Autores
Introducción
Hace un tiempo, un cliente nuestro en Latinoamérica nos comentó que estuvo de visita en China y que creía que su equipo se infectó con un virus todavía no detectado, no conocido. Mientras le ayudábamos con el análisis de la máquina, encontramos un archivo muy interesante que no tenía nada que ver con China pues no contenía ningún rastro de códigos chinos. En principio, aparentaba ser una aplicación relacionada con Java, pero tras un rápido análisis, quedó claro que era algo más que un simple archivo de Java. šEra parte de un ataque dirigido al que bautizamos como “Machete”.
¿Qué es “Machete”?
“Machete” es una campaña de ataques dirigidos con orígenes en idioma español. Creemos que esta campaña empezó en 2010 y se renovó con una infraestructura mejorada en 2012. Es posible que la operación siga “activa”.
El programa malicioso es capaz de realizar las siguientes operaciones de ciberespionaje:
- Captura de actividad en el teclado
- Captura de la entrada de audio en el micrófono del equipo
- Captura de imágenes de la pantalla
- Captura de datos de localización geográfica
- Captura de fotos con la cámara web del equipo
- Envío de copias de archivos a un servidor remoto
- Copias de archivos a un dispositivo USB especial cuando se lo inserta
- Captura del contenido del portapapeles y la información en el equipo atacado
Objetivos de “Machete”
La mayoría de sus víctimas se encuentra en Ecuador, Venezuela, Colombia, Perú, Rusia, Cuba y España, entre otros. En algunos casos, como el de Rusia, los blancos parecen ser embajadas de los países mencionados.
Sus objetivos incluyen servicios de inteligencia, fuerzas armadas, embajadas e instituciones gubernamentales.
¿Cómo funciona “Machete”?
Este programa malicioso se propaga mediante técnicas de ingeniería social, incluyendo mensajes de correo tipo spear-phishing e infecciones vía web, mediante un sitio web especialmente preparado y fraudulento. No tenemos evidencias de exploits para vulnerabilidades día-cero. Tanto los atacantes como sus víctimas parecen ser hispanoparlantes.
Durante nuestra investigación, también descubrimos otros archivos que instalan esta herramienta de ciberespionaje, en lo que parece ser una campaña dedicada tipo spear-phishing. Estos archivos se muestran como una presentación de PowerPoint que instala programas maliciosos en el sistema atacado cuando el archivo se abre.š Estos son los nombres de los adjuntos de PowerPoint:
- Hermosa XXX.pps.rar
- Suntzu.rar
- El arte de la guerra.rar
- Hot brazilian XXX.rar
En realidad, estos archivos son archivos comprimidos de Nullsoft Installer que se autodescomprimen y tienen fechas de compilación que datan de hasta 2008.
Una particularidad del código es el lenguaje Python incrustado en los ejecutables es que estos instaladores lo incluyen y también todas sus librerías necesarias para la ejecución, así como el archivo PowerPoint que se le muestra a la víctima durante la instalación. El resultado son archivos muy grandes, de más de 3MB.
Estos son algunos ejemplos de capturas de pantalla de los archivos mencionados:
Un punto técnico relevante en esta campaña es el uso de Python incrustado en los ejecutables de Windows del programa malicioso. Esto es muy inusual y no representa ninguna ventaja para los atacantes, salvo la facilidad de escribir códigos. No cuenta con soporte para múltiples plataformas ya que el código está muy dirigido a Windows (uso de librerías). Sin embargo, varias pistas que detectamos nos indicaron que los atacantes estaban preparando la infraestructura para usuarios de Mac OS X y Linux. Además de los componentes para Windows, también descubrimos un componente móvil (Android).
Tanto los atacantes como las víctimas son hispanohablantes nativos, como pudimos constar de manera consistente en el código fuente del lado del cliente y en el código Python.
Indicadores de la infección
Infecciones web
Encontramos los siguientes fragmentos de código en el HTML de los sitios web utilizados para infectar a las víctimas:
También encontramos el siguiente enlace a un artefacto de infección conocido:
hxxp://name.domain.org/nickname/set/Signed_Update.jar
Dominios
Estos son los dominios que encontramos durante la campaña de infección. Cualquier intento de comunicación con ellos debe considerarse de extremo riesgo:
java.serveblog.net
agaliarept.com
frejabe.com
grannegral.com
plushbr.com
xmailliwx.com
blogwhereyou.com (sinkholed by Kaspersky Lab)
grannegral.com (sinkholed by Kaspersky Lab)
Artefactos de infección
| MD5 | Nombre de archivo |
| 61d33dc5b257a18eb6514e473c1495fe | AwgXuBV31pGV.eXe |
| b5ada760476ba9a815ca56f12a11d557 | EL ARTE DE LA GUERRA.exe |
| d6c112d951cb48cab37e5d7ebed2420b | Hermosa XXX.rar |
| df2889df7ac209e7b696733aa6b52af5 | Hermosa XXX.pps.rar |
| e486eddffd13bed33e68d6d8d4052270 | Hermosa XXX.pps.rar |
| e9b2499b92279669a09fef798af7f45b | Suntzu.rar |
| f7e23b876fc887052ac8e2558f0d6c38 | Hot Brazilian XXX.rar |
| b26d1aec219ce45b2e80769368310471 | Signed_Update.jar |
Rastros en el equipo infectado
Se crea el archivo Java Update.lnk que conduce a appdata/Jre6/java.exe
El programa malicioso se instala en appdata/ MicroDes/
Procesos en ejecución Creates Task Microsoft_up
El lado humano de “Machete”
Idioma
La primera evidencia es el idioma utilizado, tanto para las víctimas como por los atacantes, español.
Todas las víctimas son hispanoparlantes, por los nombres de archivos de los documentos robados.
El idioma que utilizan los operadores de la campaña también es el español, ya que el código del lado del servidor está escrito en este idioma: informes, ingresar, peso, etc.
Conclusión
El descubrimiento de “Machete” revela que existen muchos actores regionales en el mundo de los ataques dirigidos. Por desgracia, estos ataques conforman el ciberarsenal de muchos países hoy. Con seguridad en este mismo momento hay otros ataques dirigidos que operan paralelamente y otros que están por nacer.
Nota: Si está interesado en el reporte técnico completo de esta APT, pueden solicitarlo escribiéndonos a: intelreports@kaspersky.com
Autores
“El Machete”