Jumcar. Desde Perú para Latinoamérica (Primera parte)

Jumcar es el nombre que le hemos asignado a una familia de códigos maliciosos desarrollados en Latinoamérica (especialmente en Perú) y que, según nuestra investigación, ha estado realizando maniobras de ataque desde marzo de 2012.

Después de seis meses de investigación, podemos finalmente detallar las características específicas de Jumcar. Las iremos publicando en los próximos días. Esencialmente, el propósito principal de este programa malicioso es robar los datos financieros de los clientes latinoamericanos de los principales bancos que utilizan los servicios de banca online. El 90% de estos se llevan a cabo en Perú a través de estrategias phishing basadas en la clonación de los sitios web de seis bancos.

Algunas variantes de la familia Juncar también apuntan a dos grandes bancos de Chile y a otro de Costa Rica.

Porcentaje de ataques phishing por país

Sabemos que en Latinoamérica la cultura cibercriminal se está expandiendo a pasos agigantados.Esto se ha puesto en evidencia por algunas redes zombi manejadas mediante programas crimeware desarrollados en la región, y que también tienen la habilidad de generar programas maliciosos personalizados.Las redes zombi que hemos descubierto en los dos últimos años tienen esta habilidad y hemos advertido al respecto varias veces. Entre ellas están vOlk-Botnet, UELP, Chimba-Botnet, AlbaBotnet y PiceBOT.

Sin embargo, la familia Jumcar de programas maliciosos tiene características completamente nuevas y componentes muy particulares en comparación con los mencionados previamente.Comparten el mismo objetivo: robar datos financieros; y una estrategia de infección inicial en común: mensajes de correo asociados con una sólida ingeniería social visual en falsos mensajes.
Desde una perspectiva técnica, por el momento todas las variaciones de esta familia de programas maliciosos se desarrollan en .NET, mientras que el patrón común de los programas maliciosos desarrollados en Latinoamérica (excepto Brasil) es desarrollarlos en VisualBasic.

Asimismo, y al contrario de patrones comunes de los programas maliciosos en Latinoamérica que suelen ofuscar parte de sus códigos con sencillas conversiones hexadecimales, todas las variantes de Jumcar usan algoritmos codificadores simétricos y asimétricos para ocultar la funcionalidad especificada en el código fuente. Para ello, este programa malicioso usa las siguientes clases: System.Security.Cryptography.TripleDES,System.Security.Cryptography.Aes y System.Security.Cryptography.RSA.
Las siguientes imágenes muestran la diferencia en la ofuscación de programas maliciosos empleada en las redes zombi más populares de la región, en comparación a la ofuscación empleada en Juncar.

Ejemplo de la conversión hexadecimal en la configuración de parámetros del código malicioso propagado mediante S.A.P.Z, vOlk-Botnet, PiceBOT y AlbaBotnet

Parámetros de configuración del programa malicioso Jumcar codificado con RSA

Los patrones que distinguen a esta familia de programas maliciosos son:

• Las campañas de propagación e infección siempre se realizan mediante correo.
• La estrategia de ingeniería social se basa en la imagen de Facebook en el mensaje de correo y en el nombre del archivo descargado (por ejemplo: facebook.exe). También en mensajes de correo enviados supuestamente por bancos peruanos.
• El tamaño de las variantes no sobrepasa los 44kB.
• Los iconos usados también se relacionan con Facebook en un 80% de los casos; el otro 20% se refiere a iconos de una compañía telefónica, y un 1% al icono nativo de los lenguajes de programación .NET y VB. Es decir, 8 de cada 10 muestras usa Facebook como imagen de icono.

Iconos usados en las diferentes variantes de Jumcar

• Después de que el sistema ase infecta, el programa malicioso se autorenombra usando nombres relacionados con Microsoft Windows (por ejemplo: Windows Defender.exe).
• Los parámetros dinámicos del programa malicioso están codificados con algoritmos AES, 3DES y RSA.
• Las primeras variantes generaban una llave en el registro de Windows para automatizar el inicio, pero ha dejado de ser así, limitándose a un “ataque fantasma” mediante pharming. A diferencia de otros programas maliciosos, no carga un proceso malicioso ni se autoelimina. Sólo modifica el archivo hosts. De esta manera, no quedan archivos maliciosos en el ordenador, pero el usuario seguirá siendo víctima de un ataque phishing cada vez que visite el sitio web del banco debido a la modificación del archivo hosts.
• El lenguaje de programación usado para crear Jumcar es .NET sin comprimir.
• El programa malicioso crea una carpeta y un archivo específico, en la misma carpeta, con extensión XLSX o DOCX.
• Todos los sitios web usados para las campañas se infectan con alguna vulnerabilidad, y los atacantes los usan para guardar el archivo pharming, un propagador de mensajes y un troyano puerta trasera.
• El principal objetivo es la comunidad peruana.

Las campañas de propagación son compatibles con las clásicas estrategias visuales de ingeniería social que se basan en el envío de mensajes de correo fraudulentos, para lo cual recurren a dos canales de ataques:

1. Un mensaje supuestamente enviado por Facebook con el asunto “Facebook Message” (o similar), con el logotipo de la red social, que desvía el tráfico al archivo llamado “Mensaje_Facebook_Privado.php” (o similar), que contienen las instrucciones necesarias para descargar la variante de Jumcar.
2. Un mensaje supuestamente enviado por un importante banco del Perú que desvía el tráfico al clon de su sitio web. Este es el clásico ataque phishing.

Mensaje malicioso distribuido en mensajes de correo. Es una de las estrategias más comunes que usa Jumcar

Todas las variantes de Jumcar se alojan en sitios web previamente infectados. En otras palabras, el atacante no registra los nombres de dominio como parte de la estrategia de propagación.

También implanta un paquete phishing que se usa para robar los datos de sus víctimas. Esto incluye un archivo de texto simple con la configuración para el archivo hosts en el ordenador de cada una de las víctimas, el propagador de mensajes de correo usado para enviar cantidades masivas de mensajes engañosos, y un troyano puerta trasera que le permite al atacante acceder y cargar nuevas variantes del programa malicioso.

Jumcar ha tenido un impacto significativo en los últimos meses y se ha concentrado en la región. En el siguiente gráfico podemos ver claramente que los niveles de infección, en rojo, han tenido mucho éxito en Perú y Chile:

Perú y Chile son los países con los índices más elevados de la infección por Jumcar

Hemos analizado más de 50 muestras de la familia Jumcar. Esto nos ha permitido recopilar un gran volumen de datos interesantes que compartiremos en los próximos días.

Kaspersky Lab detecta las diferentes variantes como “Trojan.Win32.Jumcar” y “Trojan.MSIL.Jumcar”.