Jumcar. Cronología, codificación y funciones específicas. (Segunda parte)

Jumcar se distingue de otros programas maliciosos desarrollados en Latinoamérica por sus características particularmente agresivas. Hasta la fecha se han detectado tres generaciones de esta familia de programas maliciosos; mientras que la primera y segunda generaciones básicamente usan algoritmos simétricos, la tercera usa un algoritmo asimétrico. De esta manera, los parámetros de configuración permanecen ocultos, lo que progresivamente aumenta la complejidad de las variantes.

En la primera generación, los datos están codificados con AES (Advanced Encryption Standard). Estimamos que la primera variante se publicó en marzo de 2012, y que otros programas maliciosos con características similares se estaban desarrollando hasta agosto de ese año. Es decir, en un periodo de seis meses.

En la primera etapa, el 75% de las campañas phishing atacaban a consumidores peruanos usuarios de servicios de banca online. El 25% restante eran usuarios en Chile.

El siguiente diagrama muestra las múltiples instancias que usaba la segunda generación de Juncar:

Algunos casos .NET que utilizan una variante de la primera generación de Jumcar

Un mes después, en septiembre de 2012, la segunda generación de Jumcar comenzó a propagarse, intercambiando el algoritmo de codificación AES por TripleDES. El ciclo de propagación de esta generación se prolongó hasta marzo de 2013, un periodo similar al de la primera generación: siete meses.

A diferencia de la primera etapa, la segunda apuntaba exclusivamente a usuarios en Perú (100 %). Las primeras dos generaciones, codificadas con AES y TripleDES, respectivamente, comparten un factor común: ambas emplean algoritmos de codificación simétricos.

Junto con la segunda generación, en septiembre de 2012 comenzó a circular la tercera generación, que usaba el algoritmo de codificación RSA (asimétrico). Esto podría deberse a que entre los algoritmos asimétricos, RSA es el más seguro, y los desarrolladores de programas maliciosos buscan crear variantes más sólidas. Esta última generación circula en Internet.

Pero, los ataques phishing no han obviado a los usuarios en Perú, con un 86% de campañas dirigidas directamente contra ellos. Chile dejó de ser parte de los planes de los atacantes, que posteriormente modificaron su estrategia incluyendo a los usuarios de un importante banco en Costa Rica, lo que representa el 14% de la campaña.

La siguiente imagen muestra las cadenas codificadas con AES, utilizadas para ofuscar algunos parámetros de configuración de Jumcar en la primera generación:

Cadenas codificadas con AES

Al decodificar el codigo, podemos ver algo así:

Decodificacion de las cadenas codificadas con AES

Este comportamiento se repite con características similares en todas las variantes de este programa malicioso, que aparecen en cuatro bloques que describen acciones específicas de configuración para las variantes de Jumcar.

El primer bloque describe los archivos que se copian, y dónde se localizan en el sistema, si la infección tiene éxito. El segundo bloque configura los sitios web comprometidos desde los que se descarga la información que se registra en el archivo hosts. El tercero se relaciona con el tratamiento de políticas específicas en el registro: desactivación de UAC (User Account Control) e intentos de lograr autorizaciones en el sistema. Finalmente, este programa malicioso añade una llave de registro para asegurarse de que el proceso malicioso se cargue cada vez que el usuario encienda el equipo o reinicie el sistema.

De estas funcionalidades específicas, podemos remarcar las dos líneas en el primer bloque: Documento1.docx y calc1.xlsx.

En la primera generación, las variantes crean una carpeta llamada “My Documents” en la unidad raíz “C:” en la que se copia un archivo llamado “Documento1.docx”. Este archivo contiene una copia de la información modificada en el archivo hosts. La siguiente imagen muestra esta acción:

Documento DOCX que crea Jumcar para contener la configuración del archivo hosts

Esto continuó hasta mediados de marzo de 2013 (tercera generación) cuando, mediante una leve modificación, el nombre de la carpeta creada cambia a “My Pictures”. La siguiente imagen muestra las funciones para crear y manipular el archivo y la carpeta:

Instrucciones de Jumcar para crear y manipular archivos y carpetas

Jumcar comparte otras características con los programas maliciosos en general, y con los programas maliciosos de Latinoamérica en particular. Sin embargo, las características que describimos en la entrada anterior del blog, junto a las que hemos descrito aquí, sugieren que los aspectos distintivos de esta familia de programas maliciosos podrían repetirse en otros desarrollos en la región.

Recordemos que Kaspersky Lab identifica la familia entera de este programa malicioso como Trojan.MSIL.Jumcar y Trojan.Win32.Jumcar. Urgimos a los usuarios de productos de Kaspersky Lab a que los actualicen, especialmente a los de Latinoamérica, ya que esta región es el blanco directo de estos atacantes. Sin embargo, también representa una amenaza potencial para los usuarios de otras regiones debido a posibles consecuencias colaterales, por lo que recomendamos a todos que actualicen sus soluciones antivirus.