viernes, 31 de enero de 2014

Jumcar, malware hecho en latinoamérica, reaparece

Publicado en enero 31, 2014
Código de la primera versión de Jumcar

 Hace tiempo se conoció de un virus hecho en latinoamérica y en .NET que dependía mucho de la criptografía, teniendo tres versiones en total y cada una haciéndose más refinada, ahora Jumcar reaparece, como una muestra subida al sistema Virus Total, con muchas características modificadas desde el código original y con un nuevo objetivo.

Virus total en un sistema en línea que permite revisar archivos por varios antivirus en línea, es por esto común subir muestra de malware aquí para probar la eficiencia de determinado antivirus sobre determinada amenaza, pero hace un par de semanas, un analista de Kaspersky Lab, Dmitry Bestuzhev, se fijó rapidamente en una muestra de este malware en esta plataforma, pero un algo malo podría ser que no fue detectado como una amenaza por ningún antivirus. 

Al ser un virus en español hay muchas cadenas de texto que ni siquiera son mencionadas en el artículo de Kaspersky, pues son insultos a los investigadores que inspeccionan el código de la amenaza, pero hubo algunas cadenas que si les llamaron la atención, tal y como podemos ver en la imagen de arriba en esta nueva versión se ve la dirección en el disco donde el malware era depurado, ahí confirmaron que lidiaban con .NET y tal parece que el "Victor" que se puede ver en esa ruta habría estado probando a esta nueva versión de Jumcar contra los antivirus de Virus Total

Ruta de la depuración del malware
Ícono
Este malware que se hacía pasar como una aplicación de facebook rapidamente dejaba una carga cuando era ejecutado por el usuario, Que aparecía como una utilidad de Facebook en el monitor de procesos, este de inmediato probaba la conectividad a internet para proseguir a descargar un archivo, lo hacía mediante un "Ping" a google, que intentaba realizarlo tanto a google.com como a su IP, tras lo cual descargaba un archivo de texto de un servidor localizado en Chile y donde estaba la el nombre de los bancos de los que intentaría robar la información a las víctimas, el archivo estaba convenientemente llamado robots.txt para no llamar la atención de los administradores en las revisiones del log.

Comprobando la conexión

El archivo descargado del servidor infectado
 Con la lista descargada proseguía a sobreescibir la información del archivo hosts de windows ubicado en %systemroot%\system32\drivers\etc\, el cual redirige a IPs específicas los dominios especificados en él. Es decir cuando el usuario infectado escribiese la dirección de su banco en el navegador en vez de resolver la dirección con algún servidor DNS, este redirige al navegador a la IP especificada en el archivo, que contenía la IP de un sitio falso diseñado con el propósito de robar los datos. Al momento del análisis el sitio estaba fuera de línea, pero dada la manera en que trabajaba el malware era fácil reemplazar el robot.txt con todos los sitios.

La primera diferencia con las versiones previas es que antes sus blancos eran instituciones de Perú y Chile, pasando posteriormente a ser sólo Perú, pero como vemos en las direcciones del archivo de texto, los bancos son de Bolivia, es decir , estaba personalizado para objetivos de Bolivia; pero no hay nada que impida que los criminales puedan expandir la lista hacia otros blancos, aunque el ejecutable .NET tenía como nombre "newbol", pudiendo significar una nueva variante para Bolivia.

Sitios que iban a ser redirigidos

De nuevo esta versión al igual que las anteriores está fuertemente apoyado por la criptografía para la ofuscación de cadenas y de su código, al parecer la última versión usaba RSA, un cifrado asimétrico, con un método para desencriptar GenerateRSAreverse() que tomaba cada cadena y la convertía en texto claro para los propósitos que necesitara el malware. Pero los analistas de Kaspersky pudieron pasar esta ofuscación y ver claramente como estaba estructurado el código, algo un poco diferente a la ofuscación de otro malware hecho en latinoamérica con Visual Basic y que únicamente se cubren convirtiendo sus cadenas a hexadecimal.

Parte del código encriptado con RSA
Por lo que podemos ver la lógica es simple y de hecho muy parecida a la de muchas botnets que modifican en sus ordenadores infectados el archivo  "hosts" para redirigir a los usuarios de la página de sus bancos a sitios preparados por los criminales para robar información. Pero a pesar de ser relativamente simple, la manera en que está hecho permite a los criminales hacer modificaciones al código y generar nuevas variantes según la demanda y de igual manera y rápida modificación de las entidades financieras que son su objetivo.

Finalmente los analista de Kaspersky nos dicen que no es común un malware desarrollado en latinoamérica, ni uno usando .NET, pero que el uso de esta clase de frameworks es beneficioso por el rápido desarrollo de código y su rápido mutación, además que los ciber-criminales muestran la adopción de mejores prácticas de desarrollo de software y que tras otro malware de .NET para cajeros "Ploutus"; el panorama de latinoamérica respecto a desarrollo de malware está más encendido.

Como siempre estas amenazas tiene  su parte de componente social para poder esparcirse, como correos  falsos de facebook y ejecutables sospechosos, así que uno de los vectores por donde se puede frenar es tener precaución con los correos que recibimos y con las aplicaciones que ejecutamos. también no olvidar que en sistemas con Windows se ha vuelto imprescindible tener una solución de seguridad instalada y actualizada. También tener cuidado a la hora de realizar transacciones financieras y donde lo hacemos, pues el desarrollo de Malware en LatinoAmérica es una realidad que no podemos negar y de la cual nos debemos cuidar y ser precavidos.

Fuente : Kaspersky Blog

Más información sobre Jumcar: Partes 1, 2, 3
Etiquetas: , , , , , , , , , ,

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)