Evolución de las amenazas informáticas, tercer trimestre de 2023

• Evolución de las amenazas informáticas, tercer trimestre de 2023
• Evolución de las amenazas informáticas en el tercer trimestre de 2023. Estadísticas de dispositivos no móviles
• Evolución de las amenazas informáticas en el tercer trimestre de 2023. Estadísticas de dispositivos móviles

Ataques selectivos

Un delincuente desconocido ataca un generador eléctrico con DroxiDat y Cobalt Strike

A principios de este año, informamos de una nueva variante de SystemBC, llamada DroxiDat que se había lanzado contra un objetivo de infraestructuras críticas en Sudáfrica. Esta puerta trasera con capacidad de proxy se desplegó junto con las balizas de Cobalt Strike.

El incidente se produjo en la segunda mitad de marzo, como parte de una pequeña oleada de ataques que usaron las balizas DroxiDat y Cobalt Strike en todo el mundo, y creemos que este incidente podría haber sido la fase inicial de un ataque de ransomware.

En una compañía eléctrica detectaron DroxiDat, una variante simplificada de SystemBC que sirve como perfilador de sistemas y un bot simple con funciones de SOCKS5. La infraestructura de C2 (de mando y control) del incidente incluía un dominio relacionado con la energía, “powersupportplan[.]com”, que se resolvía en un host IP que ya era considerado sospechoso. Este host se había utilizado varios años antes como parte de una actividad de APT, lo que nos hizo pensar que podría tratarse de un ataque selectivo relacionado con APT, aunque no pudimos establecer un vínculo con aquel APT, por lo que es probable que no esté relacionado.

El ransomware no fue enviado a la organización, y no tenemos suficiente información para atribuir con precisión la autoría de esta actividad. Sin embargo, por las mismas fechas en que ocurrió un incidente relacionado con la atención sanitaria en el que estaba implicado DroxiDat, se distribuyó el ransomware Nokoyawa; asimismo, hubo otros incidentes en los que Cobalt Strike estuvo implicado y que compartían el mismo ID de licencia, directorios de montaje y/o C2.

Análisis de muestras que explotan la vulnerabilidad CVE-2023-23397

El 14 de marzo, Microsoft informó de una vulnerabilidad EoP (Elevation of Privilege) crítica (CVE-2023-23397) en el cliente de Outlook. La vulnerabilidad se activa cuando un atacante envía un objeto de Outlook (tarea, mensaje o evento de calendario) dentro de una propiedad MAPI extendida que contiene una ruta UNC a un recurso SMB compartido en un servidor controlado por el actor de la amenaza, lo que provoca una fuga del hash Net-NTLMv2. Esta vulnerabilidad afecta a todas las versiones compatibles de Outlook y no requiere la interacción del usuario para activarla.

Incluso después de que Microsoft publicara un parche para dicha vulnerabilidad, parece que el parche implementado podía ser fácil de burlar en el lado del cliente, para lo que basta falsificar la ruta UNC con un formato particular. Esta vulnerabilidad de elusión de funciones (CVE-2023-29324) se parchó en mayo.

Las evidencias de que estas vulnerabilidades habían sido explotadas por un atacante desconocido se hicieron públicas gracias al envío de las respectivas muestras a VirusTotal. Más adelante se descubrió que algunas de éstas explotaban la vulnerabilidad CVE-2023-23397; otras se publicaron después de que la vulnerabilidad se hiciese pública. Las marcas de tiempo del encabezado indicaban que la vulnerabilidad había estado a disposición del atacante desde hacía al menos un año.

Entre los objetivos se encontraban organizaciones gubernamentales, militares, de infraestructuras críticas y de TI de Ucrania, Rumanía, Polonia, Jordania, Turquía, Italia y Eslovaquia.

Lea nuestro análisis de las muestras del ataque aquí: “Comprehensive analysis of initial attack samples exploiting CVE-2023-23397 vulnerability”

TTP habituales de los ataques a organizaciones industriales

En 2022 investigamos una serie de ataques contra organizaciones industriales de Europa del Este. En las campañas, los atacantes pretendían establecer un canal permanente para la exfiltración de datos, incluyendo los almacenados en sistemas aislados protegidos por barreras físicas.

En base a las similitudes encontradas entre éstas y las campañas ya investigadas (por ejemplo, ExCone, DexCone), entre ellas el uso de variantes de FourteenHi, TTP específicos y el alcance del ataque, creemos, con cierto grado de confianza, que las actividades son obra del actor de amenazas APT31 (alias Judgment Panda y Zirconium).

Para filtrar los datos y distribuir el malware de la siguiente etapa, los atacantes abusan de algunos servicios de almacenamiento de datos en la nube, como Dropbox o Yandex Disk, así como de un servicio utilizado para compartir archivos temporalmente. También utilizan un C2 desplegado en servidores privados virtuales (VPS) normales. Además, despliegan una pila de implantes que recopilan datos de redes aisladas protegidos por barreras físicas a través de unidades extraíbles infectadas.

Para la mayoría de los implantes, el actor de la amenaza utiliza implementaciones similares de DLL-hijacking (a menudo asociadas con el malware ShadowPad) y técnicas de inyección en memoria, junto con el uso de cifrado RC4 para ocultar la carga útil y evadir la detección. Las bibliotecas libssl.dllo libcurl.dll venían vinculadas estáticamente a los implantes con el fin de implementar comunicaciones C2 cifradas.

En total, identificamos más de 15 implantes, y sus variantes, plantados por los atacantes en diversas combinaciones. Toda la pila de implantes utilizados en los ataques puede dividirse en tres categorías, según sus funciones:

• implantes de primera fase para el acceso remoto persistente y la recopilación inicial de datos;
• implantes de segunda fase para la recogida de datos y archivos, incluidos los procedentes de sistemas aislados con barreras físicas;
• implantes de tercera fase y herramientas utilizadas para cargar datos en el C2.

Lea el informe completo aquí: “Common TTPs of attacks against industrial organizations”

Un doble maligno de Telegram se utiliza para atacar a usuarios en China

Descubrimos varias aplicaciones infectadas en Google Play, que se hacen pasar por versiones de Telegram en uigur, chino simplificado y chino tradicional. Las descripciones de las aplicaciones estaban escritas en los respectivos idiomas y contenían imágenes muy similares a las de la página oficial de Telegram en Google Play.

Para convencer a los usuarios de que descargara estos mods en lugar de la aplicación oficial, el desarrollador afirmó que funcionaban más rápido que otros clientes gracias a una red distribuida de centros de datos por todo el mundo.

Examinamos el código de las aplicaciones y descubrimos que sólo eran versiones un poco modificadas de la aplicación oficial de Telegram. Sin embargo, incluían un módulo adicional que realizaba una monitorización constante del mensajero y enviaba datos al servidor C2 del creador del spyware. Estos datos incluían todos los contactos, mensajes enviados y recibidos con archivos adjuntos, nombres de chats/canales, nombre y número de teléfono del propietario de la cuenta, es decir, toda la correspondencia de la víctima. Incluso si cambiaban de nombre o de número de teléfono, esta información también se enviaba a los atacantes.

Aunque nosotros recomendamos descargar aplicaciones sólo de las tiendas oficiales, ni siquiera esto garantiza la seguridad de una aplicación, así que es importante desconfiar de los mods de terceros, incluso de los distribuidos por Google Play. Informamos de esta amenaza a Google, que eliminó todas las aplicaciones de Google Play.

Otros programas maliciosos

Posible ataque a la cadena de suministro en máquinas Linux

En los últimos años, las máquinas Linux se han convertido en un objetivo creciente para todo tipo de actores de amenazas. Nuestra telemetría señala que 260 000 muestras únicas de Linux aparecieron en la primera mitad de este año. Por desgracia, las campañas dirigidas contra Linux pueden funcionar durante años sin que la comunidad de ciberseguridad se percate de ello. Nosotros descubrimos uno de estos ataques de larga duración cuando investigábamos un conjunto de dominios sospechosos.

Hemos identificado que el dominio en cuestión tiene un subdominio denominado deb.fdmpkg[.]org que afirma alojar un repositorio Debian de software llamado “Free Download Manager”. Además, descubrimos un paquete Debian de este software disponible para su descarga desde la URL https://deb.fdmpkg[.]org/freedownloadmanager.deb. Este paquete resultó contener un script postinst infectado que se ejecuta tras la instalación. Este script coloca dos archivos ELF en las rutas/var/tmp/crond y /var/tmp/bs y luego organiza la persistencia creando un archivo cron (lo guarda en el archivo/etc/cron.d/collect) que lanza el archivo /var/tmp/crond cada 10 minutos.

La versión de Free Download Manager instalada por el paquete infectado fue lanzada el 24 de enero de 2020. El script postinst contiene comentarios en ruso y ucraniano, e incluye información sobre las mejoras introducidas en el malware, así como declaraciones de activistas. Mencionan las fechas 20200126 (26 de enero de 2020) y 20200127 (27 de enero de 2020).

Una vez instalado el paquete malicioso, el ejecutable /var/tmp/crond se lanza en cada inicio a través de cron. Este ejecutable es una puerta trasera, y no importa ninguna función desde bibliotecas externas. Para acceder a la API de Linux, invoca syscalls con la ayuda de la biblioteca estáticamente vinculada dietlibc.

Al iniciarse, la puerta trasera envía una solicitud DNS de tipo A para al dominio <hex-encoded 20-byte string>.u.fdmpkg[.]org. En respuesta, el backdoor recibe dos direcciones IP que codifican la dirección y el puerto de un servidor C2 secundario. Después de analizar la respuesta a la solicitud DNS, el backdoor lanza una shell inversa, y utiliza el servidor C2 secundario para las comunicaciones. El protocolo de comunicación que usa es SSL o TCP. En el caso de SSL, el backdoor crond lanza el ejecutable /var/tmp/bs y le delega todas las comunicaciones posteriores. De lo contrario, el shell inverso se crea mediante la función crond.

Los atacantes utilizan el shell inverso para desplegar un Bash stealer que recopila datos como información del sistema, historial de navegación, contraseñas guardadas, archivos de monederos de criptomonedas y credenciales de servicios de nube (AWS, Google Cloud, Oracle Cloud Infrastructure, Azure). El stealer descarga un binario uploader del servidor C2, lo guarda en/var/tmp/atd y lo utiliza para enviar los resultados de la ejecución del stealer a la infraestructura de los atacantes. A continuación mostramostoda la cadena de infección:

El desvío hacia el dominio malicioso deb.fdmpkg[.]org no se produjo en todos los casos. Parece como si los desarrolladores del malware hubieran programado el desvío malicioso para que apareciera con cierto grado de probabilidad o basándose en la huella digital de la víctima potencial.

También comprobamos si había solapamientos de código con otras muestras de malware y resultó que el virus crond es una versión modificada de un backdoor llamado Bew, que llevamos detectando desde 2013.

La banda de ransomware Cuba

En septiembre analizamos de cerca la historia y las TTP (Tácticas, Técnicas y Procedimientos) de la banda de ransomware Cuba, un grupo que apareció por primera vez en nuestro radar a finales de 2020, cuando se llamaba “Tropical Scorpius”. El grupo ha cambiado de nombre varias veces desde su creación: otros de sus nombres son ColdDraw y Fidel. Este mes de febrero, descubrimos otro nombre para la banda: “V Is Vendetta”, que se desviaba del tema cubano favorito de los hackers y podría haber sido un apodo utilizado por un subgrupo o afiliado.

El grupo ha atacado a numerosas empresas de todo el mundo, y entre sus víctimas figuran minoristas, empresas de servicios financieros y logísticos, organismos públicos y fabricantes. La mayoría de ellas se encuentran en Estados Unidos, con algunas víctimas en Canadá, Europa, Asia y Australia.

Como la mayoría de los ciberextorsionadores, la banda cubana cifra los archivos de las víctimas y exige un rescate a cambio de una clave de descifrado. El grupo emplea tanto herramientas conocidas y “clásicas” de acceso a credenciales, por ejemplo Mimikatz, como aplicaciones de creación propia. Explota vulnerabilidades en el software utilizado por las empresas atacadas: en su mayoría problemas conocidos, como la combinación de ProxyShell y ProxyLogon para atacar servidores Exchange, así como brechas de seguridad en el servicio de copia de seguridad y recuperación de datos Veeam. También se sabe que para el acceso inicial utiliza conexiones de escritorio remoto (RDP) comprometidas.

El grupo había adoptado el modelo de doble extorsión: además de cifrar los datos, amenaza con publicar en Internet la información robada a menos que la víctima pague. Los datos se cifran con el algoritmo simétrico Xsalsa20 y la clave de cifrado con el algoritmo asimétrico RSA-2048. Es lo que se conoce como cifrado híbrido, un método de criptografía seguro que impide el descifrado sin la clave.

Los pagos entrantes y salientes en los monederos bitcoin cuyos identificadores facilitan los hackers en sus notas de rescate superan un total de 3600 BTC, más de 103 000 000 de dólares (convertidos a razón de 28 624 dólares por 1 BTC). La banda posee numerosos monederos, transfiere constantemente fondos entre ellos y utiliza mezcladores de bitcoins, servicios que envían bitcoins a través de una serie de transacciones anónimas para dificultar el rastreo del origen de los fondos.

Se desconoce el origen exacto de la banda Cuba y la identidad de sus miembros, aunque algunos investigadores creen que podría ser sucesora de otra banda, Babuk. Como muchas otras bandas de ransomware, Cuba es un grupo de ransomware como servicio (RaaS), que permite a sus socios utilizar el ransomware y la infraestructura asociada a cambio de una parte de los rescates que recauden.

Se filtra un constructor de Lockbit 3

Lockbit es una de las cepas de ransomware más extendidas. Viene con un programa afiliado Ransomware-as-a-Service (RaaS) que ofrece hasta el 80 por ciento del rescate exigido a los participantes. También incluye un programa de recompensas por errores para aquellos que detecten e informen de vulnerabilidades que permitan descifrar archivos sin pagar el rescate (según los delincuentes que están detrás de Lockbit, ha habido recompensas de hasta 50 000 dólares. Lockbit también ofrece un portal de búsqueda para consultar la información filtrada de las empresas objetivo de la familia de ransomware.

La versión 3 de Lockbit, también conocida como Lockbit Black, fue detectada por primera vez en junio del año pasado y representa un reto para los analistas y los sistemas de análisis automatizados. Las características más desafiantes incluyen el uso de ejecutables encriptados con contraseñas generadas aleatoriamente para dificultar el análisis automático, robustas técnicas de protección contra la ingeniería inversa, y el uso de muchas funciones de Windows no documentadas a nivel de kernel.

En septiembre de 2022, se filtró un constructor para Lockbit 3, que permitía a cualquiera crear su propia versión personalizada del ransomware.

Inmediatamente después de esta filtración, durante la respuesta a un incidente por parte de nuestro Equipo Global de Respuesta a Emergencias (GERT, Global Emergency Response Team), descubrimos una intrusión que aprovechaba el cifrado de sistemas críticos con una variante de Lockbit 3, detectada como Trojan.Win32.Inject.aokvy. La intrusión incluía TTP similares a las destacadas en nuestro informe sobre los ocho principales grupos responsables de los ataques de ransomware. Aunque esta variante fue confirmada como Lockbit, el procedimiento de petición de rescate era bastante diferente del que se sabe que implementa este actor de amenazas, con una nota de rescate que incluía un titular relacionado con un grupo previamente desconocido llamado “NATIONAL HAZARD AGENCY”.

Nota de rescate original de Lockbit y otra nota de rescate relacionada con un grupo desconocido hasta ahora

Según otras publicaciones de analistas, aparecieron diferentes grupos que utilizaban los constructores exfiltrados, pero con sus propias notas y canales de comunicación. Resultó que muchos actores de amenazas se aprovecharon de la filtración.

Nota de rescate de BL00DY RANSOMWARE GANG y nota de rescate de GetLucky

Nuestro equipo GERT analizó el constructor para comprender su método de construcción y definir oportunidades de análisis adicionales.

El cambiante mundo del crimeware

El panorama del malware sigue evolucionando: surgen nuevas familias de malware, algunas desaparecen, otras desaparecen del radar sólo para reaparecer más tarde. Por eso rastreamos todos estos cambios, basándonos tanto en las muestras que detectamos como en nuestros esfuerzos de vigilancia, incluidas las redes de bots y los foros clandestinos.

Recientemente hemos encontrado un nuevo cargador llamado “DarkGate”, un nuevo LokiBot infostealer y nuevas muestras de Emotet.

Nuestro descubrimiento de DarkGate comenzó en junio de 2023, cuando un conocido desarrollador de malware publicó un anuncio en un popular foro de la web oscura, jactándose de haber desarrollado un cargador en el que había estado trabajando durante más de 20 000 horas desde 2017. Algunas de las características principales iban más allá de las de un descargador típico, y supuestamente incluían un VNC oculto, una exclusión de Windows Defender, un ladrón del historial del navegador, un proxy inverso, un administrador de archivos y un ladrón de tokens de Discord.

El hecho de que a la muestra que obtuvimos le faltaran algunas de estas funciones no es significativo, ya que de todos modos se activan o desactivan en el constructor. Sin embargo, pudimos reconstruir la cadena de infección, que consta de cuatro etapas, hasta la carga del payload final: el propio DarkGate.

• Script descargador escrito en VBS. Esto establece varias variables de entorno para ofuscar las invocaciones de comandos posteriores. Dos archivos (exe y script.au3) se descargan del C2, y Autoit3.exe se ejecuta con script.au3 como argumento.
• Script de AutoIT V3. Se trata de un lenguaje de secuencias de comandos gratuito similar a BASIC, utilizado a menudo por los autores de malware, ya que puede simular pulsaciones de teclas y movimientos del ratón, entre otras cosas. El script que se ejecuta está ofuscado, pero en última instancia asigna memoria al shellcode incrustado para después ejecutar el shellcode.
• Construye un archivo PE en memoria, resuelve las importaciones dinámicamente y le transfiere el control.
• Ejecutor DarkGate (el archivo PE construido por el shellcode). El ejecutor carga el archivo au3 en memoria y localiza un blob encriptado dentro del script. A continuación, se descifra el blob encriptado (mediante una clave XOR y una operación NOT final). El resultado es un fichero PE cuya tabla de importación se resuelve dinámicamente. El resultado final es el cargador DarkGate.

LokiBot apareció por primera vez en 2016 y permanece activo. Roba credenciales de varias aplicaciones, como navegadores, clientes FTP y otros. Hace poco, detectamos una campaña de phishing que instala LokiBot dirigida a empresas navieras.

En los casos investigados, las víctimas recibían un correo electrónico que parecía proceder de un contacto comercial y en el que se indicaban gastos portuarios que debían abonarse. Se adjuntaba un documento Excel al mensaje. Al abrir el documento, se pedía al destinatario que habilitara las macros. Se trataba de una advertencia falsa, ya que el documento no contenía ninguna macro. Lo que en verdad hacía era explotar la vulnerabilidad CVE-2017-0199. Esta vulnerabilidad permite proporcionar un enlace para abrir un documento remoto. Esto da lugar a la descarga de un documento RTF, que a su vez explota otra vulnerabilidad, la CVE-2017-11882, que permite la descarga y ejecución de LokiBot.

Una vez ejecutado, LokiBot recopila credenciales de diversas fuentes y las guarda en un búfer dentro del malware, tras lo cual las envía al C2. Tras enviar información del sistema, el malware se pone a la espera de comandos C2 adicionales, que pueden utilizarse para descargar malware adicional, ejecutar un keylogger, etc.

Emotet es una famosa red de bots desmantelada en 2021, pero que resurgió después. En su reciente oleada de ataques, el grupo se sumó a la tendencia de las infecciones para OneNote, y empezó a enviar correos electrónicos con archivos maliciosos de OneNote. Al abrir uno de ellos, aparece una imagen similar a la siguiente.

Si alguien hace clic en el botón “Ver”, se ejecuta VBScript malicioso incrustado y ofuscado. Hay varios sitios que contienen la carga útil. El script prueba cada una de ellas hasta que la consigue, y luego guarda la carga útil, una DLL, en el directorio temporal, para después ejecutarla con regsvc32.exe. A continuación, la DLL ejecutada carga un recurso (LXGUM) de su sección de recursos y lo descifra con un sencillo algoritmo XOR rodante.

La carga descifrada es en realidad un shellcode que hace una típica importación por hash. Dos de las funciones resueltas son LdrLoadDll y LdrGetProcedureAddress, utilizadas con frecuencia por los autores de malware para evadir el análisis dinámico de API conocidas: LoadLibrary y GetProcAddress en este caso. A continuación, se asigna memoria y se escribe un blob (un archivo PE) de la sección de recursos en la memoria asignada, que es la carga útil final de Emotet. Se resuelven las dependencias DLL y se reconstruye la tabla de direcciones de importación (IAT). A continuación, el shellcode sobrescribe el encabezado DOS del archivo PE, para dificultar que las soluciones EDR (Extended Detection and Response) detecten el binario en la memoria. Finalmente, se ejecuta Emotet. La carga útil de Emotet sigue siendo la misma que en las anteriores oleadas de ataques.

Conozca todos los detalles en nuestro informe sobre crimeware.

Un cifrador, un stealer y un troyano bancario

Monitoreamos muchos foros clandestinos. En uno de ellos vimos un anuncio que promocionaba una nueva variante de cifrador/cargador llamada ASMCrypt. La idea de este tipo de malware es cargar la carga útil final sin que el proceso de carga o la propia carga útil sean detectados por antivirus, EDR, etc. En esto se parece mucho al cargador DoubleFinger que discutimos anteriormente y creemos que ASMCrypt es una versión evolucionada de DoubleFinger. Sin embargo, funciona de forma ligeramente diferente y es más una “fachada” para el servicio real que se ejecuta en la red TOR.

En primer lugar, el comprador obtiene el binario ASMCrypt, que se conecta al servicio backend del malware a través de la red TOR, utilizando credenciales cifradas. Si todo es correcto, se muestra el menú de opciones.

El comprador puede elegir diferentes opciones:

• el método de inyección, sigiloso o invisible;
• el proceso en el que debe inyectarse la carga útil;
• el nombre de carpeta para la persistencia de inicio;
• el tipo de stub: que el malware se haga pasar por Apple QuickTime o que se use una aplicación legítima que carga la DLL maliciosa.

Tras seleccionar todas las opciones deseadas y pulsar el botón “Build”, la aplicación crea un blob cifrado oculto dentro de un archivo .PNG. Esta imagen debe subirse a un sitio de alojamiento de imágenes. La DLL (o binario) maliciosa del último punto anterior también se crea para su posterior distribución por los ciberdelincuentes. Cuando la DLL maliciosa se ejecuta en un sistema víctima, descarga el archivo .PNG, lo descifra, lo carga en memoria y luego lo ejecuta.

También publicamos un informe sobre una nueva versión del stealer Lumma. El stealer Arkei, escrito en C++, apareció por primera vez en mayo de 2018 y ha sido bifurcado/rebautizado varias veces en los últimos años. Se lo conoce como Vidar, Oski, Mars y ahora Lumma, que coincide en un 46% con Arkei.

Lumma se distribuye a través de un sitio web falso idéntico a un sitio legítimo de conversión de .DOCX a .PDF. Cuando se carga un archivo, se lo devuelve con la doble extensión .PDF.EXE.

A lo largo del tiempo, la funcionalidad principal de todas las variantes sigue siendo la misma: robar archivos almacenados en caché, archivos de configuración y registros de criptomonederos. Lo hace actuando como un complemento del navegador, pero también es compatible con la aplicación independiente de Binance. En nuestro informe, destacamos los principales cambios que ha experimentado Lumma desde que apareció por primera vez en agosto de 2022.

Zanubis, un troyano bancario para Android, apareció por primera vez alrededor de agosto de 2022, y estaba dirigido a usuarios de instituciones financieras y bolsas de criptomonedas en Perú. La principal vía de infección del troyano es suplantar aplicaciones Android legítimas peruanas para luego inducir al usuario a que habilite los permisos de Accesibilidad con el fin de tomar el control total del dispositivo.

Detectamos muestras más recientes de Zanubis en todo el mundo alrededor de abril de 2023. El malware estaba camuflado como la aplicación oficial para Android de la organización gubernamental peruana SUNAT (Superintendencia Nacional de Aduanas y de Administración Tributaria). Exploramos el nuevo diseño y las características del malware, que parecía haber pasado por varias fases de evolución hasta alcanzar un nuevo nivel de sofisticación.

Zanubis está ofuscado con la ayuda de Obfuscapk, un ofuscador popular para archivos APK de Android. Después de que la víctima concede los permisos de accesibilidad a la aplicación maliciosa,  le permiten ejecutarse en segundo plano, el malware utiliza WebView para cargar un sitio web legítimo de la SUNAT utilizado para buscar deudas. La intención es hacer creer al usuario desprevenido que la aplicación forma parte del ecosistema de servicios de la SUNAT.

La comunicación con el C2 se basa en WebSockets y en la biblioteca Socket.IO. Esta última permite al malware establecer una conexión persistente con el C2, que ofrece opciones de conmutación por error (de WebSockets a HTTP y viceversa). Otra ventaja es que, si es necesario, proporciona al C2 un entorno escalable en el que todas las nuevas infecciones por Zanubis pueden recibir órdenes (también llamadas eventos) a escala masiva desde el C2.

Una característica interesante del malware es que simula ser una actualización de Android, que bloquea el uso del teléfono. Mientras se ejecuta la “actualización”, el teléfono no se puede usar hasta el punto de que no se puede bloquear ni desbloquear, ya que el malware monitoriza esos intentos y los bloquea.

Puede leer nuestro informe sobre ASMCrypt, Lumma y Zanubis aquí.

El malware está en constante evolución y las TTP cambian, lo que dificulta su detección. También puede resultar difícil para una organización decidir de qué tipo de amenaza de malware defenderse en primer lugar. Los informes de inteligencia pueden ayudarle a identificar las amenazas relevantes para su negocio y a mantenerse protegido. Si desea mantenerse al día sobre las últimas TTP utilizadas por los delincuentes, o si tiene alguna pregunta sobre nuestros informes privados, escríbanos a crimewareintel@kaspersky.com.