DESDE EL BLOG DE WEBSENSE SECURITY LABS:
Esas
son las cinco palabras que nadie quiere ver aparecer en su pantalla. De hecho,
los investigadores de Websense® Security Labs™ han
identificado una táctica que resulta interesante en la proliferación del
ransomware Crypto.
Uno de
los ejemplos más conocidos es aquel que se aprovecha de la vulnerabilidad muy humana
relativa al temor a recibir una multa de tránsito.
En los casos más recientes, los atacantes decidieron utilizar el
sofisticado kit de explotación Angler con el fin de aprovechar las
vulnerabilidades del software. Y si se le ofreciera la oportunidad de convertir
un dólar en cien dólares inmediatamente” o “Invertir $1 dólar hoy y ganar $1000
dólares mañana”, o si se le preguntara “¿Necesita dinero ahora?” ¿Eso
despertaría su interés? Por supuesto que los atacantes esperaban que las
víctimas polacas a las que estaban dirigiéndose específicamente cayeran en la
tentación.
En un principio se identificó esta variante cuando se
monitorearon las campañas de correo electrónico que alentaban a los
destinatarios a dar clic en los URLs hospedados en páginas comprometidas. Los
spammers utilizan URLs de sitios comprometidos para asegurar un índice de clics
más alto en sus mensajes. Los sitios comprometidos resultan mucho menos sospechosos
para una víctima perspicaz que los sitios que se han registrado recientemente.
Lo que es interesante es que los atacantes están haciendo que los sitios
comprometidos entreguen spam en la mayoría de los casos, pero cuando una
víctima potencial llega al sitio comprometido es redirigida al malware. En este
caso, el malware es Teslacrypt el cual se entrega a través del kit de
explotación Angler. Cabe señalar que también se ha entregado Teslacrypt a
través de varios otros kits en el pasado.
Al emular el
URL señuelo en el Websense File Sandbox, pudimos seguir la cadena de infección desde el señuelo de correo
electrónico a través del kit de explotación Angler, hasta la eventual ejecución
de Teslacrypt en el sistema. El atacante trató de ser lo más sigiloso posible
para evadir la detección en varias etapas de la cadena de ataque.
El atacante
puede beneficiarse de tres maneras al utilizar el kit de explotación Angler:
1.
Angler es capaz
de infectar con “un clic”. Las víctimas tienen posibilidades considerablemente
bajas de darse cuenta de que lo que se les está pidiendo hacer no es legítimo.
2.
Angler hace una
entrega “sin archivos”. La aplicación sospechosa nunca se graba en el disco
duro de la víctima, reduciendo considerablemente así la posibilidad de que el
software antivirus (AV) la detecte. Se ha demostrado que Angler identifica el
antivirus antes de decidir si grabar el malware en el sistema o almacenarlo en
la memoria.
3.
Angler permite
entregar malware cifrado. El malware que se descarga no luce como un
ejecutable. Esto disminuye la posibilidad de detectarlo a nivel de la red.
El siguiente
reporte muestra el análisis de Websense File Sandbox para la entrega basada en
archivos de TeslaCrypt:
La
comunicación de comando y control se muestra a continuación:
El conjunto de
comportamientos sospechosos permite que la entrega basada en archivos se
identifique más fácilmente como un archivo ejecutable malicioso. El método de
entrega sin archivos hace que el proceso de infección se realice con más
sigilo.
La detección
estática fue considerablemente menos efectiva que el análisis de sandbox con
únicamente 20 por ciento de detección Total de Virus al momento de redactar
este blog.
Este bajo
índice de detección sólo empeorará con el mecanismo de entrega sin archivos, ya
que el software antivirus ni siquiera podría tener la oportunidad de analizar
el archivo.
Mitigación
Los clientes de Websense están protegidos desde la
entrega inicial a través del correo electrónico con TRITON AP-EMAIL. Si los
usuarios reciben contenido malicioso, se ofrecerá protección vía ACE, el
Websense Advanced Classification Engine, en las diferentes etapas de la cadena
de ataque como se detalla a continuación:
·
Etapa 2 (Señuelo) –
ACE cuenta con protección contra la entrega de correo electrónico malicioso y
los sitios web a los que se les ha inyectado contenido malicioso que lleva al
contenido del kit de explotación
·
Etapa 3 (Redireccionamiento)
– ACE cuenta con protección contra los redireccionamientos que se sabe están
asociados a Angler
·
Etapa 4 (Kit de
Explotación) – ACE cuenta con protección contra el kit de explotación Angler
·
Etapa 5 (Dropper) –
El sandboxing de archivos de ACE identifica los binarios maliciosos asociados a
Angler y TeslaCrypt
·
Etapa 6 (Call Home)
– ACE cuenta con detección para el tráfico de comando y control que se sabe
está asociado a TeslaCrypt
Resumen
En el caso del señuelo de correo electrónico, los
atacantes inyectaron código en los sitios comprometidos y enviaron los enlaces
a este contenido a través del correo electrónico. Los investigadores de
Websense pudieron crear una analítica para seguir este código inyectado en las
miles de millones de piezas de tráfico web analizadas por su producto todos los
días. A partir de esto, pudimos identificar que los atacantes utilizaron el
sitio comprometido de forma oportunista para entregar spam a las masas y
malware a víctimas específicas. En este caso, el código se inyectó en varios
sitios populares. Dado el reciente incremento de las infecciones de TeslaCrypt
y el hecho de que se sabe que Angler ha estado involucrado en varios incidentes
de alto perfil, hay razones de sobra para creer que los atacantes hicieron todo
lo posible por infectar a tantos usuarios como pudieron de manera oportunista.
Este modo de infección de cero clics o drive-by
le da a la víctima una oportunidad remota de tomar las decisiones correctas
para evitar la infección. Se requiere de una defensa a profundidad en varias
etapas de esta cadena de ataques para lidiar con amenazas complejas como esta.
Para obtener más información por favor visite el
blog de Websense Security Labs: http://community.websense.com/blogs/securitylabs/archive/2015/04/29/turn-1-into-100-right-away-your-personal-files-are-encrypted.aspx
No hay comentarios:
Publicar un comentario