Damballa: Furtim y SFG son el mismo malware

Un nuevo estudio cuestiona todo lo que se conocía acerca de Furtim, un nuevo malware que, según se creía, ataca los sistemas de administración de instalaciones energéticas. Según Damballa, el descargador Furtim y el dropper SFG descubierto recientemente son diferentes compilaciones de un sólo programa que no tiene un código específico para lanzar ataques contra sistemas de control automatizados.

El análisis llevado a cabo por la compañía confirmó que Furtim y SFG no solo son parecidos, sino que son parientes cercanos. “Se diferencian solo por los encabezados”, aclaró para Threadpost el analista de virus en jefe de Damballa, Don Jackson. “Estos encabezados simplemente tienen diferentes valores que el malware elige al azar, por lo que en Internet diferentes compilaciones del mismo programa malicioso parecen diferentes”.

Una investigación más minuciosa de Furtim/SFG reveló que no tiene como objetivo las instalaciones energéticas, como se informó anteriormente, sino que intenta infectar cualquier red para robar las credenciales de los usuarios. “Este malware se propaga de diferentes maneras, entre ellas mediante descargas drive-by, publicidad nociva y spam”, relata Jackson y continúa: “Es omnívoro y no tiene preferencias por ninguna industria en particular. Simplemente infecta todos los equipos Windows que pueda penetrar”.

Al parecer, todos resultaron engañados por la primera noticia de SentinelOne sobre SFG: en aquel momento, los investigadores suponían que el ejemplar que analizaron tenía como blanco a una compañía europea de energía eléctrica. Un par de días después SentinelOne actualizó su blog: “Nuestra publicación en la que supusimos que el objetivo de este malware eran los sistemas SCADA de instalaciones energéticas ha dado lugar a muchos malentendidos. Queremos hacer hincapié en que no contamos con pruebas de que sea así. El tema de nuestro análisis eran las características nocivas del programa, y no la autoría o la gama de sus objetivos.”

Las principales tareas de Furtim/SFG son evitar que los detecten, ejecutar exploits para las vulnerabilidades de Windows CVE-2014-2015 y CVE-4113-1701, y evadir el sistema UAC de restricción de los derechos de usuario de Windows. “La cantidad y tipos de tácticas revela el alto nivel técnico de este malware”, admitió Jackson. “Utiliza todas las técnicas conocidas para evitar la detección y análisis. Y aunque este programa malicioso no parece ser un proyecto financiado por algún estado, está muy bien diseñado”.

Destacamos que Furtim fue descubierto por los investigadores de enSilo, que publicaron el respectivo informe el pasado mayo. Según Damballa, el nuevo Furtim/SFG utiliza la conocida infraestructura fast-flux de la botnet Dark Cloud, que está disponible como un servicio. Los numerosos nodos de Dark Cloud funcionan como un proxy y debido a sus constantes cambios de dirección es muy difícil bloquearlos.

Fuentes: Threatpost