Autores
Introducción
Como empresa de ciberseguridad, Kaspersky analiza numerosas muestras de malware, tanto conocidas como nuevas. Como parte de nuestro servicio de informes sobre crimeware, proporcionamos a nuestros clientes informes técnicos sobre la evolución de las familias de crimeware existentes, así como sobre las de reciente aparición. En este artículo, compartimos extractos de nuestros informes sobre un malware que lleva activo menos de un año: GoPIX, un stealer dirigido al sistema de pago PIX que está ganando popularidad en Brasil; Lumar, un stealer multifunción anunciado en la dark web, y Rhysida, un ransomware compatible con versiones antiguas de Windows.
Si desea obtener más información sobre nuestro servicio de denuncias de crimeware, escríbanos a crimewareintel@kaspersky.com.
GoPIX
En Brasil, el sistema de pago PIX es cada vez más popular. Y, como es de esperar, los ciberdelincuentes en su afán de lucro, no dejan escapar esta oportunidad y buscan abusar de este sistema para su beneficio. Un buen ejemplo de ello es GoPIX, una campaña de malware que lleva activa desde diciembre de 2022.
El ciclo del ataque comienza cuando una víctima potencial busca “WhatsApp web”. Los ciberdelincuentes emplean malvertising: ponen enlaces en la sección de anuncios de los resultados de búsqueda, de modo que el usuario los ve en primer lugar. Si hacen clic en un enlace de este tipo, se los remite a la página de destino del malware. Entonces ocurre algo interesante: los delincuentes utilizan la solución de prevención de fraude IP Quality Score para determinar si el visitante es un usuario real o un bot. Si todo va bien (desde el punto de vista del atacante), se muestra una página de descarga de WhatsApp falsa y se engaña al usuario para que descargue el malware.
Y de nuevo ocurre algo interesante, ya que hay dos URL desde las que se puede descargar el malware. La URL que se utilice dependerá de si el puerto 27275 está abierto en la máquina del usuario. Este puerto lo usa el software de Avast destinado a proteger la banca. En caso de que se detecte este software, se descarga un archivo ZIP que contiene un archivo LNK que incrusta un script PowerShell ofuscado que descarga la siguiente etapa. Si el puerto está cerrado, se salta esta etapa y se descarga la siguiente (un paquete instalador NSIS). El único propósito parece ser burlar el software Avast y asegurarse de que el malware se descargue en el sistema.
El paquete instalador de NSIS contiene algunos scripts PowerShell, descarga otros adicionales y también descarga el malware (GoPIX). Tras descifrar las cargas útiles y ejecutar diferentes shellcodes, se carga el dropper del malware utilizando el proyecto sRDI (Shellcode Reflective DLL Injection) que se puede encontrar en GitHub. A continuación, el programa malicioso inicia el proceso “svchost” en un estado suspendido y le inyecta GoPIX.
GoPIX es un típico malware ladrón de portapapeles, que roba la “transacción” de PIX que se utiliza para identificar las solicitudes de pago y las sustituye por otra maliciosa (controlada por el atacante) que se baja del C2. El malware también permite alterar monederos de Bitcoin y Ethereum. Estos están codificados en el malware y no se bajan del C2. GoPIX también puede recibir comandos del C2, pero sólo los que esté relacionados con la eliminación del malware de la máquina.
Como era de esperar, la mayoría de las infecciones que vemos proceden de Brasil.
Lumar
Lumar (que no debe confundirse con Lumma, sobre la que informamos en una ocasión anterior), es un nuevo stealer que está ganando popularidad rápidamente en las comunidades clandestinas. Fue anunciado en julio de 2023 por un usuario llamado “Collector”, que afirmaba que su nuevo stealer podía:
- capturar sesiones de Telegram;
- recopilar contraseñas, cookies, rellenos automáticos, etc;
- recuperar archivos del escritorio del usuario;
- extraer datos de varios monederos criptográficos;
La lista completa de funciones la hemos proporcionado en nuestro informe privado sobre Lumar.
A pesar de tener todas estas funciones, este malware es relativamente pequeño (sólo 50kB), lo que se debe en parte a que está escrito en C.
Cuando se ejecuta, el malware resuelve las funciones utilizando CRC32. A continuación, verifica los idiomas de la interfaz de usuario del sistema operativo y finaliza si se está usando un idioma de los antiguos países de la CEI. Después, comienza el proceso inicial de recopilación de información, en el que se envía al C2 información sobre la CPU, la memoria, la disposición del teclado, etc. A continuación, Lumar inicia tres subprocesos diferentes, cada uno de los cuales busca datos específicos:
- archivos .txt, .doc, .jpg, .rdp, .xls, etc;
- cookies del navegador y contraseñas almacenadas en caché;
- archivos asociados a las carteras de criptomonedas.
A continuación, los datos se juntan, se comprimen y se envían al C2.
El autor del malware aloja el C2, ya que vende todo el paquete como un servicio MaaS. Para iniciar sesión se necesita un nombre de usuario y una contraseña. Una vez iniciada la sesión, se ven tres pestañas:
- Home;
- Stats (estadísticas de víctimas);
- Logs (información filtrada, que puede descargarse como archivo ZIP).
Además, el panel C2 permite la descarga de la última versión de Lumar y la configuración de Telegram (el comprador será notificado de cualquier nuevo dato entrante a través de Telegram).
Rhysida
Rhysida es una variante de ransomware relativamente nueva que apareció en mayo de este año según nuestra telemetría. Tiene todas las características típicas de muchas familias de ransomware modernas: se distribuye como ransomware como servicio (RaaS), ejecuta un servicio TOR oculto, utiliza LibTomCrypt, etc.
Sin embargo, hay algunas peculiaridades de Rhysida que merecen la pena destacar. En primer lugar, la autoeliminación se consigue ejecutando un comando de PowerShell en el sistema.
El uso de PowerShell en Rhysida
En segundo lugar, sigue siendo compatible con versiones de Windows anteriores a Windows 10, ya que la carpeta Documents and Settings queda excluida del proceso de cifrado. En tercer lugar, el malware está escrito en C++ y compilado utilizando MinGW con bibliotecas compartidas por defecto. Esto significa que estas bibliotecas deben estar presentes en el sistema en el momento de la ejecución.
Como ya lo hemos mencionado, Rhysida es más o menos nueva, lo que es evidente por el número de víctimas en su sitio Onion, pero también por el hecho de que al principio cometieron algunos errores en la configuración de su servidor Onion, exponiendo datos sensibles. El grupo responsable de Rhysida corrigió estos errores con bastante rapidez.
Conclusión
Los ciberdelincuentes se adaptan a las tendencias y desarrollan nuevos programas maliciosos cada cierto tiempo. A medida que se popularizan nuevas aplicaciones y servicios, como el sistema de pago PIX, los autores de crimeware los van agregando a su lista de objetivos, de donde surgen familias como la del stealer GoPIX. El malware emergente suele anunciarse en la web oscura entre delincuentes menos cualificados y distribuirse como MaaS, lo que permite a sus autores enriquecerse rápidamente y poner en peligro una y otra vez a organizaciones legítimas. Para adelantarse a la evolución de las amenazas, las empresas deben realizar una vigilancia constante del panorama de las amenazas.
Si desea estar siempre al día con las últimas TTP utilizadas por los delincuentes, o tiene alguna pregunta sobre nuestros informes privados, escríbanos a crimewareintel@kaspersky.com.
Indicadores de compromiso (MD5)
GoPIX
EB0B4E35A2BA442821E28D617DD2DAA2
6BA5539762A71E542ECAC7CF59BDDF79
333A34BD2A7C6AAF298888F3EF02C186
Lumar
5fc82bd3590eae30c26f1a42f4e711f4
46b892398cfb1a1c59683fc8abfcc5fc
Rhysida
0c8e88877383ccd23a755f429006b437
274be1fac3bab38af7483a476a2dea90
36d142294f1ca4c4768dbe15b6553975
Autores
De los mismos autores
En la misma categoría
El cifrador Rhysida y dos stealers: GoPIX y Lumar