News

Gumblar: ¡Sayonara, Japón!

El programa malicioso Gumblar apareció a principios de 2009. Desde entonces ha atraído mucha atención de servidores locales en muchos países porque roba las credenciales FTP e inyecta códigos maliciosos en el contenido de un sitio legítimo, además de agregar puertas traseras a servidores comprometidos.

Ya hemos descrito la arquitectura general del sistema Gumblar. Lo único que ha cambiado desde entonces es el número de servidores comprometidos y el aumento de servidores en la cadena del proceso de infección. El proceso de infección ahora empieza en un sitio web legítimo que tiene la etiqueta <script> inyectada (esta página se llama redirector html) y dirige a un servidor que tiene un php (llamado redirector php) que produce javascript que vuelve a dirigir al navegador a otro destino. Deben haber entre una y cuatro redirecciones como esta y al final el buscador obtiene el contenido del servidor que es el infector real. El último servidor de la cadena tiene una gran cantidad de exploits que se emplean para atacar a los usuarios de Internet. Los últimos datos muestran la cantidad de URLs de diferentes tipos que hay en el proceso:

Los números de arriba muestran sólo una pequeña parte de la realidad que percibimos, lo que significa que los verdaderos números pueden ser mucho mayores. Por el momento nadie tiene información sobre cuántos ordenadores comprometidos componen la red Gumblar, pero creemos que es más que sólo el número de servidores comprometidos, porque esta cantidad representa sólo la cantidad de usuarios infectados que tienen sus propios sitios web y utilizan clientes FTP en el sistema infectado.

Contamos el número total de puertas traseras de Gumblar y por ahora son alrededor de 4.460.

Lo peligroso del sistema Gumblar no sólo es su gran cantidad de ordenadores zombi, es el poder que le dan los servidores comprometidos. Los analistas de seguridad y servidores tienen esto claro. Se ha intentado muchas veces determinar cuán grande es el sistema y quién lo dirige.

Japón fue uno de los países que destinó muchos recursos a estudiar el problema de Gumblar porque:

  • Los servidores japoneses están entre los cinco más infectados de todo el mundo;
  • No hay tanto malware local en Japón como en otros países, así que Gumblar, que cruza los límites internacionales sin problema alguno, llamó mucho la atención en esta región.

Hemos estado rastreando Gumblar desde el principio desde nuestro laboratorio de análisis japonés. De hecho, tanto para nosotros como para nuestros analistas en Japón, ya es una rutina descargar nuevos ejemplares, decodificar y descomprimir los shellcodes y extraer nuevos URLs.

Los desarrolladores de Gumblar se han dado cuenta de que los protocolos de Internet japoneses están en actividad constante para combatirlos. Los delincuentes reaccionaron ante el trabajo duro de los analistas antivirus y el constante ajetreo por recopilar más datos desde Japón. Hace poco tiempo encontramos una nueva variante del script infector creado por los desarrolladores de Gumblar que tiene como función determinar de dónde proviene el cliente remoto. El script utiliza una base de datos gratuita para relacionar el IP con el país del cliente. Y si el país es Japón, el script detiene el ataque. A continuación se ve parte del código que implementa esta acción:

En la parte subrayada del código, la función ‘gC’ se refiere al código del país del cliente actual. Si esto equivale a ‘111’, que se refiere a JP en la base de datos que clasifica las IP por país, el código asigna el valor 0 a la variable ‘$zz’, lo que detiene la actividad de la aplicación.

Se ha visto actividad similar en los servidores FTP que estamos monitorizando. Los servidores japoneses no se han reinfectado, mientras que otros países siguen bajo el ataque del programa (el intervalo entre las infecciones del servidor varía de 11 a 33 horas).

Por desgracia para los delincuentes, tenemos un equipo internacional de analistas, así que si intentan evadir las IP japonesas (lo que puede limitar la cantidad de información que recopilamos de Japón), aún tenemos recursos suficientes para continuar con el análisis desde otros países.

Gumblar: ¡Sayonara, Japón!

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada