Autores
Introducción
Kaspersky Lab quiere alertar a los usuarios del Medio Oriente sobre nuevos ataques de programas maliciosos a través de foros de redes sociales y noticias sirios. Los autores de programas maliciosos están recurriendo a numerosas técnicas para enviar sus ficheros y persuadir a sus víctimas a que los ejecuten, creando un vector de infección efectivo. Basándose principalmente en la ingeniería social, los atacantes explotan la confianza de sus víctimas en los foros de las redes sociales, su curiosidad por las noticias relacionadas con el conflicto en Siria, su posición respecto alš mismo, y su falta de conciencia sobre la ciberseguridad. Una vez que los ciberpiratas infectan el equipo atacado, tienen acceso y control totales de los dispositivos de su víctima.
En el primer informe sobre el malware sirio, Kaspersky Lab analizó muchos de los ataques lanzados en Siria para espiar a los usuarios de ese país, así como los ataques de diferentes equipos y fuentes.
Este artículo se concentrará en uno de los dominios, aparentemente el más activo en el último periodo: thejoe.publicvm.com.
Los ficheros de este programa malicioso se encontraban en sitios de activistas y de foros en redes sociales, y organizaciones regionales como CyberArabs informaronš sobre la existencia de otros.
Informes que mencionan a “the Joe”
https://citizenlab.org/2013/06/a-call-to-harm/
https://www.eff.org/files/2013/12/28/quantum_of_surveillance4d.pdf
Todos los ficheros se ocultan bajo el manto de una variante con funciones completas de RAT (Remote Administration Trojan) (Bitfrose/NjRAT/Shadowtech/Darkcomet…), capaz de lograr el control total de los equipos y dispositivos de las víctimas, monitoreando todos sus movimientos y accediendo a todos sus ficheros. El dominio thejoe.publicvm.com está relacionado con muchas muestras, por lo que nos concentraremos en las más importantes y atractivas, que posiblemente capturaron la mayor cantidad de víctimas específicas, estimadas en miles.
Existen muchos factores y entidades en juego en este asunto, por lo que nos concentraremos en los programas maliciosos y hechos que se encontraron durante el análisis, y presentaremos sólo la información más relevante con el objetivo de establecer un contexto claro para esta investigación.
¿Qué información teníamos sobre “the Joe”?
¿Qué ha estado haciendo “the Joe” en el último periodo?
¿Quién es “the Joe”?
¿Qué información teníamos sobre “the Joe”?
“The Joe” es uno de los ciberdelincuentes más activos en Siria y el Medio Oriente, que ataca a todo tipo de usuarios. A continuación se encuentra la información recopilada sobre “the Joe” y sus actividades.
Información del dominio “thejoe.publicvm.com”
“The Joe” usa un dominio dinámico para cambiar su dirección IP y mantener el anonimato:
El dominio thejoe.publicvm.com ha estado utilizando las siguientes direcciones IP localizadas en Siria y Rusia:
- 31.9.48.146
- 31.9.48.119
- 31.9.48.146
- 31.9.48.80
- 31.9.48.78
- 31.9.48.119
- 31.8.48.7
Estos son los puertos TCP utilizados en los ataques: 1234, 1177, 5522.
Información del malware
A partir de las copias del malware conseguidas, pudimos encontrar cadenas en el código en el dispositivo Windows que usa “the Joe”.
Estas son las rutas a las carpetas recuperadas de los ficheros del programa malicioso:
- C:UsersjoeDesktop2014WindowsApplication1WindowsApplication1objDebugWindowsApplication1.pdb
- C:UsersjoeDesktopDesktopSyriatelSyriatelobjDebugSyriatel.pdb
- C:UsersjoeDesktopNJServerNJServerobjDebugNJServer.pdb
Canal de YouTube
“The Joe” también está utilizando un canal falso de YouTube donde sube videos de ingeniería social con enlaces para descargar programas maliciosos.
http://www.youtube.com/channel/UCCdoQBw-a6dM15ZyhrsqW_w
Este canal distribuye ficheros del programa malicioso bajo el nombre de “Lions of the revolution” u otros…
¿Qué ha estado haciendo “the Joe” en el último periodo?
“The Joe” se ha mantenido ocupado en el último periodo. A continuación mostramos algunas de las muestras más gráficas y atractivas obtenidas por los servicios de inteligencia de Kaspersky y por Kaspersky Security Network (KSN cloud), con detalles de sus funciones y sobre cómo “the Joe” es capaz de manipular la situación en Siria para que los usuarios procedan a abrir los ficheros incluso si sospechan que sean maliciosos. Los países más atacados son Siria, Turquía, Líbano y Arabia Saudita. Se estima que la cantidad de víctimas ronda las 2.000.
6 nuevas trampas:
- Déjanos reparar tu vulnerabilidad SSL.
- !Ahora déjanos limpiar tu Skype¡
- ¿Te actualizaste a la última versión de VPN?
- Veamos si tu número de teléfono se encuentra entre los monitoreados.
- Aplicación para el cifrado de cuentas de Facebook.
- ¿Cuál es tu producto de seguridad preferido?
1.- Déjanos reparar tu vulnerabilidad SSL.
MD5 Hash: dc6166005db7487c9a8b32d938fec846
Nombre del fichero: TheSSL.exe, SSL Cleaner.rar
Haciendo un seguimiento de las vulnerabilidades en el OPENSSL, y la cantidad de noticias que alcanzó, los ciberdelincuentes se aprovechan de la percepción que el usuario tenga de dichas noticias y de su falta de conocimientos para reparar las vulnerabilidades.
Video demostrativo de la vulnerabilidad Heartbleed y un enlace para descargar la “reparación” infectada.
2.- ¡Ahora déjanos limpiar tu Skype!
MD5 Hash: d6ab8ca6406fefe29e91c0604c812ff9
Nombre del fichero: Skype.exe
Otro truco de ingeniería social usado para inducir a los usuarios a que descarguen y ejecuten un fichero malicioso es el limpiador de Skype para “proteger y cifrar tus comunicaciones por Skype”.
3.- ¿Te actualizaste a la última versión de VPN?
MD5 Hash: 2e07e8622b4e997f6543fc0497452dad
Nombre del fichero: VPN.exe
Psiphon, una aplicación legítima que se usa en todo el mundo para proteger el anonimato y muy popular entre los usuarios en Siria para proteger su tráfico contra husmeos o intercepciones, aquí se encuentra vinculada con el programa malicioso y se la entrega a los usuarios como una versión actualizada.
4.- Veamos si tu número de teléfono se encuentra entre los monitoreados.
MD5 Hash: ad9a18e1db0b43cb38da786eb3bf7c00
Nombre del fichero: Syriatel.exe
Otro de los ficheros más populares del programa malicioso se usa para imitar una herramienta utilizada para verificar los números de teléfonos móviles bajo vigilancia y clasificarlos por localización, y se lo entrega a las víctimas como un “programa filtrado”.
5.- Aplicación para el cifrado de cuentas de Facebook.
MD5 Hash: efdaa73e0ac1b045d5f2214cadd77f09
Nombre del fichero: Rooms.exe
6.- ¿Cuál es tu producto de seguridad preferido?
Uno de los ficheros más recientes utilizados para infectar a los usuarios es bastante diferente: una unión de una herramienta de Kaspersky Lab con programas maliciosos. TDSSKiller es una poderosa herramienta gratuita desarrollada por Kaspersky Lab, capaz de detectar y eliminar una lista específica de familias de programas maliciosos tipo rootkit.
Combinada con malware, “the Joe” se aprovecha del nombre de Kaspersky para distribuir su programa malicioso con la intención de engañar a sus víctimas para que confíen y abran los ficheros que les envía.
¿Quién es “the Joe”?
Analizamos cientos de muestras relacionadas con el malware sirio; en una de ellas, extractos de múltiples documentos,š pudimos encontrar un desliz en los metadatos que nos condujo a información interesante.
Este desliz en los metadatos cometido por quien se hace llamar “Joe” reveló su dirección de correo electrónico personal, que tras una investigación nos llevó a sus otras direcciones, su identidad completa, sus páginas sociales…
En Facebook:
En Linkedin:
Indicadores de infección:
| MD5 Hash | Nombre(s) utilizados para el fichero del malware | Detectado en |
| f62cfd2484ff8c5b1a4751366e914613 | Adobe.exeReader.exeCard.exe | Sep 2013 |
| 012f25d09fd53aeeddc11c23902770a7 89e6ae33b170ee712b47449bbbd84784 |
قائمة الأرهاب .zip (“lista de terrorismo”) extractos de ficheros a .JPG y ficheros maliciosos .SCR | Ene 2014 |
| dc6166005db7487c9a8b32d938fec84 662023eb959a79bbdecd5aa167b51541f |
TheSSL.exe (para “eliminar debilidades SSL”) SSL Cleaner.rar |
Abr 2014 |
| cc694b1f8f0cd901f65856e419233044 | Desktop.exeEmpty.exeHost.exe | Mar 2014 |
| d6ab8ca6406fefe29e91c0604c812ff9 | Skype.exeSkypecleaner.exe | July 2014 |
| 2e07e8622b4e997f6543fc0497452dad | VPN.exe | Sept 2014 |
| efdaa73e0ac1b045d5f2214cadd77f09 | Rooms.exe (para “cifrar tu Facebook”) | Nov 2014 |
| 39d0d7e6880652e58b2d4d6e50ca084c | Photo.exe | Nov 2014 |
| abf3cfecd2e194961fc97dac34f57b24 | Ram.exeSetup.exe | Nov 2014 |
| a238f8ab946516b6153816c5fb4307be | tdskiler.exe (para “eliminar malware”) | Ene 2015 |
| 6379afd35285e16df4cb81803fde382c | Locker.exe (para “cifrar/descifrar” ficheros) | Ene 2015 |
Kaspersky Lab detecta todos los ficheros maliciosos utilizados en los ataques.
Al momento deš redactar este artículo, los ciberdelincuentes seguían utilizando activamente todos los ficheros.
Conclusiones
El malware sirio tiene una fuerte dependencia de la ingeniería social y del desarrollo activo de variantes maliciosas. Sin embargo, la mayoría de ellas revelan rápidamente su verdadera naturaleza cuando se las analiza cuidadosamente. Y esta es una de las razones principales por la que urgimos a los usuarios en Siria a que sean extremadamente cautos con lo que descargan y a que implementen una solución de seguridad por niveles. Prevemos que estos ataques evolucionarán en calidad y en cantidad.
Para más información, por favor escríbenos a: intelligence@kaspersky.com
Autores
De los mismos autores
En la misma categoría
El malware sirio. Parte 2: ¿Quién es “the Joe”?