DESDE EL BLOG DE WEBSENSE SECURITY LABS:
Websense
Security Labs descubrió un nuevo y emergente descargador de
malware que emplea técnicas de evasión y descarga un minero del tipo cryptocurrency. El nuevo malware que
hemos llamado 'f0xy' es capaz de cambiar dinámicamente su comando y control
(C&C), así como descargar y ejecutar archivos arbitrarios. Más interesante
aún es que utiliza tácticas de evasión que incluyen el aprovechamiento de la
popular red social rusa VKontakte, y emplea el servicio Background Intelligent Transfer Service de Microsoft para descargar archivos.
El comportamiento de f0xy respalda nuestras predicciones de seguridad para 2015 en las cuales los criminales cibernéticos
seguirán ocultando su infraestructura C2 en sitios web legítimos. Creemos que
ésta será una tendencia creciente en 2015 debido a que los autores de malware
reconocen que los intentos de detección maliciosos en sitios web legítimos
puede ser difícil para los proveedores de seguridad.
Los clientes de Websense están
protegidos contra esta amenaza con ACE, nuestro Motor de Clasificación Avanzada, en las diferentes etapas de ataque, las cuales se detallan a continuación:
·
Etapa 5
(Dropper) – ACE tiene la detección de archivos
maliciosos utilizados en esta campaña incluyendo la detección del
comportamiento malicioso utilizado por f0xy.
- Etapa
6 (Call Home) – ACE detecta la
comunicación con los puntos de C&C asociados al programa de descarga
f0xy.
Archivo con el reporte Sandbox para el
descargador f0xy ‘dropper:
“El malware emergente f0xy emplea técnicas de evasión particularmente
avanzadas y utiliza la astucia y el engaño al intentar ocultarse entre el ruido del tráfico legítimo.
Nuestro descubrimiento destaca las
sofisticadas técnicas que los cibercriminales están implementando para
descargar y ejecutar archivos arbitrarios con ánimo de lucro.
La función principal de f0xy es actuar como un descargador y
potencialmente cualquier virus podría estar infiltrado por el código malicioso.
En este momento el malware está engañando, explorando su entorno y probando las
barreras débiles, lo cual conlleva a una amenaza maliciosa grave. La naturaleza
de f0xy se ajusta a la predicción de Websense Security Labs de que este año veremos
más malware dentro del ruido de tráfico legítimo, con autores de malware
migrando cada vez más hacia sitios web legítimos para ocultar su actividad
maliciosa y evitar su detección.
Aún no tenemos ninguna evidencia en nuestra base de clientes de un
intento de infectar equipos pero estamos monitoreando de cerca a f0xy”, dijo
Carl Leonard, Analista Principal de Seguridad de Websense.
A la Caza de f0xy
Al mirar de cerca el malware, vemos que sólo
hay 5/57 detecciones por parte de los proveedores de seguridad para el
archivo dropper f522e0893ec97438c6184e13adc48219f08b67d8.
Luego de investigar la infraestructura de
C&C se encontraron más muestras que se remontan al 13 de enero de 2015. El
análisis sugiere que el autor del malware ha ido cambiando y mejorando el
código para obtener mayor confiabilidad y eficiencia, y para llegar a una
versión que funcione en la mayoría de los sistemas operativos. Las primeras
versiones del malware se ejecutan sólo en Windows 6.0 (Vista) y superiores,
mientras que las versiones más recientes también pueden ejecutarse en Windows
XP.
Decidimos llamarlo ‘f0xy' debido a las cadenas
que están en los ejecutables y a la clave de registro que crea para la
persistencia.
Hasta la fecha no hemos visto ninguna
evidencia en nuestra base de clientes de un intento de infectar una máquina con
f0xy. Websense Security Labs seguirá supervisando la campaña, ya que los
usuarios podrían ser blancos en el futuro.
Tácticas de Sigilo y Evasión
Así como el zorro es conocido en muchas
culturas por su astucia y engaño, así es este código malicioso. Existen tres
características distintivas que permiten que el software malicioso no sea
detectado:
1. El
malware utiliza muy poco código y ofuscación con el fin de parecer más legítimo
y esconderse a plena vista
2. La
solicitud se hace a la red social rusa VKontakte, donde la dirección real
C&C está oculta
3. Por
último el malware utiliza el servicio de transferencia inteligente en segundo
plano de Microsoft para externalizar su tráfico de red y evitar la detección
por parte de productos de seguridad
Está claro que las motivaciones financieras se
mantienen a la vanguardia en las mentes de los delincuentes cibernéticos con el
anonimato de cryptocurrency que proporciona
un camino un poco más seguro para recoger el botín. También esperamos ver que
los autores de malware migren a sitios web legítimos y de buena reputación para
ocultar sus actividades maliciosas y esperamos que muchas más tácticas de
evasión adoptadas por los autores, continúen evitando los productos de
seguridad. Hemos configurado nuestro servicio ThreatSeeker®
Intelligence Cloud para buscar más indicadores de compromiso y
podemos usar herramientas como Yara
para complementar nuestros propios análisis.
Para obtener más información, por favor visite el
blog de Websense Security Labs: http://community.websense.com/blogs/securitylabs/archive/2015/01/29/new-f0xy-malware-employs-cunning-stealth-amp-trickery.aspx
No hay comentarios:
Publicar un comentario