Descripciones de malware

Jumcar. ¿La Armada peruana? ¿Quién es el responsable? (Tercera parte)

Sabemos que la familia de malware llamada Trojan.MSIL.Jumcar y Trojan.Win32.Jumcar se desarrolló en Perú con la idea de atacar a los usuarios peruanos. También sabemos que los usuarios de Chile y Perú han sido blanco de estos ataques últimamente. Puedes leer más al respecto en nuestros anteriores informes:

Durante la investigación inicial nos llamó la atención una serie de cadenas en el código fuente de las primeras variantes: “Armada Peruana”.


Cadena “Armada Peruana” que se encontró en la descompilación de la variante Jumcar

Al principio pensamos que podía estar relacionada con un grupo de ciberactivistas, o tal vez con un gobierno, pero descartamos esta posibilidad cuando profundizamos en nuestro análisis y no encontramos ninguna prueba concreta que corrobore esta teoría. La idea tampoco encajaba con el objetivo principal del malware, que era generar ataques phishing clásicos.

Mientras continuábamos con el análisis de otras variantes que pertenecían a las tres generaciones de malware Jumcar, también consideramos que podría ser una estrategia para despistarnos. Está claro que las fuerzas militares en cuestión no tienen ninguna conexión en el malware ni son el blanco de los ataques del programa.
Pero, aun así, podría haber alguna conexión militar desde una perspectiva psicológica o social, porque otras cadenas de caracteres en la segunda y tercera generación de Jumcar sugieren cierto “fanatismo”, “orgullo” o “interés” por el ejército. El nombre interno de algunas de las variantes también usa nombres relacionados con el ejército, como ArmadaPeruanaV2.0.exe, Defenza.exe, Defender.exe y Estela_Maris.exe.

Los primeros tres nombres son muy imprecisos. Pero en el caso de “Estela_Maris.exe”, es muy probable que se refiera a la Virgen Stella Maris , también conocida como “La Estrella del Mar” y “protectora de los navegantes”. Por eso, casi todas las instituciones navales de Latinoamérica la adoptan.


Información interna sobre las variantes de la familia Jumcar que podrían hacer referencia al ejército”

Las siguientes imágenes muestran las rutas de construcción. Puedes ver que es probable que el código malicioso se haya generado desde un dispositivo USB. Esto podría ser para evitar dejar rastros en los equipos o para que el proyecto se pueda trabajar desde cualquier ordenador. Este patrón se repite en casi todas las variantes.


Carpeta llamada “ArmadaPeruanaV2.0” en la ruta de construcción del malware


Carpeta llamada “ArmadaPeruanaV2.1” en la ruta de construcción del malware

Nuestros informes indican que la cadena “ArmadaPeruanaV2.0” aparece en una variante lanzada en mayo de 2012. Hace referencia a una supuesta segunda versión, lo que significa que existe por lo menos una anterior, aunque no tenemos ninguna información sobre ella. Un mes después, en junio de 2012, encontramos cadenas similares que hacían referencia a la versión 2.1 de este proyecto.

Robo de datos bancarios

Los cibercriminales instalaron herramientas para facilitar el robo de datos bancarios en cada uno de los sitios web que comprometieron. De ellos, el más relevante es el paquete de phishing que contiene los ajustes que definen el modo en el que se procesarán los datos robados y el lugar al que serán enviados.

Esta información se guarda codificada en un archivo de texto llamado “Logsdb.txt”. En este caso, el archivo TXT emplea una contraseña compleja para el proceso de codificación. Después se envía el archivo a la dirección que se especifica en los ajustes.

Algunos parámetros regulan los intentos de robar información de las coordenadas de las tarjetas de crédito limitando la cantidad de coordenadas a 36, con una longitud máxima de 2 (este componente es una coordenada alfanumérica) y un máximo de dos intentos para solicitar estos datos, que probablemente sirvan para verificar la información. Esta configuración concuerda con los requisitos reales que solicita el banco al que se ataca en esta operación de phishing.


Parámetros de configuración en los ataques phishing

¿Quién es el responsable?

Los análisis de los paquetes de phishing mostraron muchas direcciones de correo electrónico con los nombres mi.baulrlz, roshikameha y chupacuetexd. Se utilizan para guardar los datos de las víctimas y la información relacionada con los números de tarjeta de crédito robados.

Por ahora podemos decir que hemos visto una cadena de caracteres que hace referencia a la “Comunidad Jumper” en alrededor del 90% de los ejemplares. Esta es una asociación reciente cuyas primeras actividades se registraron el año pasado y sobre las que no hay mucha información pública.

En septiembre de 2012, este grupo creó un perfil de Facebook y, como puedes ver en la siguiente imagen, se inspira en un popular foro clandestino latinoamericano:


“Comunidad Jumper” en Facebook

Conclusión

En general, el cibercrimen sigue avanzando en Latinoamérica. Comparados con los del malware actual de la región, estos nuevos desarrollos muestran cierto nivel de complejidad. Aunque no alcanzan a tener el grado de complejidad de las técnicas de los cibercriminales de Europa del Este, siguen representando una gran amenaza para la economía de los usuarios latinoamericanos.

Perú, en particular, se ha convertido, después de Brasil, en la mayor fuente de desarrollo de programas maliciosos y criminales de Sudamérica. Los cibercriminales peruanos también trabajan con los cibercriminales chilenos, tal vez porque son vecinos. La familia Jumcar lo confirma.

No hay duda de que en el futuro las comunidades latinoamericanas se seguirán comprometiendo con el desarrollo de los programas maliciosos con fines fraudulentos o para atacar a gobiernos o ejércitos.

Jumcar. ¿La Armada peruana? ¿Quién es el responsable? (Tercera parte)

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada