Autores
Evolución de las amenazas informáticas en el primer trimestre de 2024
Evolución de las amenazas informáticas en el primer trimestre de 2024. Estadísticas de amenazas móviles
Evolución de las amenazas informáticas en el primer trimestre de 2024. Estadísticas de computadoras personales
Ataques selectivos
Operation Triangulation: El misterio final
El pasado mes de junio publicamos una serie de informes sobre Operation Triangulation, una plataforma de malware para iOS, desconocida hasta entonces, que se distribuía a través de exploits de iMessage sin necesidad de clics y que permitía al atacante explorar y modificar archivos del dispositivo, obtener contraseñas y credenciales almacenadas en el llavero, recuperar información de geolocalización y ejecutar módulos adicionales que ampliaban su control sobre los dispositivos afectados.
A finales de diciembre, en una presentación en el 37th Chaos Communication Congress (37C3), expertos de nuestro Equipo Global de Investigación y Análisis (Global Research and Analysis Team, GReAT) describieron la cadena de ataque en detalle, incluyendo, por primera vez, cómo los atacantes explotaron la vulnerabilidad de hardware CVE-2023-38606.
Los últimos modelos de iPhone incorporan una protección adicional basada en hardware que impide a los atacantes obtener el control total del dispositivo, incluso si pueden leer y escribir en la memoria del kernel, como se logró en el ataque Operation Triangulation mediante la explotación de la vulnerabilidad CVE-2023-32434. Los atacantes lograron burlar esta protección de hardware utilizando otra característica del hardware SoC (System on a Chip) diseñado por Apple: escribieron los datos, la dirección de destino y el hash de datos en registros de hardware desconocidos del chip no utilizados por el firmware.
Suponemos que esta función de hardware desconocida estaba destinada a fines de depuración o prueba, o que se la incluyó por error. Como el firmware no la utiliza, no tenemos ni idea de cómo aprendieron a usarlo los atacantes.
Un método sencillo para detectar posibles programas maliciosos para iOS
En los últimos años, nuestros investigadores han analizado infecciones del malware Pegasus en varios dispositivos iOS. Los métodos habituales para analizar una infección móvil en iOS consisten en examinar una copia de seguridad completa cifrada de iOS o analizar el tráfico de red del dispositivo afectado. Sin embargo, ambos métodos requieren mucho tiempo y un alto nivel de conocimientos. Esto nos hizo buscar un método más rápido y sencillo de identificar posibles infecciones para iPhone.
En el transcurso de nuestro análisis, descubrimos que las infecciones dejaban rastros en un registro inesperado del sistema llamado shutdown.log. Se trata de un archivo de registro del sistema basado en texto disponible en cualquier dispositivo móvil con iOS. Cada evento de reinicio se registra en este archivo junto con múltiples características del entorno. Los archivos de registro pueden tener entradas que se remontan a varios años, que proporcionan una gran cantidad de información. El archivo shutdown.log se almacena en un archivo sysdiagnose(sysdiag), que puede considerarse como una colección de registros y bases de datos del sistema que pueden generarse con fines de depuración y solución de problemas. El método para generar un sysdiag puede variar según las distintas versiones de iOS. No obstante, este archivo suele encontrarse en los ajustes generales del sistema operativo, para ser más precisos en “Privacidad y análisis” (sí, aquí también el nombre exacto de la ubicación puede variar según la versión de iOS). La creación del archivo suele llevar apenas unos minutos. El resultado es un archivo .TAR.GZ de entre 200 y 400 MB, que puede transferirse al equipo donde se realizará el análisis. Una vez descomprimido, el archivo shutdown. log se ubica en el directorio \system_logs .logarchive\Extra.
Este análisis de volcado de sysdiag es un método de mínima intrusividad y que consume pocos recursos, lo hace ideal para identificar posibles infecciones del iPhone utilizando artefactos del sistema. Puede servir para complementar la identificación de infecciones desde un punto de vista diferente.
Consulte el análisis completo aquí.
El implante DinodasRAT Linux apunta a a entidades de todo el mundo
A principios de octubre de 2023, tras la publicación de un artículo de ESET sobre la campaña Operation Jacana dirigida a usuarios de Windows, descubrimos una nueva versión para Linux de DinodasRAT (también conocido como XDealer). El código y los IoC (Indicators of Compromise, indicadores de compromiso) de red coinciden con las muestras para Windows descritas por ESET, que se utilizaron en ataques contra entidades gubernamentales en Guyana. Los artefactos de muestra sugieren que esta versión (V10 según el sistema de versiones de los atacantes) podría haber empezado a funcionar en 2022, aunque la primera variante conocida para Linux (V7), que aún no se ha descrito públicamente, data de 2021.
DinodasRAT es un backdoor multiplataforma escrito en C++ que ofrece diversas capacidades. Este RAT permite a un atacante vigilar y recopilar datos confidenciales del equipo objetivo. El backdoor es totalmente funcional y otorga al operador el control total sobre una máquina infectada, permitiendo la exfiltración de datos y el espionaje.
El implante DinodasRAT para Linux apunta sobre todo a las distribuciones basadas en Red Hat y Ubuntu Linux. Desde octubre de 2023, nuestros datos de telemetría y seguimiento continuo de esta amenaza nos muestran que los países y territorios más afectados son China, Taiwán, Turquía y Uzbekistán.
Otro malware
Un nuevo backdoor para macOS está robando criptocarteras
El pasado mes de diciembre, descubrimos algunas aplicaciones crackeadas e infectadas con un troyano proxy que circulaban por sitios web piratas. Hace poco encontramos una nueva familia de malware para macOS que se aprovechaba del software crackeado para robar criptocarteras.
Las aplicaciones crackeadas son una de las formas más sencillas que tienen los atacantes de introducir malware en los equipos de los usuarios: para elevar sus privilegios, sólo tienen que pedir la contraseña, a fin de no levantar sospechas durante la instalación del software.
Dicho esto, algunas de las cosas que se les ocurrieron a los autores del malware, como colocar su script Python dentro de un registro de dominio TXT en el servidor DNS, fueron ingeniosas. El script después se añadía a los agentes de inicio para descargar y ejecutar la carga útil de la siguiente fase en un bucle infinito, de modo que los operadores del malware pudieran enviar actualizaciones a la máquina infectada de ser necesario.
La carga útil final era un backdoor capaz de ejecutar scripts con privilegios de administrador y sustituir las aplicaciones de criptocarteras Exodus y Bitcoin por versiones infectadas que robaban frases secretas de recuperación durante el procedimiento de desbloqueo de la cartera.
Lea nuestro análisis aquí.
Coyote: un troyano bancario multietapa
Los desarrolladores de troyanos bancarios están en constante búsqueda de nuevas formas de distribuir sus implantes. En una investigación reciente, encontramos un nuevo malware, llamado Coyote, dirigido a clientes de más de 60 instituciones bancarias, en particular de Brasil. Lo que más nos llamó la atención fue la sofisticada cadena de infección, que hace uso de varias tecnologías avanzadas, y lo diferencia de otros troyanos bancarios.
En lugar de Delphi o un instalador MSI, para distribuirse Coyote utiliza Squirrel, una herramienta relativamente nueva para instalar y actualizar aplicaciones de escritorio de Windows. De este modo, los creadores del malware esperan camuflar el troyano como un empaquetador de actualizaciones.
Cuando se ejecuta Squirrel, acaba ejecutando una aplicación NodeJS compilada con Electron. Esta aplicación ejecuta código JavaScript ofuscado para copiar todos los ejecutables encontrados en una carpeta local llamada temp a la carpeta de capturas del usuario dentro de la carpeta Videos y, a continuación, ejecuta una aplicación firmada desde ese directorio.
Un elemento intrigante de la cadena de infección es que usa Nim, un lenguaje de programación relativamente nuevo, para cargar la etapa final. El objetivo del cargador es desempaquetar un ejecutable .NET y ejecutarlo en memoria utilizando el CLR. Esto implica que el cargador intenta cargar el ejecutable y ejecutarlo dentro de su proceso, lo que recuerda al funcionamiento de Donut.
Tras todos estos pasos, se ejecuta el troyano Coyote.
Cadena de infección de Coyote
El objetivo del troyano Coyote es coherente con el comportamiento típico de los troyanos bancarios. Supervisa todas las aplicaciones abiertas en el sistema infectado y espera a que el usuario acceda a una aplicación bancaria o sitio web específico.
Túnel de red con … QEMU
Los ciberatacantes suelen utilizar herramientas legítimas con el propósito de eludir los sistemas de detección y a reducir al mínimo los costos de desarrollo. Escanear redes, capturar un volcado de memoria de procesos, exfiltrar datos, ejecutar archivos de forma remota e incluso cifrar unidades, todo esto se puede hacer utilizando software de confianza. Para afianzarse dentro de una infraestructura comprometida y desarrollar el ataque, los ciberpiratas pueden utilizar malware ya instalado o conectarse a la red a través de los servidores RDP o VPN corporativos de la empresa, para lo cual deben tener acceso a cuentas con los privilegios adecuados.
Otra forma de conectarse a la red interna de una organización atacada es utilizar utilidades para configurar túneles de red o reenviar puertos de red entre los sistemas corporativos y los servidores de la víctima, lo que permite a los ciberatacantes omitir el NAT y cortafuegos para acceder a los sistemas internos. No faltan utilidades para crear un túnel de red entre dos sistemas. Algunos se conectan directamente, mientras que otros utilizan un proxy, que oculta la dirección IP del servidor de los atacantes.
Mientras investigábamos un incidente en una gran empresa, detectamos una actividad maliciosa poco común dentro de uno de los sistemas. Realizamos un análisis de los artefactos y descubrimos que los ciberatacantes habían desplegado y lanzado (a) la utilidad de escaneo de red Angry IP Scanner, (b) el extractor de contraseñas, hash y tickets Kerberos y herramienta de ataque contra Active Directory Mimikatz y (c) el emulador de hardware QEMU. Mientras que las dos primeras se explicaban por sí solas, QEMU planteaba algunas preguntas: ¿para qué les serviría un virtualizador a estos actores de amenazas?
Descubrimos que QEMU admite conexiones entre máquinas virtuales: la opción -netdev crea dispositivos de red (backend) que luego pueden conectarse a máquinas virtuales. No teníamos forma de determinar a ciencia cierta cómo los ciberpiratas ejecutaban QEMU en su propio servidor, así que decidimos montar una estructura experimental formada por tres sistemas, como se indica a continuación:
- “InternalHost” estaba ubicado dentro de la red, sin acceso a Internet y ejecutaba un servidor RDP en el puerto 3389. Simulaba el sistema aislado sin acceso a Internet.
- “PivotHost” se encontraba dentro de la red, pero tenía acceso a Internet. Simulaba el sistema en el que los atacantes irrumpieron y que usaron para llegar a InternalHost.
- “AttackerServer” estaba alojado en la nube y simulaba ser el servidor del ciberatacante.
Nuestro objetivo era llegar a InternalHost desde AttackerServer. El siguiente diagrama muestra el trazado general del túnel.
Diagrama del túnel de red
Pudimos comprobar que esta técnica de acceso a la red era muy eficaz. Los detalles de nuestra investigación están disponibles aquí.
Aunque el uso de herramientas legítimas para lanzar diversos ataques no es nada nuevo para los profesionales de respuesta a incidentes, los ciberdelincuentes encuentran formas muy originales de utilizar programas que no son los más obvios, como ocurrió con QEMU. Esto destaca aún más la necesidad de una protección multinivel, que abarque tanto una protección fiable de los puntos finales como soluciones especializadas para detectar y proteger contra ataques complejos y selectivos, incluidos los de origen humano.
Autores
Evolución de las amenazas informáticas en el primer trimestre de 2024