Informes sobre APT

El malware sirio. Parte 2: ¿Quién es “the Joe”?

Introducción

Kaspersky Lab quiere alertar a los usuarios del Medio Oriente sobre nuevos ataques de programas maliciosos a través de foros de redes sociales y noticias sirios. Los autores de programas maliciosos están recurriendo a numerosas técnicas para enviar sus ficheros y persuadir a sus víctimas a que los ejecuten, creando un vector de infección efectivo. Basándose principalmente en la ingeniería social, los atacantes explotan la confianza de sus víctimas en los foros de las redes sociales, su curiosidad por las noticias relacionadas con el conflicto en Siria, su posición respecto alš mismo, y su falta de conciencia sobre la ciberseguridad. Una vez que los ciberpiratas infectan el equipo atacado, tienen acceso y control totales de los dispositivos de su víctima.

En el primer informe sobre el malware sirio, Kaspersky Lab analizó muchos de los ataques lanzados en Siria para espiar a los usuarios de ese país, así como los ataques de diferentes equipos y fuentes.

Este artículo se concentrará en uno de los dominios, aparentemente el más activo en el último periodo: thejoe.publicvm.com.

Los ficheros de este programa malicioso se encontraban en sitios de activistas y de foros en redes sociales, y organizaciones regionales como CyberArabs informaronš sobre la existencia de otros.

Informes que mencionan a “the Joe”

https://citizenlab.org/2013/06/a-call-to-harm/
https://www.eff.org/files/2013/12/28/quantum_of_surveillance4d.pdf

Todos los ficheros se ocultan bajo el manto de una variante con funciones completas de RAT (Remote Administration Trojan) (Bitfrose/NjRAT/Shadowtech/Darkcomet…), capaz de lograr el control total de los equipos y dispositivos de las víctimas, monitoreando todos sus movimientos y accediendo a todos sus ficheros. El dominio thejoe.publicvm.com está relacionado con muchas muestras, por lo que nos concentraremos en las más importantes y atractivas, que posiblemente capturaron la mayor cantidad de víctimas específicas, estimadas en miles.

Existen muchos factores y entidades en juego en este asunto, por lo que nos concentraremos en los programas maliciosos y hechos que se encontraron durante el análisis, y presentaremos sólo la información más relevante con el objetivo de establecer un contexto claro para esta investigación.

¿Qué información teníamos sobre “the Joe”?
¿Qué ha estado haciendo “the Joe” en el último periodo?
¿Quién es “the Joe”?

¿Qué información teníamos sobre “the Joe”?

“The Joe” es uno de los ciberdelincuentes más activos en Siria y el Medio Oriente, que ataca a todo tipo de usuarios. A continuación se encuentra la información recopilada sobre “the Joe” y sus actividades.

Información del dominio “thejoe.publicvm.com”

“The Joe” usa un dominio dinámico para cambiar su dirección IP y mantener el anonimato:

El dominio thejoe.publicvm.com ha estado utilizando las siguientes direcciones IP localizadas en Siria y Rusia:

  • 31.9.48.146
  • 31.9.48.119
  • 31.9.48.146
  • 31.9.48.80
  • 31.9.48.78
  • 31.9.48.119
  • 31.8.48.7

Estos son los puertos TCP utilizados en los ataques: 1234, 1177, 5522.

Información del malware

A partir de las copias del malware conseguidas, pudimos encontrar cadenas en el código en el dispositivo Windows que usa “the Joe”.

Estas son las rutas a las carpetas recuperadas de los ficheros del programa malicioso:

  • C:UsersjoeDesktop2014WindowsApplication1WindowsApplication1objDebugWindowsApplication1.pdb
  • C:UsersjoeDesktopDesktopSyriatelSyriatelobjDebugSyriatel.pdb
  • C:UsersjoeDesktopNJServerNJServerobjDebugNJServer.pdb

Canal de YouTube

“The Joe” también está utilizando un canal falso de YouTube donde sube videos de ingeniería social con enlaces para descargar programas maliciosos.

http://www.youtube.com/channel/UCCdoQBw-a6dM15ZyhrsqW_w

Este canal distribuye ficheros del programa malicioso bajo el nombre de “Lions of the revolution” u otros…

¿Qué ha estado haciendo “the Joe” en el último periodo?

“The Joe” se ha mantenido ocupado en el último periodo. A continuación mostramos algunas de las muestras más gráficas y atractivas obtenidas por los servicios de inteligencia de Kaspersky y por Kaspersky Security Network (KSN cloud), con detalles de sus funciones y sobre cómo “the Joe” es capaz de manipular la situación en Siria para que los usuarios procedan a abrir los ficheros incluso si sospechan que sean maliciosos. Los países más atacados son Siria, Turquía, Líbano y Arabia Saudita. Se estima que la cantidad de víctimas ronda las 2.000.

6 nuevas trampas:

  1. Déjanos reparar tu vulnerabilidad SSL.
  2. !Ahora déjanos limpiar tu Skype¡
  3. ¿Te actualizaste a la última versión de VPN?
  4. Veamos si tu número de teléfono se encuentra entre los monitoreados.
  5. Aplicación para el cifrado de cuentas de Facebook.
  6. ¿Cuál es tu producto de seguridad preferido?

1.- Déjanos reparar tu vulnerabilidad SSL.

MD5 Hash: dc6166005db7487c9a8b32d938fec846
Nombre del fichero: TheSSL.exe, SSL Cleaner.rar

Haciendo un seguimiento de las vulnerabilidades en el OPENSSL, y la cantidad de noticias que alcanzó, los ciberdelincuentes se aprovechan de la percepción que el usuario tenga de dichas noticias y de su falta de conocimientos para reparar las vulnerabilidades.

Video demostrativo de la vulnerabilidad Heartbleed y un enlace para descargar la “reparación” infectada.

2.- ¡Ahora déjanos limpiar tu Skype!

MD5 Hash: d6ab8ca6406fefe29e91c0604c812ff9
Nombre del fichero: Skype.exe

Otro truco de ingeniería social usado para inducir a los usuarios a que descarguen y ejecuten un fichero malicioso es el limpiador de Skype para “proteger y cifrar tus comunicaciones por Skype”.

3.- ¿Te actualizaste a la última versión de VPN?

MD5 Hash: 2e07e8622b4e997f6543fc0497452dad
Nombre del fichero: VPN.exe

Psiphon, una aplicación legítima que se usa en todo el mundo para proteger el anonimato y muy popular entre los usuarios en Siria para proteger su tráfico contra husmeos o intercepciones, aquí se encuentra vinculada con el programa malicioso y se la entrega a los usuarios como una versión actualizada.

4.- Veamos si tu número de teléfono se encuentra entre los monitoreados.

MD5 Hash: ad9a18e1db0b43cb38da786eb3bf7c00
Nombre del fichero: Syriatel.exe

Otro de los ficheros más populares del programa malicioso se usa para imitar una herramienta utilizada para verificar los números de teléfonos móviles bajo vigilancia y clasificarlos por localización, y se lo entrega a las víctimas como un “programa filtrado”.

5.- Aplicación para el cifrado de cuentas de Facebook.

MD5 Hash: efdaa73e0ac1b045d5f2214cadd77f09
Nombre del fichero: Rooms.exe

6.- ¿Cuál es tu producto de seguridad preferido?

Uno de los ficheros más recientes utilizados para infectar a los usuarios es bastante diferente: una unión de una herramienta de Kaspersky Lab con programas maliciosos. TDSSKiller es una poderosa herramienta gratuita desarrollada por Kaspersky Lab, capaz de detectar y eliminar una lista específica de familias de programas maliciosos tipo rootkit.

Combinada con malware, “the Joe” se aprovecha del nombre de Kaspersky para distribuir su programa malicioso con la intención de engañar a sus víctimas para que confíen y abran los ficheros que les envía.

kl-tool_sm

¿Quién es “the Joe”?

Analizamos cientos de muestras relacionadas con el malware sirio; en una de ellas, extractos de múltiples documentos,š pudimos encontrar un desliz en los metadatos que nos condujo a información interesante.

Este desliz en los metadatos cometido por quien se hace llamar “Joe” reveló su dirección de correo electrónico personal, que tras una investigación nos llevó a sus otras direcciones, su identidad completa, sus páginas sociales…

En Facebook:

En Linkedin:

Indicadores de infección:

MD5 Hash Nombre(s) utilizados para el fichero del malware Detectado en
f62cfd2484ff8c5b1a4751366e914613 Adobe.exeReader.exeCard.exe Sep 2013
012f25d09fd53aeeddc11c23902770a7
89e6ae33b170ee712b47449bbbd84784
قائمة الأرهاب .zip (“lista de terrorismo”) extractos de ficheros a .JPG y ficheros maliciosos .SCR Ene 2014
dc6166005db7487c9a8b32d938fec84
662023eb959a79bbdecd5aa167b51541f
TheSSL.exe (para “eliminar debilidades SSL”)
SSL Cleaner.rar
Abr 2014
cc694b1f8f0cd901f65856e419233044 Desktop.exeEmpty.exeHost.exe Mar 2014
d6ab8ca6406fefe29e91c0604c812ff9 Skype.exeSkypecleaner.exe July 2014
2e07e8622b4e997f6543fc0497452dad VPN.exe Sept 2014
efdaa73e0ac1b045d5f2214cadd77f09 Rooms.exe (para “cifrar tu Facebook”) Nov 2014
39d0d7e6880652e58b2d4d6e50ca084c Photo.exe Nov 2014
abf3cfecd2e194961fc97dac34f57b24 Ram.exeSetup.exe Nov 2014
a238f8ab946516b6153816c5fb4307be tdskiler.exe (para “eliminar malware”) Ene 2015
6379afd35285e16df4cb81803fde382c Locker.exe (para “cifrar/descifrar” ficheros) Ene 2015

Kaspersky Lab detecta todos los ficheros maliciosos utilizados en los ataques.
Al momento deš redactar este artículo, los ciberdelincuentes seguían utilizando activamente todos los ficheros.

Conclusiones

El malware sirio tiene una fuerte dependencia de la ingeniería social y del desarrollo activo de variantes maliciosas. Sin embargo, la mayoría de ellas revelan rápidamente su verdadera naturaleza cuando se las analiza cuidadosamente. Y esta es una de las razones principales por la que urgimos a los usuarios en Siria a que sean extremadamente cautos con lo que descargan y a que implementen una solución de seguridad por niveles. Prevemos que estos ataques evolucionarán en calidad y en cantidad.

Para más información, por favor escríbenos a: intelligence@kaspersky.com

El malware sirio. Parte 2: ¿Quién es “the Joe”?

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada