El ransomware Cerber toma impulso con botnets Dridex

Los expertos en seguridad de FireEye detectaron a principios de mayo un aumento masivo del spam dedicado a propagar el programa chantajista Cerber. Los investigadores han establecido una conexión entre los brotes de Cerber y el hecho de que los atacantes estén sacando ventaja de la infraestructura de spam responsable de haber magnificado el potencial de destrucción del troyano financiero Dridex.

El cifrador-bloqueador Cerber, famoso por leerles a las víctimas sus demandas de viva voz (usando un sintetizador de voz), se descubrió este febrero. En algunos casos recurría un método clásico de distribución, utilizando los paquetes Magnitud y Nuclear para explotar una vulnerabilidad de día cero en Adobe Flash Player (CVE-2016-1019). Pero, según informes recientes de FireEye que datan del 4 de mayo, Cerber también se propaga mediante spam enviado por las redes zombi Dridex.

“Al asociarse con el mismo distribuidor de spam que tiene la capacidad comprobada de distribuir Dridex en grandes escalas, Cerber se ha convertido en una amenaza peligrosa similar a Dridex y Locky”, escribieron el martes los analistas de seguridad de FireEye.

Dridex es un troyano financiero que surgió como una amenaza significativa para los consumidores y negocios al tener como meta conseguir sus datos de cuentas bancarias. Sus métodos principales de distribución son las redes zombi capaces de enviar millones de mensajes de spam diarios.

El ransomware Cerber, según FireEye, sigue el mismo patrón que Dridex. Las víctimas reciben correos electrónicos con un archivo adjunto camuflado como una factura. Cuando el usuario abre el documento, se le pide que active las macros. Si lo hace, se descarga en el equipo un script VBS con código ofuscado, cuya principal función es descargar el malware final. Este método de infección ayuda a los delincuentes a evadir los portales de correo electrónico que pueden bloquear los scripts enviados en forma de adjuntos.

El análisis mostró que una de las técnicas de autodefensa usadas por el script VBS malicioso es el uso de código basura, que dificulta la ingeniería reversa y la ejecución retardada.

Antes de descargar Cerber, el script verifica si la víctima tiene conexión a Internet. Si la tiene, envía una solicitud por HTTP para obtener un archivo JPEG desde su sitio. “En los encabezados de la solicitud HTTP, establece el valor de rango “bytes=11193-“. Esto indica al servidor web que le entregue sólo el contenido que comience en la dirección de memoria 11,193 del archivo JPG”, explican los expertos. Esta técnica de múltiples etapas para lanzar el ataque de Cerber se parece a las solicitudes de rango HTTP de los troyanos Dridex y Ursnif, indica FireEye.

Otras similitudes entre Cerber y Dridex es que las operaciones de spam suelen estar en inglés y se camuflan como correspondencia legítima sobre facturas no pagadas, imposibilidad de entregar pedidos, etc.

El ejemplar analizado en FireEye tiene especial interés por los documentos de Word, los archivos de Microsoft Outlook y el sitio de juegos Steam. Para obtener acceso a los archivos abiertos en el equipo, el malware finalizaba todos los procesos relacionados con sus correspondientes programas. Merece la pena destacar que en el archivo de configuración de Cerber también estaba prevista la instalación de un módulo para enviar spam, pero todo parece indicar que esta función no ha salido de la etapa de pruebas.