Investigación

Golpe de hackers latinoamericanos (2a parte: Correo por fuerza bruta y spam)

Para complementar los descubrimientos mencionados en la primera parte de este análisis, el mismo servidor pirata contiene otras cosas interesantes, pero antes de entrar en detalle, quiero referirme a la base de datos de direcciones de correo que se usó para infectar a los destinatarios de los envíos spam con el programa malicioso Betabot.

Base de datos de direcciones de correo

¿Cuán grande es la lista de direcciones de correo de los envíos de spam? Esta lista contiene 8.689.196 direcciones. Es una base de datos tan completa que, incluso si sólo un 10 por ciento de los equipos de los usuarios de esta lista llegara a infectarse, eso significaría ¡más de 800.000 víctimas infectadas!

La clasificación geográfica de las direcciones de correo se publicó en la primera parte de este análisis. Si prestamos atención sólo a los dominios más interesantes pertenecientes a gobiernos, instituciones educativas y otras organizaciones utilizadas para enviar spam y para infectar, todavía siguen siendo muy numerosos:
Dominio cantidad de direcciones de correo

Dominio== =número de emails
org=== === === 13772
edu=== === === 2015
gov=== === === 1575
gob=== === === 312

Técnicas para los envíos spam

El envío de la mayor parte del spam de hoy en día está a cargo de redes zombi; sin embargo, este no es el recurso que utilizan los dueños de este servidor pirata. En este caso, los mensajes spam se envían mediante una aplicación conocida como “spam.exe”

[Path] / filename   MD5 sum
spam.exe   dd77b464356a7c9de41377004dd1fa35 

que cuando se ejecuta pide la contraseña (abajo) y un parámetro especial, que es un archivo de texto simple.

208216035

208216036

El archivo original de parámetro es el siguiente:

208216037

Este archivo acepta parámetros como el número de hilos, de, asunto, cuerpo del mensaje, archivo para adjuntar, responder y servidor smtp a utilizar. Dentro del código compilado se encuentra un hilo que apunta a las fuentes del proyecto:

j:hackdevspamspamobjReleasespam.pdb

Cuando se descubrió este servidor, los ciberpiratas ya tenían listo el siguiente mensaje para enviar a sus víctimas:

208216038

La URL maliciosa original incrustada en el mensaje es la siguiente:

208216039

Como ya he mencionado, el último parámetro de la aplicación maliciosa “spam.exe” es el servidor smtp. Los ciberpiratas han recopilado 2.093 servidores de correo en todo el mundo que no estaban bien protegidos. Entre ellos se encuentran servidores en China, EE.UU., Japón, Indonesia, Rusia, Italia, Rumania, Holanda, Alemania, Bielorrusia, Kazajistán, Vietnam, Hong Kong, Irlanda, Brasil, Grecia, Chile, República Checa, Bélgica, Filipinas, Dinamarca, Suecia, Ucrania, Hungría, Canadá, Malasia, Polonia, Perú, Taiwán, Francia, Corea, España y muchos otros.

208216040

¿Cómo pudieron los ciberpiratas capturar tantos servidores mal configurados en todo el mundo?

KISS

Este es el nombre del módulo utilizado para atacar los servidores smtp que tengan cuentas por defecto con las mismas contraseñas preestablecidas. Es decir, es una aplicación de fuerza bruta para verificar conexiones smtp.

[Path] / filename   MD5 sum
kiss.exe   3a5d79a709781806f143d1880d657ba2 

Esta es una aplicación incorporada en el mismo proyecto; el hilo del código lo confirma:

J:hackdevbrutobjx86Releasekiss.pdb

Cuando se ejecuta, pide la contraseña, que es la misma que para la aplicación “spam.exe”. Acepta cuatro parámetros: hilos, ips, logins/contraseña e email.

208216041

Cuando descubrí estos recursos, los ciberdelincuentes tenían en el archivo del parámetro IPS ¡1.519.403 direcciones IP esperando que se les aplique la fuerza bruta!

208216042

La lista de logins/contraseñas tenía las siguientes combinaciones:

208216043

Algo interesante es que los ciberpiratas no querían aplicar la fuerza bruta a todos o a cualquier dominio, de manera que crearon una lista de excepciones que le permite a “kiss.exe” omitir los siguientes dominios:

208216044

Domains excluded from brute-forcing

Dominios excluidos de la aplicación de fuerza bruta
Al parecer, no querían llamar la atención, especialmente de los gobiernos.

¿Descubrí otras cosas interesantes en este servidor? Sí, y las incluiré en la siguiente y última parte de la serie “Golpe de hackers latinoamericanos”.
Kaspersky Anti-Virus detecta “spam.exe” y “kiss.exe” como Email-Flooder.MSIL.Agent.r
y HackTool.MSIL.BruteForce.ba, respectivamente.

Conclusiones

Los ciberpiratas de diferentes regiones pueden operar de formas similares, pero con ciertas diferencias. Este caso es un buen ejemplo de ello, ya que muestra cómo los ciberpiratas latinoamericanos, sin acceso a redes zombi, intentaron encontrar una gran cantidad de servidores smtp mal protegidos en todo el mundo para enviar spam. Esta técnica no disminuyó su alcance potencial en términos de la cantidad de víctimas ni su localización geográfica. A veces, las “soluciones” sencillas resultan eficaces y nosotros, como investigadores, no tenemos que preocuparnos sólo por las redes zombi.

Como mencioné en la primera parte de esta entrega, existen evidencias de que los ciberpiratas sudamericanos están en contacto con sus pares de Europa oriental, y lo peor es que están utilizando técnicas combinadas: algunos códigos de sus colegas europeos con los que ellos mismos desarrollan.

Puedes seguirme en Twitter @dimitribest

Golpe de hackers latinoamericanos (2a parte: Correo por fuerza bruta y spam)

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada