Un nuevo programa malicioso que llegó al sistema de Virus Total el 18 de este mes, fue rápidamente detectado por mi colega Dmitry Bestuzhev. Parece, lo que resulta bastante interesante, que ha aparecido una nueva variante de la familia Jumcar y que el código fuente original ha sufrido muchos cambios. Puesto que se trata de un programa malicioso latinoamericano elaborado a pedido, existen muchos hilos escritos en español, algunos de los cuales no mencionaremos porque contienen insultos a los investigadores de seguridad que inspeccionaron el código.
Lo primero que llamó nuestra atención fue la presencia de alguna información de depuración que todavía aparece en el archivo ejecutable. Después de un análisis básico, confirmamos que se trataba de una aplicación para Microsoft .NET y que el hilo que hallamos era la ruta original en la que el trabajo malicioso se depuraba en el sistema del desarrollador. Aparentemente, “Victor” estaba probando el funcionamiento de su nueva creación sometiéndola a varios motores antivirus, ya que fue él mismo quien la envió a Virus Total.
Camuflada como una inocente aplicación para “Facebook”, Jumcar engaña al usuario para que pulse dos veces el archivo que infectará su sistema y descargará su contenido malicioso.
Parece bastante inocente, ¿no es verdad?
Después de que el archivo ejecutable se activa, aparece como una utilidad para “Facebook” en el monitor de procesos, mientras comienza a realizar pruebas de conexión a redes para determinar si puede descargar la segunda parte de su código malicioso. En este caso, recurre a Google (usando el nombre de dominio y la dirección IP) para ver si hay una conexión disponible para descargar otro archivo necesario para la infección.
Si todo resulta como se espera, Jumcar procederá a descargar un archivo de texto localizado en Chile y que contiene el nombre de los bancos que atacará para robarles información. Esta lista también está convenientemente rebautizada como un archivo de exclusión estándar “robots.txt” para no llamar la atención el administrador del sistema cuando verifique sus entradas en el registro.
Una vez que la lista se descarga, el siguiente paso consiste en usarla para sobrescribir la información hosts de Windows localizada en %systemroot%system32driversetc. Entonces ahora, cada vez que el usuario intente acceder a cualquiera de los dominios incluidos en la lista maliciosa de hosts, se le desviará a otra IP donde se encontrará una versión falsa del sitio web que deseaba visitar. Actualmente esta IP se encuentra desactivada, pero como el malware recupera dinámicamente el archivo, esto puede cambiar fácilmente con sólo remplazar el archivo “robots.txt”.
En anteriores versiones de Jumcar, sus blancos era las instituciones financieras, especialmente las de Perú. En esta variante, el código ha sido adaptado para atacar a bancos bolivianos, pero no hay nada que les impida a los ciberpiratas ampliar su lista de objetivos. Esto cobra sentido porque el nombre de ensamblaje para el archivo ejecutable .NET era “newbol”, que puede referirse a la nueva variante boliviana.
El código recurre a muchas funciones criptográficas ( ninguna novedad, ya que las anteriores versiones también lo hacían en gran medida) para añadirle una capa de ofuscación que obstaculice los esfuerzos de los analizadores. Afortunadamente, al inspeccionar el tráfico de red y al desmontar el código fuente .NET, pudimos darle un vistazo a cómo se había logrado el desarrollo interno de esta amenaza. La última versión incluye varios hilos incrustados que se descodifican mediante un método conocido como GenerateRSAreverse(), que toma cada hilo y genera una versión de texto clara que se utilizará para realizar las distintas tareas del malware.
Por ejemplo, del siguiente fragmento de texto codificado con RSA, Jumcar obtendrá el nombre de archivo que se utilizará para persistir (utilizando “winlogon.exe” en la llave de registro CurrentVersionRun), la dirección IP del servidor del que necesita obtener el archivo “robots.txt”, y más.
La lógica que domina esta amenaza sigue siendo bastante sencilla y se basa en la infección rápida del sistema y el remplazo del archivo hosts para poder proceder a robar los datos. Aunque no es muy sofisticada, parece ser muy efectiva y les permite a los atacantes modificar rápidamente los códigos, lo que a su vez genera nuevas variantes a pedido.
No es muy común encontrar programas maliciosos desarrollados en Latinoamérica, o que utilicen la tecnología .NET. Sin embargo, en los últimos meses hemos visto que los beneficios del desarrollo rápido de códigos y el uso de marcos resultan muy tentadores para que los ciberpiratas adopten las mejores prácticas del desarrollo de software. Con Ploutus, un programa malicioso ATM (.NET) que también fue desarrollado por completo en la región, parece que el mundo del malware en español se está poniendo interesante. Por el momento, parece sólo in intento del creador de este malware para comprobar los índices de las pruebas de detección, pero nos mantendremos muy atentos ya que la verdadera amenaza puede surgir en cualquier momento. De Latinoamérica con amor, Jumcar ha vuelto.
Kaspersky Anti-Virus detecta todos los programas maliciosos mencionados con el método heurístico como variantes de Trojan.Win32.Fsysna.
De Latinoamérica con amor: Jumcar vuelve al ataque