Descripciones de malware

ChewBacca – otro episodio de programas maliciosos basados en Tor

Acabamos de descubrir un nuevo programa malicioso basado en Tor, llamado “ChewBacca” que se detecta como “Trojan.Win32.Fsysna.fej”. Que este troyano se base en Tor no es algo único, pero sigue siendo muy raro.
Tor se está volviendo muy atractivo como servicio para garantizar el anonimato de los usuarios. Por lo tanto, los ciberdelincuentes también han empezado a adoptarlo para alojar su infraestructura maliciosa, aunque lo están haciendo sin apuro alguno. Esta capacidad se añadió hace poco a Zeus, como anunció mi colega Dmitry Tarakanov en su artículo aquí

Introducción

Tor es una red overlay (superpuesta) para los usuarios que buscan el anonimato. También sirve su propio dominio de alto nivel, “.onion”, al que se accede sólo mediante Tor (por supuesto, también existen servicios web que conducen a dominios Onion desde Internet). Esto protege la locación del servidor, así como la identidad del propietario en la mayoría de los casos. Sin embargo, los ciberdelincuentes se encuentran con algunos obstáculos que les impiden alojar sus servidores en Tor, pues debido a su superposición y a su estructura, Tor es más lenta y es posible que se produzcan tiempos muertos, y una voluminosa actividad en la red zombi pude afectar a toda la red, como sucede con Mevade, lo que permite que los investigadores la localicen con facilidad. Asimismo, la implementación de Tor tiene un alto grado de complejidad.

 

El programa malicioso

El troyano (MD5: 21f8b9d9a6fa3a0cd3a3f0644636bf09) es un ejecutable PE32 compilado con Free Pascal 2.7.1 (versión de fecha 22.10.2013). El archivo de 5MB contiene Tor 0.2.3.25.
Después de ejecutarse, el programa llama la función “P$CHEWBACCA$_$TMYAPPLICATION_$__$$_INSTALL“, que se aloja en la carpeta “Startup Folder” como “spoolsv.exe” (C:Documents and SettingsAll UsersStart MenuProgramsStartup) y pide la IP pública de la víctima a través de un servicio de acceso público: http://ekiga.net/ip, el cual no tiene relación alguna con el programa malicioso.
Tor se aloja como “tor.exe” en la carpeta Temp del usuario y se ejecuta con una lista predeterminada en “localhost:9050”.
Una vez que se ejecuta, el troyano registra toda la actividad del usuario en el teclado en el archivo “system.log” , que el programa malicioso ha creado en la carpeta local Temp del usuario. La función keylogger (registro de la actividad en el teclado) se instala mediante la función SetWindowsHookExA-API con el archivo gancho WH_KEYBOARD_LL. Este system.log se envía mediante [url]/sendlog.php (si la URL tiene codificación tipo hard-code. Ver a continuación).
Este troyano también enumera todos los procesos en ejecución y lee su memoria de proceso. Contiene dos patrones regex (expresión regular) diferentes para extraer información.

Estos datos se envían mediante la función "Exfiltrate" a [url]/recvdata.php. Este programa malicioso también contiene una función de desinstalación, llamada “P$CHEWBACCA$_$TMYAPPLICATION_$__$$_DESTROY”.

Servidor de control y comando (C&C)

El servidor C&C es una sencilla instalación LAMP con plataformas Linux CentOS, Apache 2.2.15, MySQL y PHP 5.3.3 (incluyendo phpmyadmin 2.11.11.3), alojado en http://5jiXXXXXXXXXXgmb.onion. Al abrir la URL aparece una interfaz de ingreso con la imagen de ChewBacca (de la serie “A Game of Clones”, de Andrew Spear, la cual obviamente no tiene relación alguna con el programa malicioso).

Los dos scripts php alojados que hemos mencionado contienen la función de este servidor.

  • sendlog.php contiene la función de enviar los datos del keylogger desde el equipo de la víctima hasta el servidor.
  • recvdata.php sirve para extraer información; con sólo llamarla, esta función muestra el siguiente mensaje de error: “Aviso: Índice no definido: datos sin procesar en /var/www/html/recvdata.php on line 24“

Conclusiones y notas

Gracias a mi colega Nicolas Brulez por su colaboración en este análisis.

A diferencia de otros paquetes de herramientas como Zeus, Chewbacca no aparece ofertado en foros públicos (clandestinos). Quizás se encuentre en pleno desarrollo o quizás se usa solo de forma privada o compartida.

Al parecer, algunos ciberdelincuentes están considerando Tor para alojar su infraestructura, debido a su promesa de mayor “seguridad” para los servidores C&C; pero, como ya hemos indicado más arriba, también tiene sus limitaciones.

ChewBacca – otro episodio de programas maliciosos basados en Tor

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada