885b50892fe0c27f797ba6670012cd3bbd5dc66f0eb8fdd1b5fca9f1ea98cc BNOHK.docx.zip

3b93bc1e0c73c70bc8f314f2f11a91cf5912dab4c3d34b185bd3f5e7dd0c0790 Boris_Johnson_Pledges_to_Admit_3_Million_From_Hong_Kong_to_U.K.rar

ecf63a9430a95c34f85c4a261691d23f5ac7993f9ac64b0a652110659995fc03 Email security check.rar

1e9c91e4125c60e5cc5c4c6ef8cbb94d7313e20b830a1e380d5d84b8592a7bb6 Correo electrónico de verificación de seguridad.docx

3a04c1bdce61d76ff1a4e1fd0c13da1975b04a6a08c27afdd5ce5c601d99a45b ADIN.docx (storm.sct)

855af291da8120a48b374708ef38393e7c944a8393880ef51352ce44e9648fd8 ADIN.docx (storm.sct)

1e81fb62cb57a3231642f66fee3e10d28a7c81637e4d6a03515f5b95654da585 ff.exe (storm.txt)

99aee7ae27476f057ef3131bb371a276f77a526bb1419bfab79a5fac0582b76a huelga de cobalto

flash.governmentmm.com : este dominio utilizado por el actor para alojar plantillas remotas. Ha sido registrado hace 3 meses por alguien en Estados Unidos.

Muestras de MgBot

2310f3d779acdb4881b5014f4e57dd65b4d6638fd011ac73e90df729b58ae1e0
e224d730e66931069d6760f2cac97ab0f62d1ed4ddec8b58783237d3dcd59468
5b0c93a70032d80c1f5f61e586edde6360ad07b697021a83ed75481385f9f51f
1e81fb62cb57a3231642f66fee3e10d28a7c81637e4d6a03515f5b95654da585
07bb016c3fde6b777be4b43f293cacde2d3aae0d4e4caa15e7c66835e506964f
7bdfabdf9a96b3d941f90ec124836084827f6ef06fadf0dce1ae35c2361f1ac6
8ab344a1901d8129d99681ce33a76f7c64fd95c314ac7459c4b1527c3d968bb4
f41bfc57c2681d94bf102f39d4af022beddafb4d49a49d7d7c1901d14eb698d2

45.77.245 [.] 0: Esta IP ha sido utilizada por Cobalt Strike como un servidor de C&C.

42.99.116 [.] 225 : servidor C&C utilizado por la carga útil final.

Muestras de Android

b5304a0836baf1db8909128028793d12bd418ff78c69dc6f9d014cadede28b77
9aade1f7a1f067688d5da9e9991d3a66799065ffe82fca7bb679a71d89fec846
5f7f87db34340ec83314313ec40333aebe6381ef00b69d032570749d4cedee46

Nunca se trató de «si» sino de «cuándo». Después de cinco meses de ausencia, el temido Emotet ha regresado. Después de varias falsas alarmas en las últimas semanas, se vio por primera vez una campaña de spam el 13 de julio que mostraba signos de un probable regreso.

Las botnets Emotet comenzaron a impulsar el malspam activamente el viernes 17 de julio, utilizando las mismas técnicas que emplearon anteriormente. Los correos electrónicos maliciosos contienen una URL o un archivo adjunto. Una técnica familiar es que el documento se envíe como respuesta dentro de los hilos de correo electrónico existentes.

El documento contiene una macro muy ofuscada:

Una vez que la macro está habilitada, WMI lanza PowerShell para recuperar el binario Emotet de uno de los sitios web remotos comprometidos. Recorrerá una lista hasta que identifique una que responda.

Una vez que se ejecuta la carga útil, enviará una confirmación a uno de los servidores de comando y control de Emotet.

Emotet ha vuelto a sus viejos trucos.

El troyano Emotet fue, con mucho, la amenaza más visible y activa en nuestros radares en 2018 y 2019 , hasta que entró en un descanso prolongado.

Emotet es utilizado por los ciberdelincuentes como el punto de entrada inicial, seguido de un tiempo de permanencia que puede durar días o semanas. Mientras tanto, otras amenazas como TrickBot se pueden entregar como carga secundaria.

El daño real que causa un compromiso de Emotet ocurre cuando forma alianzas con otras pandillas de malware y, en particular, con actores de amenazas interesados ​​en dejar caer el ransomware.

Los usuarios de Malwarebytes ya estaban protegidos contra Emotet gracias a nuestra tecnología anti-exploit sin firma.

También detectamos el binario Emotet como un archivo independiente:

Indicadores de compromiso

Documentos maliciosos

5d2c6110f2ea87a6b7fe9256affbac0eebdeee18081d59e05df4b4a17417492b
4fdff0ebd50d37a32eb5c3a1b2009cb9764e679d8ee95ca7551815b7e8406206
bb5602ea74258ccad36d28f6a5315d07fbeb442a02d0c91b39ca6ba0a0fe71a2
6d86e68c160b25d25765a4f1a2f8f1f032b2d5cb0d1f39d1d504eeaa69492de0
18fab1420a6a968e88909793b3d87af2e8e1e968bf7279d981276a2aa8aa678e
d5213404d4cc40494af138f8051b01ec3f1856b72de3e24f75aca8c024783e89

Sitios comprometidos

elseelektrikci [.] com
rviradeals [.] com
skenglish [.] com
packersmoversmohali [.] com
tri-comma [.] com
ramukakaonline [.] com
shubhinfoways [.] com
test2.cxyw [.] net Sustainableandorganicgarments
[.] com
puesta en escena .icuskin [.] com
fivestarcleanerstx [.] com
bhandaraexpress [.] com
crm.shaayanpharma [.] com
zazabajouk [.] com
e2e-solution [.] com
topgameus [.] com
cpads [.] net
tyres2c [.] com
thesuperservice [.] com
ssuse [.] com

Binarios Emotet

454d3f0170a0aa750253d4bf697f9fa21b8d93c8ca6625c935b30e4b18835374
d51073eef56acf21e741c827b161c3925d9b45f701a9598ced41893c723ace23
1368a26328c15b6d204aef2b7d493738c83fced23f6b49fd8575944b94bcfbf4
7814f49b3d58b0633ea0a2cb44def98673aad07bd99744ec415534606a9ef314
f04388ca778ec86e83bf41aa6bfa1b163f42e916d0fbab7e50eaadc8b47caa50

C2s

178.210.171 [.] 15
109.117.53 [.] 230
212.51.142 [.] 238
190.160.53 [.] 126

El viernes 10 de julio, Google anunció que ya no permitiría la publicidad de spyware y tecnología de vigilancia similar, a menudo denominada «stalkerware», en su plataforma.

El cambio es un paso bienvenido por una de las compañías más grandes y poderosas en publicidad en línea, pero una lectura atenta de la política revela una posible laguna que podría permitir que los fabricantes de aplicaciones de tipo stalkerware sigan publicitando sus productos en Google. En pocas palabras, estas compañías podrían eludir las reglas cambiando la cara de lo que están vendiendo, sin cambiar la tecnología central dentro.

Esperamos que esta excepción se aborde pronto.

Durante más de un año, Malwarebytes ha cobrado por adelantado un compromiso renovado para proteger a los usuarios y a los sobrevivientes de abuso doméstico de las amenazas que representa el stalkerware. Estas aplicaciones pueden dar a las personas la oportunidad de entrometerse en mensajes de texto, correos electrónicos y registros de llamadas, buscar a través de la navegación web y el historial de ubicación GPS, y revelar fotos sensibles, videos y actividad en redes sociales, todo sin consentimiento.

En nuestra defensa para proteger a los usuarios de estas amenazas, hemos hablado directamente con los sobrevivientes de abuso doméstico. Hemos brindado capacitaciones en seguridad de dispositivos a organizaciones locales de apoyo al abuso doméstico y centros de justicia familiar. Nos hemos reunido con funcionarios dedicados de aplicación de la ley. Ayudamos a lanzar la Coalición contra Stalkerware como socio fundador . Hemos contribuido a estudios de investigación y hemos aumentado nuestras propias detecciones para nuestras dos categorías internas de aplicaciones que proporcionan capacidades para espiar la actividad del usuario sin consentimiento: aplicaciones de «monitoreo» y aplicaciones de «spyware».

A través de nuestro trabajo continuo, hemos aprendido que una de las formas en que las aplicaciones de tipo stalkerware evitan el escrutinio es a través de campañas de marketing potencialmente engañosas que se califican como herramientas seguras para el monitoreo parental. Es lamentable que estas mismas tácticas puedan resultar efectivas para eludir la nueva política de Google.

El cambio, la excepción y el problema.

Según Google, la política publicitaria actualizada de la compañía «prohibirá la promoción de productos o servicios que se comercialicen o apunten con el propósito expreso de rastrear o monitorear a otra persona o sus actividades sin su autorización». La política actualizada entrará en vigencia el 11 de agosto de 2020.

Al responder una pregunta sobre por qué Google decidió anunciar esta actualización, un portavoz dijo: “Evaluamos y actualizamos constantemente nuestras políticas publicitarias para asegurarnos de proteger a los usuarios. Actualizamos rutinariamente nuestro idioma con ejemplos para ayudar a aclarar lo que consideramos una violación de la política. La tecnología de software espía para la vigilancia de socios siempre estuvo en el alcance de nuestras políticas contra el comportamiento deshonesto «.

La política actualizada se aplica a «el software espía y la tecnología utilizados para la vigilancia de la pareja íntima, incluidos, entre otros, el software espía / malware que puede utilizarse para monitorear mensajes de texto, llamadas telefónicas o historial de navegación; Rastreadores GPS comercializados específicamente para espiar o rastrear a alguien sin su consentimiento «. y «promoción de equipos de vigilancia (cámaras, grabadoras de audio, cámaras de tablero, cámaras de niñera) comercializados con el expreso propósito de espiar».

La lista no exhaustiva captura algunos de los tipos actuales de herramientas invasivas disponibles en la actualidad. Pero más abajo en su actualización de políticas, Google explicó que hay excepciones a la nueva regla. La política no se aplicará a los «servicios de investigación privados» o «productos o servicios diseñados para que los padres rastreen o controlen a sus hijos menores de edad».

El problema, como informamos hace casi un año en Malwarebytes Labs , es que la línea entre las aplicaciones de tipo stalkerware y las aplicaciones de monitoreo parental puede ser borrosa.

Como escribimos antes:

«Emory Roane, asesor político de Privacy Rights Clearinghouse, dijo que, no solo las capacidades técnicas de las aplicaciones stalkerware y las aplicaciones de monitoreo parental son muy similares, sino que las capacidades en sí mismas se pueden encontrar dentro del tipo de herramientas de piratería utilizadas por los estados nacionales.

‘Si nos fijamos en las capacidades: ¿qué resultados se pueden obtener de los dispositivos implantados con stalkerware versus dispositivos pirateados por los estados nacionales? Es lo mismo ‘, dijo Roane. ‘Encender y apagar el dispositivo de forma remota, registradores de teclas, seguimiento a través de GPS, todo esto’ «.

Lo que es más, a veces, las aplicaciones que anteriormente se comercializaban como herramientas para espiar potencialmente a parejas y cónyuges románticos, pueden cambiar rápidamente y enmascararse como aplicaciones de monitoreo parental.

Erica Olsen, directora del proyecto Safety Net para la Red Nacional para Terminar con la Violencia Doméstica, dijo que ella personalmente vio estas tácticas de «cambio de marca» cuando el entonces senador Al Franken introdujo una legislación para prohibir el uso de aplicaciones que podrían revelar la ubicación GPS de una persona sin su conocimiento o consentimiento

«Después de las audiencias legislativas públicas que Al Franken realizó sobre aplicaciones basadas en la ubicación y productos de acecho, una tonelada de ellas cambió su comercialización casi de la noche a la mañana», dijo Olsen, quien también compartió que la política actualizada de Google es un movimiento en la dirección correcta. “Mostramos imágenes grandes y ampliadas de su marketing problemático y lo eliminaron. Pero no cambiaron la funcionalidad básica de las aplicaciones que les permitieron ser utilizadas para estos comportamientos. Eso dijo mucho.

El año pasado, Twitter permitió tweets patrocinados que anunciaban una aplicación que puede rastrear registros de llamadas, mensajes de texto, ubicación de GPS, historial de navegación web y actividad de redes sociales, y revelar fotos y videos sensibles. El anuncio retrataba a un hombre acostado en la cama, revisando su teléfono. Escrito en el anuncio estaban las palabras: «¿Qué se está escondiendo de ti?»

Twitter retiró el anuncio después de que los usuarios se indignaron. Según VICE, Twitter explicó su eliminación diciendo: «La aplicación viola nuestra  Política de descarga de software y malware y  ya no se le permitirá anunciar en la plataforma».

Este fue un movimiento rápido de Twitter, pero hoy, esa misma aplicación se comercializa en su propio sitio web como una herramienta para el monitoreo parental.

El viernes, el escritor de seguridad informática Graham Cluley planteó los mismos problemas que estamos planteando aquí: que algunas aplicaciones de tipo stalkerware aún pueden anunciarse en Google, simplemente cambiando su estrategia publicitaria.

«Lamentablemente, dudo que la prohibición de anuncios de Google impida que las aplicaciones de stalkerware se promocionen a sí mismas», escribió Cluley , «es solo que tal vez ya no puedan ser tan explícitos en sus anuncios en línea sobre cómo es más probable que se usen».

Próximos pasos contra el stalkerware

Como socio fundador de la Coalición contra Stalkerware, Malwarebytes entiende que las amenazas de stalkerware son multifacéticas, y responder a estas amenazas requiere un apoyo interdisciplinario. Eso incluye el compromiso de las plataformas de anunciantes en línea de eliminar espacios para empresas que anuncian deliberadamente el potencial de la privacidad como una característica del producto.

A pesar de la exclusión de la política publicitaria actualizada de Google, la intención general de la compañía aquí es buena.

Nuestro compromiso de proteger a los usuarios de estas amenazas de las aplicaciones de tipo stalkerware continúa. Damos la bienvenida a otros a unirse.

Hemos descubierto, una vez más, otro modelo de teléfono con malware preinstalado proporcionado por el programa Lifeline Assistance a través de Assurance Wireless de Virgin Mobile. Esta vez, un ANS (American Network Solutions) UL40 con sistema operativo Android 7.1.1.  

Después de que escribiéramos en enero: » los teléfonos financiados por el gobierno de los Estados Unidos vienen preinstalados con malware inamovible «, escuchamos una protesta de los clientes de Malwarebytes. Algunos afirmaron que varios modelos de teléfonos ANS estaban experimentando problemas similares al UMX (Unimax) U683CL . Sin embargo, es muy difícil verificar tales casos sin tener físicamente el dispositivo móvil a mano. Por esta razón, no pude escribir con confianza sobre tales casos públicamente. Afortunadamente, teníamos un cliente de Malwarebytes comprometido a probar su caso. ¡Gracias al patrocinador de Malwarebytes, Rameez H. Anwar, por enviarnos su ANS UL40 para futuras investigaciones! ¡Su experiencia en seguridad cibernética y su persistencia en este caso seguramente ayudarán a otros!

Aclaración de disponibilidad

Para aclarar, no está claro si el teléfono en cuestión, el ANS UL40, está disponible actualmente por Assurance Wireless. Sin embargo, el Manual del usuario de ANS UL40 aparece en la lista (al momento de escribir este artículo) en el sitio web de Assurance Wireless.

Por lo tanto, solo podemos suponer que todavía está disponible para los clientes de Assurance Wireless. En cualquier caso, el ANS UL40 se vendió en algún momento y algunos clientes aún podrían verse afectados.

Tipos de infección

Al igual que el UMX U683CL, el ANS UL40 viene infectado con una aplicación de configuración comprometida y una aplicación de actualización inalámbrica . Aunque esto puede ser cierto, que están no infectadas con las mismas variantes de malware. Las infecciones son similares pero tienen sus propias características de infección únicas. Aquí hay un resumen de las aplicaciones infectadas.

Configuraciones

• Nombre del paquete: com.android.settings
• MD5: 7ADA4AAEA49383499B405E4CE0A9447F
• Nombre de la aplicación: Configuración
• Detección: Android / Trojan.Downloader.Wotby.SEK

La aplicación de configuración es exactamente lo que parece: es la aplicación de sistema requerida que se utiliza para controlar todas las configuraciones del dispositivo móvil. Por lo tanto, eliminarlo dejaría el dispositivo inutilizable. Para el caso del ANS UL40, está infectado con Android / Trojan.Downloader.Wotby.SEK.

La prueba de infección se basa en varias similitudes con otras variantes de Downloader Wotby. Aunque la aplicación de configuración infectada está muy ofuscada, pudimos encontrar un código malicioso idéntico. Además, comparte el mismo nombre de receptor: com.sek.y.ac; nombre del servicio: com.sek.y.as ; y nombres de actividad: com.sek.y.st , com.sek.y.st2 y com.sek.y.st3 . Algunas variantes también comparten un archivo de texto que se encuentra en su directorio de activos llamado wiz.txt. Parece ser una lista de «aplicaciones principales» para descargar desde una tienda de aplicaciones de terceros. Aquí hay un fragmento de código del archivo de texto.

Para ser justos, no se activó ninguna actividad maliciosa desde esta aplicación de configuración infectada . Esperábamos ver algún tipo de notificación o ventana emergente del navegador con información del código que se muestra arriba. Lamentablemente, eso nunca sucedió. Pero tampoco pasamos la cantidad de tiempo normal que un usuario típico pasaría en el dispositivo móvil. Tampoco se instaló una tarjeta SIM en el dispositivo, lo que podría afectar el comportamiento del malware. Sin embargo, hay pruebas suficientes de que esta aplicación de configuración tiene la capacidad de descargar aplicaciones de una tienda de aplicaciones de terceros. Esto no esta bien. Por esta razón, la detección se mantiene.

Aunque es inquietante, es importante tener en cuenta que las aplicaciones de la tienda de aplicaciones de terceros parecen estar libres de malware. Esto se verificó mediante la descarga manual de un par de nosotros mismos para su análisis. Eso no quiere decir que las versiones maliciosas no se puedan cargar en una fecha posterior. Tampoco verificamos cada muestra. Sin embargo, creemos que el conjunto de muestras que verificamos es válido para otras aplicaciones en el sitio. En esas circunstancias, incluso si la aplicación de configuración de ANS había descargado una aplicación de la lista, todavía no es tan nefasta como la aplicación de configuración que se ve en el UMX U683CL.

Actualización inalámbrica

• Nombre del paquete: com.fota.wirelessupdate
• MD5: 282C8C0F0D089E3CD522B4315C48E201
• Nombre de la aplicación: WirelessUpdate
• Detecciones: tres variantes de Android / PUP.Riskware.Autoins.Fota
  • Variantes .INS, .fscbv y .fbcv

WirelessUpdate se clasifica como un instalador automático de software de riesgo de programa potencialmente no deseado (PUP) que tiene la capacidad de instalar aplicaciones automáticamente sin el consentimiento o conocimiento del usuario. También funciona como la fuente principal del dispositivo móvil para actualizar parches de seguridad, actualizaciones del sistema operativo, etc.

Android / PUP.Riskware.Autoins.Fota en particular es conocido por instalar varias variantes de Android / Trojan.HiddenAds, ¡ y de hecho lo hizo! De hecho, ¡instaló automáticamente cuatro variantes diferentes de HiddenAds como se ve a continuación!

• Nombre del paquete: com.covering.troops.merican
• MD5: 66C7451E7C87AD5145596012C6E9F9A0
• Nombre de la aplicación: Merica
• Detección: Android / Trojan.HiddenAds.MERI

• Nombre del paquete: com.sstfsk.cleanmaster
• MD5: 286AB10A7F1DDE7E3A30238D1D61AFF4
• Nombre de la aplicación: Clean Master
• Detección: Android / Trojan.HiddenAds.BER

• Nombre del paquete: com.sffwsa.fdsufds
• MD5: 4B4E307B32D7BB2FF89812D4264E5214
• Nombre de la aplicación: belleza
• Detección: Android / Trojan.HiddenAds.SFFW

• Nombre del paquete: com.slacken.work.mischie
• MD5: 0FF11FCB09415F0C542C459182CCA9C6
• Nombre de la aplicación: Mischi
• Detección: Android / Trojan.HiddenAds.MIS

Verificación de caída de carga útil

Ahora puede que se pregunte: «¿Cómo verificó cuál de las dos aplicaciones de sistema infectadas preinstaladas está dejando caer las cargas?» El proceso funciona de la siguiente manera. Deshabilita uno de ellos al configurar inicialmente el dispositivo móvil. En los casos UMX y ANS, elegir cuál deshabilitar fue fácil de decidir. Esto se debe a que la desactivación de la aplicación de configuración hace que el teléfono quede inutilizable. Entonces, deshabilitar WirelessUpdate fue la opción obvia en ambos casos. El siguiente paso en el proceso es esperar un par de semanas para ver si sucede algo. Y sí, a veces necesita esperar tanto tiempo para que el malware deje caer las cargas útiles. Si no sucede nada después de un par de semanas, es hora de volver a habilitar la aplicación del sistema infectado nuevamente y comenzar el juego de espera nuevamente.

Usando este proceso, descubrimos que en el caso del UMX U683CL , la aplicación de configuración era la culpable. Para el ANS UL40, después de no ver ninguna carga útil caída durante semanas, volví a habilitar WirelessUpdate. ¡En 24 horas, instaló las cuatro variantes de HiddenAds! Atrapado con las manos en la masa, WirelessUpdate !

El lazo entre UMX y ANS

Con nuestros hallazgos, imaginamos que algunos se preguntan: ¿Es esto una correlación o una coincidencia? Sabemos que tanto los dispositivos móviles UMX como ANS tienen las mismas aplicaciones de sistema infectadas. Sin embargo, las variantes de malware en el modelo U683CL y UL40 son diferentes. Como resultado, inicialmente no pensé que hubiera vínculos entre las dos marcas. Lo resumí como una coincidencia en lugar de una correlación. Eso es hasta que me topé con evidencia que sugiere lo contrario. 

La aplicación de configuración que se encuentra en el ANS UL40 está firmada con un certificado digital con el nombre común de teleepoch. Al buscar teleepoch aparece la empresa TeleEpoch Ltd junto con un enlace a su sitio web. Allí mismo, en la página de inicio de TeleEpoch Ltd, se afirma que Teleepoch registró la marca «UMX» en los Estados Unidos. 

Revisemos. Tenemos una aplicación de configuración que se encuentra en un ANS UL40 con un certificado digital firmado por una empresa que es una marca registrada de UMX. Para el marcador, eso es dos diferentes ajustes aplicaciones con software malicioso dos variantes diferentes en dos teléfonos diferentes fabricantes y modelos que aparecen a todos de vuelta a la corbata Teleepoch Ltd . Además, hasta ahora, las únicas dos marcas que tienen malware preinstalado en la aplicación Configuración a través del programa Lifeline Assistance son ANS y UMX.

Esto me llevó a investigar más sobre la correlación observando casos en nuestro sistema de soporte de otros modelos ANS que podrían haber preinstalado malware. Fue entonces cuando encontré el ANS L51. Para el registro, el L51 fue otro modelo que se jactó de haber preinstalado malware en los comentarios del artículo de UMX en enero. ¡Descubrí que el ANS L51 tenía las mismas variantes de malware exactas que el UMX U683CL! Allí, dentro de los tickets de soporte anteriores, había una prueba de que el ANS L51 estaba infectado con Android / Trojan.Dropper.Agent.UMX y Android / PUP.Riskware.Autoins.Fota.fbcvd. ¡Conduciendo a casa la clasificación de TeleEpoch, UMX y la correlación ANS! 

Soluciones

Tenemos la máxima fe en que ANS encontrará rápidamente una solución a este problema. Al igual que UMX hizo lo que se indica en la sección ACTUALIZACIÓN: 11 de febrero de 2020 de la escritura de enero. Como aspecto positivo , no encontramos que la aplicación de Configuración en el ANS sea tan viciosa como en el UMX. Por lo tanto, la urgencia no es tan severa esta vez.

Mientras tanto, los usuarios frustrados con ANS UL40 pueden detener la reinfección de HiddenAds utilizando este método para desinstalar WirelessUpdate para el usuario actual (detalles en el siguiente enlace):

Instrucciones de eliminación para Adups

Advertencia: asegúrese de leer Restaurar aplicaciones en el dispositivo (sin restablecimiento de fábrica) en el raro caso de que necesite revertir / restaurar la aplicación. Por ejemplo, si desea restaurar WirelessUpdate para verificar si hay actualizaciones importantes del sistema.

Use este / estos comando (s) durante el paso 7 en Desinstalar Adups a través de la línea de comando ADB para eliminar:

adb shell pm uninstall -k –user 0 com.fota.wirelessupdate

El presupuesto no debe ser equivalente a malware

Hay compensaciones al elegir un dispositivo móvil económico. Algunas compensaciones esperadas son el rendimiento, la duración de la batería, el tamaño de almacenamiento, la calidad de la pantalla y la lista de otras cosas para que un dispositivo móvil se ilumine en la billetera. 

Sin embargo, el presupuesto nunca debe significar comprometer la seguridad de uno con malware preinstalado

Nota del editor: el nombre original del malware, EvilQuest, ha cambiado debido a un juego legítimo del mismo nombre a partir de 2012. El nuevo nombre, ThiefQuest, también es más adecuado para nuestra comprensión actualizada del malware.

El malware ThiefQuest , que se descubrió la semana pasada, puede no ser realmente ransomware según los nuevos hallazgos. Los comportamientos que se han documentado hasta ahora siguen siendo precisos, pero ya no creemos que el rescate sea el objetivo real de este malware.

¿Por qué? Esa es una gran pregunta, y ha habido varias migas de pan que nos han llevado a esta conclusión.

Comportamiento improbable de rescate

La presencia de keylogging y código de puerta trasera , descubierta por Patrick Wardle, es inusual en el ransomware. Inédito en Mac, realmente, pero no hemos visto mucho ransomware en este lado de la calle. Este descubrimiento indicó que había algo extraño en esta amenaza.

También hay varias pistas que quedan a la derecha en la nota de rescate:

• 

La primera pista es que el precio de descifrado es de $ 50 USD. Ese es un precio extrañamente bajo, y en USD en lugar de Bitcoin, y se esperaría que la víctima calcule la cantidad correcta de Bitcoin al tipo de cambio en ese momento. Sin embargo, esto por sí solo no es prueba de nada.

Lawrence Abrams , de Bleeping Computer, que tiene más experiencia con ransomware en el mundo de Windows, notó otro hallazgo que la mayoría de los investigadores de Mac que estaban investigando. No se proporcionó una dirección de correo electrónico en la nota de rescate, por lo que no hay forma de ponerse en contacto con los delincuentes detrás del malware para obtener su clave de descifrado, y tampoco hay manera de que se comuniquen con usted.

Además, cuando se compararon las notas de rescate obtenidas de diferentes sistemas, se descubrió que la dirección de Bitcoin dada es la misma para todos. Esto significa que no habría forma de que los delincuentes verifiquen quién pagó el rescate.

Finalmente, aunque hay una rutina de descifrado en el malware, los hallazgos de Patrick Wardle mostraron que no se llamó en ninguna parte del código del malware, lo que significa que la función está huérfana y nunca se ejecutará.

Esto, más la extraña reticencia mostrada por el malware para encriptar cualquier cosa, sugiere que el rescate es simplemente una distracción. (Solo pude cifrar archivos una vez, y esa no fue la misma instalación donde el malware me gritaba cada cinco minutos que había cifrado mis archivos cuando en realidad no lo había hecho).

Mientras miraba la actividad de red desde una instalación activa de ThiefQuest, noté que estaba haciendo literalmente cientos de conexiones al servidor de comando y control (C2) rápidamente.

Como un mago, distrayendo su ojo con una mano mientras la otra realiza un poco de mano, este malware parece estar haciendo mucho ruido para cubrir lo que ahora creemos que es su verdadero objetivo: la exfiltración de datos.

Exfiltración?

Para aquellos que no están familiarizados con el término, la exfiltración de datos es simplemente un robo de datos. Se utiliza para referirse al acto de malware que recopila datos de una máquina infectada y los envía a un servidor bajo el control del atacante.

En el caso de ThiefQuest, había un script de Python que se soltó en el sistema, pero no de manera confiable. (No lo obtuve en todas las instalaciones). Ese script se usó para filtrar datos.

Este script explora todos los archivos de la /Users/carpeta (la carpeta que contiene todos los datos de usuario para todos los usuarios de la computadora) en busca de cualquier archivo que tenga ciertas extensiones, como .pdf, .doc, .jpg, etc. Algunas extensiones en particular indican puntos de interés para el malware, como .pem, utilizado para claves de cifrado, y .wallet, utilizado para billeteras de criptomonedas.

Esos archivos luego se cargan a través de HTTP sin cifrar, uno tras otro. El examen de los paquetes de red mostró que contenían una cadena con dos piezas de información: una ruta de archivo y una cadena aleatoria de caracteres.

c = VGhpcyBpcyBhIHRlc3QK & f =% 2FUsers% 2Ftest% 2FDocuments% 2Fpasswords.doc

El archivo passwords.doc al que se refiere fue un archivo señuelo que contenía el texto «Esta es una prueba». La cadena aparentemente aleatoria VGhpcyBpcyBhIHRlc3QK, es una cadena codificada en base64 que, cuando se decodifica, muestra el contenido del archivo.

Por lo tanto, el malware exfiltraba cientos de archivos a través de HTTP sin cifrar.

Entonces, ¿qué es este malware de Mac?

Según Abrams, dicho malware en el mundo de Windows se conoce como un «limpiador». Este tipo de malware a menudo está destinado a robar datos y borrar el sistema, en parte o en su totalidad, para cubrir sus huellas.

Por lo general, se implementa un limpiador en ataques dirigidos contra una organización en particular. A veces, como ha sido el caso con el malware, como el infame NotPetya, ese malware se extenderá más allá del objetivo, o puede propagarse intencionalmente ampliamente para ocultar quién es el objetivo.

En este punto, no hay indicios de que este sea un ataque dirigido. Hasta ahora, también está en todo el tablero, con avistamientos aleatorios en todo el mundo.

Hay alguna indicación de que esto puede ser solo una prueba de concepto (PoC), como el siguiente comentario en un script de Python asociado con el malware:

# n__ature comprobación de PoC
# TODO: los PoC son geniales, pero esto
# entrega mucho mejor cuando se implementa en
# producción

Siempre soy reacio a creer lo que me dice una pieza de malware. Esto puede ser una pista falsa, o puede ser un comentario antiguo que nunca se eliminó, o tal vez ese script Python en sí mismo es el PoC. Aún así, la aparente falta de pulido en este malware podría significar que no estaba realmente listo para su lanzamiento.

Capacidades adicionales

Como se mencionó anteriormente, este malware también parece incluir código para el registro de teclas y para abrir una puerta trasera para brindarle al atacante acceso prolongado a su Mac. Esto es inusual para el ransomware, pero no es realmente inusual para nuestra nueva comprensión del malware.

Sin embargo, más inesperado es el hecho de que el malware parece incluir código que se comporta como la definición de virus de un libro de texto, algo que no se ha visto en Mac desde el cambio de System 9 a Mac OS X 10.0.

Anteriormente notamos que el malware se inyectó en algunos archivos relacionados con la Actualización de software de Google, y encontramos esto bastante desconcertante, ya que Google Chrome detectará los cambios y reemplazará los archivos manipulados con archivos limpios. Sin embargo, los nuevos hallazgos sobre el comportamiento viral de Patrick Wardle revelaron más información sobre cómo está sucediendo esto.

Un virus es un tipo específico de malware que agrega código malicioso a aplicaciones o ejecutables legítimos, como una forma de propagar o reinfectar una máquina.

El malware realmente buscará en la carpeta / Users / buscando archivos ejecutables. Cuando encuentre uno, antepondrá un código malicioso al comienzo del archivo. Esto significa que cuando se ejecuta el archivo, el código malicioso se ejecuta primero. Ese código copiará el contenido del archivo legítimo en un archivo nuevo e invisible y lo ejecutará.

El acto de reemplazar o modificar un archivo legítimo con uno malicioso, y luego ejecutar un código legítimo para que parezca que no pasa nada, no es nuevo en macOS. De hecho, el primer ransomware Mac real, KeRanger, se propagó a través de una copia modificada de la aplicación de transmisión torrent. El atacante modificó la transmisión y luego pirateó el sitio web de la transmisión para difundir la versión envenenada de la aplicación.

Sin embargo, hasta ahora, esto lo había hecho manualmente un atacante para modificar una aplicación legítima para distribución maliciosa. El malware no ha hecho esto de manera automatizada desde los días del Sistema 1 al Sistema 9, cuando se vieron los virus Mac por última vez.

¿Qué debo hacer si estoy infectado?

La intención del malware no cambia su eliminación, y Malwarebytes para Mac aún eliminará todos los componentes conocidos del malware.

Sin embargo, hay algunas otras consideraciones. Es completamente posible que los archivos ejecutables en una Mac infectada puedan haber sido modificados maliciosamente, y estos cambios pueden no ser detectados por el software antivirus. Incluso si lo son, la eliminación de esos archivos puede causar daños en el software de su sistema. Por lo tanto, debido a este peligro y al probable daño a los datos del usuario, puede ser prudente restaurar un sistema infectado a partir de copias de seguridad en lugar de tratar de desinfectarlo.

Recuperarse del robo de datos puede ser más difícil, en algunos aspectos, que recuperarse del ransomware. Si tiene buenas copias de seguridad, recuperarse del ransomware es relativamente fácil. ¡Sin embargo, no hay que recuperar datos robados!

Si estaba infectado, pase un tiempo pensando en los datos que tiene que pueden haber sido robados. Cómo responde depende de los datos. Si tenía tarjetas de crédito en los datos de su carpeta de usuario, puede considerar cancelarlas. Si había información personal confidencial, como números de seguro social, considere bloquear su crédito con las agencias de crédito. Si tenía contraseñas, cámbielas siempre que las use.

Sin embargo, en última instancia, la información personal que ha sido robada está para siempre en otras manos. En casos de información vergonzosa o perjudicial que se filtró, no hay recuperación. Si el atacante decide hacer algo malicioso con eso, chantaje, por ejemplo, no puede protegerse.

Por lo tanto, es mejor no confiar en el cifrado de FileVault en su disco duro. Eso es excelente para proteger sus datos si su Mac es robada, pero no tanto contra el malware que se ejecuta en la máquina. Si tiene datos altamente confidenciales, asegúrese de que estén encriptados independientemente de alguna manera. La prevención es siempre la mejor protección.

Nota del editor: el nombre original del malware, EvilQuest, ha cambiado debido a un juego legítimo del mismo nombre desde 2012. El nuevo nombre es OSX.ThiefQuest.

Un usuario de Twitter llamado @beatsballert me envió un mensaje ayer después de enterarse de un instalador de Little Snitch aparentemente malicioso disponible para descargar en un foro ruso dedicado a compartir enlaces de torrents. Una publicación ofreció una descarga de torrents para Little Snitch, y pronto le siguieron varios comentarios de que la descarga incluía malware. De hecho, descubrimos que no solo era malware, sino una nueva variante de ransomware para Mac que se propagaba a través de la piratería.

Instalación

El análisis de este instalador mostró que definitivamente estaba sucediendo algo extraño. Para comenzar, el instalador legítimo de Little Snitch está empaquetado de forma atractiva y profesional, con un instalador personalizado bien hecho que está debidamente firmado por código. Sin embargo, este instalador era un simple paquete de instalación de Apple con un ícono genérico. Peor aún, el paquete de instalación se distribuyó sin sentido dentro de un archivo de imagen de disco.

El examen de este instalador reveló que instalaría lo que resultó ser las aplicaciones legítimas de instalación y desinstalación de Little Snitch, así como un archivo ejecutable llamado «parche», en el /Users/Shared/directorio.

El instalador también contenía un script posterior a la instalación, un script de shell que se ejecuta después de que se completa el proceso de instalación. Es normal que este tipo de instalador contenga secuencias de comandos previas a la instalación y / o posteriores a la instalación, para su preparación y limpieza, pero en este caso la secuencia de comandos se utilizó para cargar el malware y luego iniciar el instalador legítimo Little Snitch.

! / bin / sh
mkdir / Biblioteca / LittleSnitchd

mv / Users / Shared / Utils / patch / Library / LittleSnitchd / CrashReporter
rmdir / Usuarios / Compartido / Utilidades

chmod + x / Library / LittleSnitchd / CrashReporter

/ Library / LittleSnitchd / CrashReporter
abrir /Users/Shared/LittleSnitchInstaller.app &

El script mueve el patcharchivo a una ubicación que parece estar relacionada con LittleSnitch y le cambia el nombre CrashReporter. Como hay un proceso legítimo que forma parte de macOS llamado Crash Reporter, este nombre se combinará razonablemente bien si se ve en Activity Monitor. Luego se elimina de la /Users/Shared/carpeta y lanza la nueva copia. Finalmente, lanza el instalador de Little Snitch.

En la práctica, esto no funcionó muy bien. El malware se instaló, pero el intento de ejecutar el instalador de Little Snitch se suspendió indefinidamente, hasta que finalmente lo forcé a cerrar. Además, el malware en realidad no comenzó a encriptar nada, a pesar del hecho de que lo dejé correr por un tiempo con algunos documentos señuelo en posición de víctimas voluntarias.

Mientras esperaba que el malware hiciera algo (¡cualquier cosa!), Una investigación adicional encontró un instalador malicioso adicional, para un software de DJ llamado Mixed In Key 8, así como insinúa que también existe un instalador malicioso de Ableton Live (aunque dicho instalador no aún se ha encontrado). Indudablemente, también hay otros instaladores flotando que no se han visto.

El instalador Mixed In Key resultó ser bastante similar, aunque con nombres de archivo ligeramente diferentes y script posterior a la instalación.

! / bin / sh
mkdir / Library / mixednkey

mv / Aplicaciones / Utilidades / patch / Library / mixednkey / toolroomd
rmdir / Aplicación / Utilidades

chmod + x / Library / mixednkey / toolroomd

/ Library / mixednkey / toolroomd &

Este no incluía código para iniciar un instalador legítimo, y simplemente dejó caer la aplicación Mixed In Key directamente en la carpeta Aplicaciones.

Infección

Una vez que el instalador desencadenó la infección, el malware comenzó a extenderse generosamente por el disco duro. Ambas variantes instalaron copias del patcharchivo en las siguientes ubicaciones:

/Library/AppQuest/com.apple.questd
/Users/user/Library/AppQuest/com.apple.questd
/private/var/root/Library/AppQuest/com.apple.questd

También configuró la persistencia a través del agente de lanzamiento y los archivos de daemon plist:

/Library/LaunchDaemons/com.apple.questd.plist
/Users/user/Library/LaunchAgents/com.apple.questd.plist
/private/var/root/Library/LaunchAgents/com.apple.questd.plist

/private/var/root/Es probable que este último en cada grupo de archivos, encontrado en , se deba a un error en el código que crea los archivos en la carpeta del usuario, lo que lleva a la creación de los archivos en la carpeta del usuario raíz. Como es bastante raro que alguien inicie sesión como root, esto no tiene ningún propósito práctico.

Curiosamente, el malware también se copió en los siguientes archivos:

/Users/user/Library/.ak5t3o0X2
/private/var/root/Library/.5tAxR3H3Y

Este último era idéntico al patcharchivo original , pero el primero fue modificado de una manera muy extraña. Contenía una copia del patcharchivo, con una segunda copia de los datos de ese archivo adjunta hasta el final, seguida de 9 bytes adicionales: la cadena hexadecimal 03705701 00CEFAAD DE. Todavía no se sabe cuál es el propósito de estos archivos o estos datos adicionales agregados.

Aún más extraño, y aún inexplicable, fue el hecho de que el malware también modificó los siguientes archivos:

/Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/crashpad_handler
/Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/GoogleSoftwareUpdateDaemon
/Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/ksadmin
/Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/ksdiagnostics
/Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/ksfetch
/Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/ksinstall

Todos estos archivos son archivos ejecutables que forman parte de GoogleSoftwareUpdate, que se encuentran comúnmente instalados debido a que Google Chrome está instalado en la máquina. Estos archivos tenían el contenido del patcharchivo antepuesto a ellos, lo que, por supuesto, significaría que el código malicioso se ejecutaría cuando se ejecute cualquiera de estos archivos. Sin embargo, Chrome verá que los archivos se han modificado y reemplazará los archivos modificados con copias limpias tan pronto como se ejecute, por lo que no está claro cuál es el propósito aquí.

Comportamiento

El malware instalado a través del instalador Mixed In Key fue igualmente reticente para comenzar a cifrar archivos por mí. Lo dejé funcionando en una máquina real durante algún tiempo sin resultados, luego comencé a jugar con el reloj del sistema. Después de adelantarlo tres días, desconectarse de la red y reiniciar la computadora un par de veces, finalmente comenzó a cifrar archivos.

Sin embargo, el malware no era particularmente inteligente sobre qué archivos cifraba. Parecía cifrar varios archivos de configuración y otros archivos de datos, como los archivos de llavero. Esto dio como resultado un mensaje de error al iniciar sesión después del cifrado.

Hubo otras indicaciones de error muy obvias, como el Dock restableciendo su apariencia predeterminada.

El Finder también comenzó a mostrar signos de problemas, con bolas de playa giratorias que aparecían con frecuencia al seleccionar un archivo encriptado. Otras aplicaciones también se congelarían periódicamente, pero las congelaciones del Finder solo se podrían administrar forzando el cierre del Finder.

Aunque otros han informado que se crea un archivo con instrucciones sobre cómo pagar el rescate, así como una alerta que se muestra, e incluso texto a voz utilizado para informar al usuario que han sido infectados con ransomware, no pude duplicar ninguno de estos , a pesar de esperar bastante tiempo para que termine el ransomware.

Capacidades

El malware incluye algunas técnicas anti-análisis, que se encuentran en funciones nombradas is_debuggingy is_virtual_mchn. Esto es común con el malware, ya que tener un depurador conectado al proceso o ejecutarse dentro de una máquina virtual son indicios de que un investigador de malware lo está analizando. En tales casos, el malware normalmente no mostrará todas sus capacidades.

En una publicación de blog sobre Objective-See , Patrick Wardle describió los detalles de cómo funcionan estas dos rutinas. La is_virtual_mchnfunción en realidad no parece verificar si el malware se está ejecutando en una máquina virtual, sino que trata de atrapar una VM en el proceso de ajuste del tiempo. No es inusual que el malware incluya demoras. Por ejemplo, el primer ransomware Mac, KeRanger, incluyó un retraso de tres días entre el momento en que infectó el sistema y el momento en que comenzó a cifrar archivos. Esto ayuda a ocultar la fuente del malware, ya que el comportamiento malicioso puede no estar inmediatamente asociado con un programa instalado tres días antes.

Esto, más el hecho de que el malware incluye funciones con nombres como ei_timer_create, ei_timer_starty ei_timer_check, probablemente significa que el malware se ejecuta con un retraso de tiempo, aunque aún no se sabe cuál es ese retraso.

Patrick también señala que el malware parece incluir un keylogger, debido a la presencia de llamadas a CGEventTapCreate, que es una rutina del sistema que permite el monitoreo de eventos como pulsaciones de teclas. No se sabe qué hace el malware con esta capacidad. También abre un shell inverso a un servidor de comando y control (C2).

Preguntas abiertas

Todavía hay una serie de preguntas abiertas que serán respondidas a través de un análisis más detallado. Por ejemplo, ¿qué tipo de cifrado utiliza este malware? ¿Es seguro o será fácil de descifrar (como en el caso de descifrar archivos cifrados por el ransomware FindZip )? ¿Será reversible o la clave de cifrado nunca se comunicará a los delincuentes detrás de ella (también como FindZip)?

Todavía hay más por aprender, y actualizaremos esta publicación a medida que se conozca más.

Post-infección

Si se infecta con este malware, querrá deshacerse de él lo más rápido posible. Malwarebytes para Mac detectará este malware como OSX.ThiefQuest y lo eliminará.

Si sus archivos se cifran, no estamos seguros de cuán grave es la situación. Depende del cifrado y de cómo se manejan las claves. Es posible que una mayor investigación conduzca a un método para descifrar archivos, y también es posible que eso no suceda.

La mejor manera de evitar las consecuencias del ransomware es mantener un buen conjunto de copias de seguridad. Guarde al menos dos copias de seguridad de todos los datos importantes, y al menos una no debe mantenerse adjunta a su Mac en todo momento. (El ransomware puede intentar cifrar o dañar las copias de seguridad en las unidades conectadas).

Personalmente tengo varios discos duros para copias de seguridad. Utilizo Time Machine para mantener un par y Carbon Copy Cloner para mantener un par más. Una de las copias de seguridad siempre está en la caja de seguridad del banco, y las cambio periódicamente, por lo que, en el peor de los casos, siempre tengo datos razonablemente recientes almacenados en un lugar seguro.

Si tiene buenas copias de seguridad, el ransomware no es una amenaza para usted. En el peor de los casos, simplemente puede borrar el disco duro y restaurar desde una copia de seguridad limpia. Además, esas copias de seguridad también lo protegen contra cosas como fallas en la unidad, robo, destrucción de su dispositivo, etc.

Indicadores de compromiso

Archivos

parche (y com.apple.questd)
5a024ffabefa6082031dccdb1e74a7fec9f60f257cd0b1ab0f698ba2a5baca6b

Little Snitch 4.5.2.dmg
f8d91b8798bd9d5d348beab33604a540e13ce40b88adc096c8f1b3311187e6fa

Mezclado en clave 8.dmg
b34738e181a6119f23e930476ae949fc0c7c4ded6efa003019fa946c4e5b287a

Red

Servidor C2 167.71.237.219
Dirección C2 obtenida de andrewka6.pythonanywhere [.] Com

Las vulnerabilidades de día cero permiten a los actores de amenazas aprovechar los puntos ciegos de seguridad. Por lo general, un ataque de día cero implica la identificación de vulnerabilidades de día cero, la creación de exploits relevantes, la identificación de sistemas vulnerables y la planificación del ataque. Los siguientes pasos son la infiltración y el lanzamiento. 

Este artículo examina tres ataques recientes de día cero, dirigidos a Microsoft, Internet Explorer y Sophos. Finalmente, aprenderá acerca de cuatro soluciones de protección y prevención de día cero: NGAV, EDR, IPsec y controles de acceso a la red. 

¿Qué es una vulnerabilidad de día cero?

Las vulnerabilidades de día cero son amenazas críticas que aún no se divulgan públicamente o que solo se descubren como resultado de un ataque. Por definición, los vendedores y usuarios aún no conocen la vulnerabilidad. El término día cero proviene del momento en que se descubre la amenaza (día cero). A partir de este día, se produce una carrera entre los equipos de seguridad y los atacantes para corregir o explotar la amenaza primero. 

Anatomía de un ataque de día cero

Un ataque de día cero ocurre cuando los delincuentes explotan una vulnerabilidad de día cero. La línea de tiempo de un ataque de día cero a menudo incluye los siguientes pasos. 

1. Identificación de vulnerabilidades : los delincuentes prueban el código abierto y las aplicaciones propietarias para detectar vulnerabilidades que aún no se han informado. Los atacantes también pueden recurrir a los mercados negros para comprar información sobre vulnerabilidades que aún no son públicas. 
2. Creación de exploits : los atacantes crean un kit, script o proceso que les permite explotar la vulnerabilidad descubierta.
3. Identificación de sistemas vulnerables : una vez que hay un exploit disponible, los atacantes comienzan a buscar los sistemas afectados. Esto puede implicar el uso de escáneres automáticos, bots o sondeos manuales. 
4. Planificación del ataque : el tipo de ataque que un criminal quiere lograr determina este paso. Si se ataca un ataque, los atacantes generalmente realizan un reconocimiento para reducir sus posibilidades de ser capturados y aumentar las posibilidades de éxito. Para los ataques generales, es más probable que los delincuentes usen campañas de phishing o bots para tratar de alcanzar tantos objetivos lo más rápido posible.
5. Infiltración y lanzamiento : si una vulnerabilidad requiere primero infiltrarse en un sistema, los atacantes trabajan para hacerlo antes de implementar el exploit. Sin embargo, si se puede explotar una vulnerabilidad para obtener acceso, la vulnerabilidad se aplica directamente. 

Ejemplos recientes de ataques

La prevención efectiva de ataques de día cero es un desafío importante para cualquier equipo de seguridad. Estos ataques se producen sin previo aviso y pueden pasar por alto muchos sistemas de seguridad. Particularmente aquellos que dependen de métodos basados ​​en firmas. Para ayudar a mejorar su seguridad y disminuir su riesgo, puede comenzar aprendiendo sobre los tipos de ataques que ocurrieron recientemente.

Microsoft

En marzo de 2020, Microsoft advirtió a los usuarios de ataques de día cero que explotaban dos vulnerabilidades separadas. Estas vulnerabilidades afectaron a todas las versiones compatibles de Windows y no se esperaba ningún parche hasta semanas después. Actualmente no hay un identificador CVE para esta vulnerabilidad. 

Los ataques apuntaron a vulnerabilidades de ejecución remota de código (RCE) en la biblioteca Adobe Type Manager (ATM). Esta biblioteca está integrada en Windows para administrar las fuentes PostScript Tipo 1. Las fallas en los cajeros automáticos permitieron a los atacantes usar documentos maliciosos para ejecutar scripts de forma remota. Los documentos llegaron por correo no deseado o fueron descargados por usuarios desprevenidos. Cuando se abren o se previsualizan con el Explorador de archivos de Windows, los scripts se ejecutarán e infectarán los dispositivos de los usuarios. 

explorador de Internet

Internet Explorer (IE), el navegador heredado de Microsoft, es otra fuente reciente de ataques de día cero. Esta vulnerabilidad ( CVE-2020-0674 ) ocurre debido a una falla en la forma en que el motor de secuencias de comandos de IE administra los objetos en la memoria. Afectó a IE v9-11.

Los atacantes pueden aprovechar esta vulnerabilidad engañando a los usuarios para que visiten un sitio web diseñado para explotar la falla. Esto se puede lograr mediante correos electrónicos de phishing o mediante la redirección de enlaces y solicitudes del servidor.

Sophos

En abril de 2020, se informaron ataques de día cero contra el firewall XG de Sophos. Estos ataques intentaron explotar una vulnerabilidad de inyección SQL ( CVE-2020-12271 ) dirigida al servidor de base de datos PostgreSQL incorporado del firewall.

Si se explota con éxito, esta vulnerabilidad permitiría a los atacantes inyectar código en la base de datos. Este código podría usarse para modificar la configuración del firewall, otorgar acceso a los sistemas o permitir la instalación de malware. 

Protección y prevención

Para defenderse adecuadamente de los ataques de día cero, debe aplicar protecciones avanzadas sobre sus herramientas y estrategias existentes. A continuación se presentan algunas soluciones y prácticas diseñadas para ayudarlo a detectar y prevenir amenazas desconocidas. 

Antivirus de última generación

El antivirus de próxima generación (NGAV) se expande sobre el antivirus tradicional. Lo hace mediante la inclusión de características para el aprendizaje automático, la detección de comportamiento y la mitigación de vulnerabilidades. Estas características permiten que NGAV detecte malware incluso cuando no se conoce ninguna firma o hash de archivo (en el que se basa el AV tradicional). 

Además, estas soluciones suelen estar basadas en la nube, lo que le permite implementar herramientas de forma aislada y a escala. Esto ayuda a garantizar que todos sus dispositivos estén protegidos y que las protecciones permanezcan activas incluso si los dispositivos se ven afectados.

Detección de punto final y respuesta

Las soluciones de detección y respuesta de punto final (EDR) proporcionan visibilidad, monitoreo y protecciones automatizadas a sus puntos finales. Estas soluciones monitorean todo el tráfico de punto final y pueden usar inteligencia artificial para clasificar comportamientos sospechosos de punto final, como, por ejemplo, solicitudes frecuentes o conexiones de IP extranjeras. Estas capacidades le permiten bloquear amenazas independientemente del método de ataque. 

Además, las funciones EDR se pueden usar para rastrear y monitorear usuarios o archivos. Mientras el aspecto rastreado se comporte dentro de las pautas normales, no se toman medidas. Sin embargo, tan pronto como el comportamiento se desvía, los equipos de seguridad pueden ser alertados. 

Estas capacidades no requieren conocimiento de amenazas específicas. En cambio, las capacidades aprovechan la inteligencia de amenazas para hacer comparaciones generalizadas. Esto hace que EDR sea efectivo contra ataques de día cero. 

Seguridad IP

La seguridad IP (IPsec) es un conjunto de protocolos estándar utilizados por los grupos de trabajo de ingeniería de Internet (IETF). Permite a los equipos aplicar medidas de autenticación de datos y verificar la integridad y la confidencialidad entre los puntos de conexión. También permite el cifrado y la gestión e intercambio seguro de claves. 

Puede usar IPsec para autenticar y cifrar todo el tráfico de su red. Esto le permite asegurar las conexiones e identificar y responder rápidamente a cualquier tráfico sospechoso o que no sea de la red. Estas habilidades le permiten aumentar la dificultad de explotar vulnerabilidades de día cero y disminuir la posibilidad de que los ataques sean exitosos. 

Implemente controles de acceso a la red

Los controles de acceso a la red le permiten segmentar sus redes de forma altamente granular. Esto le permite definir exactamente qué usuarios y dispositivos pueden acceder a sus activos y a través de qué medios. Esto incluye restringir el acceso solo a aquellos dispositivos y usuarios con los parches o herramientas de seguridad apropiados. 

Los controles de acceso a la red pueden ayudarlo a garantizar que sus sistemas estén protegidos sin interferir con la productividad ni forzar la restricción completa del acceso externo. Por ejemplo, el tipo de acceso necesario cuando aloja software como servicio (SaaS). 

Estos controles son beneficiosos para protegerse contra las amenazas de día cero porque le permiten evitar el movimiento lateral en sus redes. Esto aísla efectivamente cualquier daño que pueda causar una amenaza de día cero. 

Mantenerse a salvo

Los recientes ataques de día cero muestran que cada vez más actores de amenazas encuentran una marca fácil en los usuarios finales. El ataque de día cero en Microsoft explotó las vulnerabilidades de los cajeros automáticos para engañar a los usuarios para que abrieran malware. Cuando los actores de amenazas explotaron una vulnerabilidad de día cero de Internet Explore, engañaron a los usuarios para que visitaran sitios maliciosos. El ataque de día cero contra Sophos podría potencialmente otorgar acceso de usuario a actores de amenazas. 

Sin embargo, si bien los ataques de día cero son difíciles de predecir, es posible prevenirlos y bloquearlos. La seguridad EDR permite a las organizaciones ampliar la visibilidad en los puntos finales, y el antivirus de próxima generación brinda protección contra malware sin tener que depender de firmas conocidas. Los protocolos IPsec permiten a la organización autenticar y encriptar el tráfico de red, y los controles de acceso a la red proporcionan las herramientas para negar el acceso a actores maliciosos. No dejes que los actores de amenazas tengan la ventaja. Al utilizar y aplicar varias de estas herramientas y enfoques, puede proteger mejor a sus empleados, sus datos y su organización.

Esta semana en Lock and Code, discutimos los principales titulares de seguridad generados aquí en Labs y en Internet. Además, hablamos con Matt Davey, jefe de optimistas de operaciones de 1Password, y Kyle Swank, miembro del equipo de seguridad de 1Password, sobre, qué más, contraseñas.

Es posible que sepamos que es importante tener una contraseña larga, segura e indescifrable y, sin embargo, probablemente todos conozcamos a alguien que escriba su contraseña en un post-it, que luego se coloca literalmente en su máquina. En el episodio de hoy, hablamos de contraseñas seguras, alternativas de contraseña y el futuro, y la posible muerte, de las contraseñas.

Sintonice todo esto y más en el último episodio de Lock and Code, con el presentador David Ruiz.

También puede encontrarnos en la  tienda Apple iTunes ,  Google Play Music y Spotify , además de cualquier plataforma de podcast preferida que utilice.

Cubrimos nuestra propia investigación sobre:

• VPNS: le preguntamos si debería usarlos y analizamos algunas de las razones por las cuales

• Fin de línea: observamos lo que sucede en un mundo donde sus dispositivos domésticos caros pueden perder soporte sin mucha advertencia

• Ataques sofisticados: lo guiamos a través de un ataque APT muy inteligente implementado en múltiples etapas

• Tecnología de reconocimiento facial: proporcionamos un resumen sobre el cual las compañías recientemente decidieron no proporcionar la tecnología a las fuerzas del orden.

Además de otras noticias de ciberseguridad:

• Trabajo interno: el especialista de TI está encarcelado por deslizar criptomonedas del propietario del negocio (Fuente: St Helens Star)

• Rastrear y rastrear: cómo una variedad de fallas de la OPEP trajo a la policía a la puerta de alguien (Fuente: The Register)

• Otro día, otra violación: las aplicaciones de citas de nicho sufren la exposición del usuario (Fuente: Mentor VPN)

• Compromiso de correo electrónico comercial: tendencias de correo electrónico fraudulento en la era de Coronavirus (Fuente: Help Net Security)

• Estafa de vuelo libre: Southwest Airlines avisa a los clientes (Fuente: House Beautiful)

Vamos a hablar hoy sobre algo que probablemente haya escuchado antes: VPN o redes privadas virtuales . En Malwarebytes hemos profundizado en estas herramientas en mayor profundidad , y las hemos discutido literalmente en las ondas digitales .

Pero queremos responder una pregunta que hemos estado recibiendo cada vez más. La gente ya no tiene tanta curiosidad acerca de qué es una VPN, como si deberían usar una.

La respuesta es, depende. Para eso, estamos aquí para ayudar.

Cómo funciona una VPN

Para comprender cómo funciona una VPN y si debe usar una, lo mejor es comprender primero qué sucede cuando navega por Internet. Cada vez que abres un navegador web y vas a un sitio web, te estás conectando a ese sitio web e intercambiando información con él. Este es su «tráfico» de Internet, y puede revelar bastante información sobre usted, incluidos los sitios web que visita, su dirección IP y más.

Una VPN actúa como un «túnel» para su tráfico de Internet. Su tráfico entra en el túnel y sale de uno de los nodos de salida del servicio VPN. El túnel cifra sus datos, haciéndolos indescifrables para su proveedor de servicios de Internet (ISP). En el mejor de los casos, su ISP puede ver que parte del tráfico encriptado va a un servicio VPN, pero no el contenido de ese tráfico, y no de dónde sale.

Lo interesante a tener en cuenta aquí es que, con esta funcionalidad básica, una VPN puede satisfacer muchas necesidades diferentes. Como escribimos antes :

Dependiendo de a quién le pregunte, una VPN es cualquiera de estos: [1] un túnel que se encuentra entre su dispositivo informático e Internet, [2] lo ayuda a permanecer anónimo en línea, evitando la vigilancia gubernamental, el espionaje y la recopilación excesiva de datos de grandes empresas, [3] una herramienta que encripta su conexión y enmascara su verdadera dirección IP con una que pertenece a su proveedor de VPN, [4] una pieza de software o aplicación que le permite acceder a recursos privados (como archivos de la empresa en su intranet de trabajo) o sitios que generalmente están bloqueados en su país o región.

Sin una VPN, su proveedor de servicios de Internet o ISP puede ver casi todo con lo que interactúa en línea. Con quién se conecta, qué tipo de tráfico, dónde se encuentra geográficamente. No bueno

Obscurecer su tráfico con una VPN

Si usa una VPN, su ISP sabe que se ha conectado a una VPN, pero no puede inspeccionar el contenido de su tráfico y no sabe de dónde sale en el otro extremo.

Además, a pesar del reciente aumento en la popularidad de las VPN, estas herramientas han estado en uso para las empresas durante mucho tiempo. Por lo general, se utilizan para acceder a recursos de forma remota como si estuviera en la oficina.

En algunos casos, incluso hemos visto aumentos de rendimiento mediante el uso de una VPN, donde el estrangulamiento artificial se evita mediante el uso de una VPN. Debido a que está haciendo un túnel en su conexión, su ISP no puede mirar su tráfico y estrangularlo , según el tipo de tráfico. Lo creas o no, este es un problema real, y algunos ISP reducen el tráfico de los usuarios cuando ven el intercambio de archivos, por ejemplo .

Recomendaciones del consumidor

Hay varios caminos que puede tomar al decidir implementar una VPN. Estas herramientas no solo funcionan en sus dispositivos personales, como sus computadoras portátiles y teléfonos móviles, sino que, en algunos casos, puede insertar su propio enrutador en la mezcla.

En muchos casos, el enrutador proporcionado por su ISP no es un dispositivo que usted controle por completo, y usarlo para sus necesidades de red puede abrirlo a posibles problemas de seguridad.

Estos dispositivos a veces tienen funciones administrativas que no son accesibles para los suscriptores. Algunos enrutadores de rango medio a superior ofrecidos en el mercado hoy en día le permiten colocar la VPN en el enrutador, encapsulando efectivamente todo su tráfico.

La ruta del hardware

Una posible solución sería obtener un enrutador de este tipo e instalar la VPN en él, en lugar de en sus máquinas individuales. Esto tiene la ventaja adicional de que proporciona protección VPN a dispositivos que no son compatibles con VPN, como dispositivos portátiles, consolas y dispositivos inteligentes.

En el pasado, hemos visto el hardware del ISP violado por cuentas codificadas en los módems / enrutadores que ofrecen a sus suscriptores.

Lamentablemente, la atención al cliente de ISP a menudo se resiste a ayudar si inserta su propio equipo en la mezcla. (De hecho, pueden hacer que lo elimine de la ecuación antes de que brinden soporte).

Esta solución es específica para cada enrutador y un poco más avanzada.

La ruta del software

También puede usar una aplicación VPN proporcionada por el proveedor de VPN. Esta aplicación proporcionará un túnel VPN a la computadora en la que está instalado, y solo eso, así que tenlo en cuenta.

Una de las opciones más sólidas a tener en cuenta para su solución de software es una funcionalidad de » interruptor de apagado «. Esto garantiza que si algo le sucede a la aplicación VPN, no se «abre por error» ni permite el tráfico de Internet si la VPN se rompe. Piénsalo. Está instalando esta aplicación por la funcionalidad explícita de que puede tunelizar su tráfico. Si la aplicación no funciona correctamente, es posible que existan riesgos de privacidad en la aplicación que aún le permitan conectarse a Internet, pero dejando que su tráfico se desvíe.

Más que nada, un interruptor de apagado evita la posibilidad de que esté operando con una falsa sensación de seguridad. Lo que usted dice en línea, y la posibilidad de que haya sido usted quien lo dijo, puede llamar la atención en algunos países con leyes mucho más estrictas sobre la libertad de expresión.

Otro factor que hace que una VPN realmente funcione es cuando tienen muchos nodos de salida. Estos nodos de salida son ubicaciones que se pueden usar para evitar la geolocalización. Cuantos más estén disponibles y mayor sea la variedad, más versátil y útil será el servicio VPN.

La velocidad también es un factor para los nodos de salida de VPN. No tiene mucho sentido tener un montón de nodos de salida a menos que sean rápidos. Una de las desventajas de usar una VPN es que al agregar todos estos «saltos» entre nodos, su tráfico tardará más en enrutarse. Si los nodos son razonablemente rápidos, el usuario final no debería notar desaceleraciones significativas.

Debe tener un proveedor de VPN que no discrimine el tipo de tráfico que fluye a través de su red. Algunas VPN más pequeñas no tienen la infraestructura necesaria para manejar grandes volúmenes de tráfico peer-to-peer o bittorrent , y lo prohíben directamente o tienen límites de datos reales.

Pensamientos finales

Recuerde, cuando usted está pensando en adoptar una de estas herramientas, se debe transferir la confianza: Cuando se utiliza una VPN permite transferir el acceso a su tráfico a un 3 ^rd partido, el proveedor de VPN. Toda esa visibilidad que los usuarios se resisten a renunciar a su ISP ahora se ha entregado a su proveedor de VPN. Se debe considerar cuidadosamente la confiabilidad de dicho proveedor de VPN.

Hay casos documentados en los que un proveedor de VPN reveló que sus usuarios podrían ser anonimizados y que el proveedor de VPN, de hecho, mantuvo registros y estaba dispuesto a entregarlos .

Recuerde, las VPN no deben verse como herramientas oscuras. Son, en realidad, herramientas comerciales y de privacidad. Permitieron que los investigadores que luchan contra el malware descubrieran qué hace realmente ese malware. Permiten que los empleados se conecten a los recursos de la empresa fuera de la oficina, lo cual es de suma importancia hoy en día. Y le permiten a usted, el usuario, reclamar una medida de privacidad.

Por lo tanto, es importante elegir con cuidado. La mayoría de las VPN ofrecen un servicio donde prometen no registrar ni inspeccionar su tráfico. Sin embargo, en muchos casos, esta afirmación es imposible de verificar.

¿La mejor opción para VPN, entonces? Lea reseñas, recorra foros y busque las funcionalidades que son importantes, específicamente para usted.

El fabricante de automóviles Honda ha sido golpeado por un ciberataque, según un informe publicado por la BBC, y luego confirmado por la compañía en un tweet . Otro ataque similar, también divulgado en Twitter , golpeó a Edesur SA, una de las compañías pertenecientes a Enel Argentina que opera en el negocio de distribución de energía en la Ciudad de Buenos Aires.

Según los ejemplos publicados en línea, estos incidentes pueden estar relacionados con la familia de ransomware EKANS / SNAKE. En esta publicación de blog, revisamos lo que se sabe sobre esta variedad de ransomware y lo que hemos podido analizar hasta ahora.

Ransomware dirigido con gusto por ICS

Las primeras menciones públicas del ransomware EKANS se remontan a enero de 2020, con el investigador de seguridad Vitali Kremez compartiendo información sobre un nuevo ransomware dirigido escrito en GOLANG.

El grupo parece tener un interés especial por los Sistemas de Control Industrial (ICS), como se detalla en esta publicación de blog de la firma de seguridad Dragos.

El 8 de junio, un investigador compartió muestras de ransomware que supuestamente estaba dirigido a Honda y ENEL INT. Cuando comenzamos a mirar el código, encontramos varios artefactos que corroboran esta posibilidad.

Cuando el malware se ejecuta, intentará resolver a un nombre de host codificado (mds.honda.com). Si, y solo si lo hace, comenzará el cifrado del archivo. La misma lógica, con un nombre de host específico, también se aplicaba al ransomware presuntamente vinculado a Enel.

Objetivo: Honda

• Resolviendo dominio interno: mds.honda.com
• Correo electrónico de rescate: CarrolBidell @ tutanota [.] Com

Objetivo: Enel

• Resolviendo dominio interno: enelint.global
• Correo electrónico de rescate: CarrolBidell @ tutanota [.] Com

RDP como un posible vector de ataque

Ambas compañías tenían algunas máquinas con acceso de Protocolo de escritorio remoto (RDP) expuesto públicamente (referencia aquí ). Los ataques RDP son uno de los principales puntos de entrada cuando se trata de operaciones de ransomware específicas.

• RDP expuesto: /AGL632956.jpn.mds.honda.com
• RDP expuesto: /IT000001429258.enelint.global

Sin embargo, no podemos decir de manera concluyente que así es como los actores de la amenaza pueden haber entrado. En última instancia, solo una investigación interna adecuada podrá determinar exactamente cómo los atacantes pudieron comprometer las redes afectadas.

Detección

Probamos las muestras de ransomware disponibles públicamente en nuestro laboratorio al crear un servidor interno falso que respondería a la consulta DNS realizada por el código de malware con la misma dirección IP que esperaba. Luego, analizamos la muestra presuntamente vinculada a Honda contra Malwarebytes Nebula , nuestra protección de punto final basada en la nube para empresas.

Detectamos esta carga útil como ‘Ransom.Ekans’ cuando intenta ejecutarse. Para probar otra de nuestras capas de protección, también deshabilitamos (no recomendado) la protección contra malware para permitir que el motor de comportamiento haga lo suyo. Nuestra tecnología anti-ransomware pudo poner en cuarentena el archivo malicioso sin el uso de ninguna firma.

Las pandillas de ransomware no han mostrado piedad, incluso en este período de lidiar con una pandemia. Continúan apuntando a grandes empresas para extorsionar grandes sumas de dinero.

RDP ha sido señalado como una de las frutas colgantes más bajas preferidas por los atacantes. Sin embargo, también aprendimos recientemente sobre una nueva vulnerabilidad de SMB que permite la ejecución remota. Es importante que los defensores mapeen correctamente todos los activos, los apliquen y nunca permitan que sean expuestos públicamente.

Actualizaremos esta publicación de blog si encontramos nueva información relevante.

Indicadores de compromiso (COI)

Muestra relacionada con Honda:

d4da69e424241c291c173c8b3756639c654432706e7def5025a649730868c4a1
mds.honda.com

Muestra relacionada con Enel:

edef8b955468236c6323e9019abb10c324c27b4f5667bc3f85f3a097b2e5159a 
enelint.global