Sabemos que la familia de malware llamada Trojan.MSIL.Jumcar y Trojan.Win32.Jumcar se desarrolló en Perú con la idea de atacar a los usuarios peruanos. También sabemos que los usuarios de Chile y Perú han sido blanco de estos ataques últimamente. Puedes leer más al respecto en nuestros anteriores informes:
- Jumcar. Desde Perú para Latinoamérica (Primera Parte)
- Jumcar. Cronología, codificación y funciones específicas (Segunda parte) .
Durante la investigación inicial nos llamó la atención una serie de cadenas en el código fuente de las primeras variantes: “Armada Peruana”.
Cadena “Armada Peruana” que se encontró en la descompilación de la variante Jumcar
Al principio pensamos que podía estar relacionada con un grupo de ciberactivistas, o tal vez con un gobierno, pero descartamos esta posibilidad cuando profundizamos en nuestro análisis y no encontramos ninguna prueba concreta que corrobore esta teoría. La idea tampoco encajaba con el objetivo principal del malware, que era generar ataques phishing clásicos.
Mientras continuábamos con el análisis de otras variantes que pertenecían a las tres generaciones de malware Jumcar, también consideramos que podría ser una estrategia para despistarnos. Está claro que las fuerzas militares en cuestión no tienen ninguna conexión en el malware ni son el blanco de los ataques del programa.
Pero, aun así, podría haber alguna conexión militar desde una perspectiva psicológica o social, porque otras cadenas de caracteres en la segunda y tercera generación de Jumcar sugieren cierto “fanatismo”, “orgullo” o “interés” por el ejército. El nombre interno de algunas de las variantes también usa nombres relacionados con el ejército, como ArmadaPeruanaV2.0.exe, Defenza.exe, Defender.exe y Estela_Maris.exe.
Los primeros tres nombres son muy imprecisos. Pero en el caso de “Estela_Maris.exe”, es muy probable que se refiera a la Virgen Stella Maris , también conocida como “La Estrella del Mar” y “protectora de los navegantes”. Por eso, casi todas las instituciones navales de Latinoamérica la adoptan.
Información interna sobre las variantes de la familia Jumcar que podrían hacer referencia al ejército”
Las siguientes imágenes muestran las rutas de construcción. Puedes ver que es probable que el código malicioso se haya generado desde un dispositivo USB. Esto podría ser para evitar dejar rastros en los equipos o para que el proyecto se pueda trabajar desde cualquier ordenador. Este patrón se repite en casi todas las variantes.
Carpeta llamada “ArmadaPeruanaV2.0” en la ruta de construcción del malware
Carpeta llamada “ArmadaPeruanaV2.1” en la ruta de construcción del malware
Nuestros informes indican que la cadena “ArmadaPeruanaV2.0” aparece en una variante lanzada en mayo de 2012. Hace referencia a una supuesta segunda versión, lo que significa que existe por lo menos una anterior, aunque no tenemos ninguna información sobre ella. Un mes después, en junio de 2012, encontramos cadenas similares que hacían referencia a la versión 2.1 de este proyecto.
Robo de datos bancarios
Los cibercriminales instalaron herramientas para facilitar el robo de datos bancarios en cada uno de los sitios web que comprometieron. De ellos, el más relevante es el paquete de phishing que contiene los ajustes que definen el modo en el que se procesarán los datos robados y el lugar al que serán enviados.
Esta información se guarda codificada en un archivo de texto llamado “Logsdb.txt”. En este caso, el archivo TXT emplea una contraseña compleja para el proceso de codificación. Después se envía el archivo a la dirección que se especifica en los ajustes.
Algunos parámetros regulan los intentos de robar información de las coordenadas de las tarjetas de crédito limitando la cantidad de coordenadas a 36, con una longitud máxima de 2 (este componente es una coordenada alfanumérica) y un máximo de dos intentos para solicitar estos datos, que probablemente sirvan para verificar la información. Esta configuración concuerda con los requisitos reales que solicita el banco al que se ataca en esta operación de phishing.
Parámetros de configuración en los ataques phishing
¿Quién es el responsable?
Los análisis de los paquetes de phishing mostraron muchas direcciones de correo electrónico con los nombres mi.baulrlz, roshikameha y chupacuetexd. Se utilizan para guardar los datos de las víctimas y la información relacionada con los números de tarjeta de crédito robados.
Por ahora podemos decir que hemos visto una cadena de caracteres que hace referencia a la “Comunidad Jumper” en alrededor del 90% de los ejemplares. Esta es una asociación reciente cuyas primeras actividades se registraron el año pasado y sobre las que no hay mucha información pública.
En septiembre de 2012, este grupo creó un perfil de Facebook y, como puedes ver en la siguiente imagen, se inspira en un popular foro clandestino latinoamericano:
“Comunidad Jumper” en Facebook
Conclusión
En general, el cibercrimen sigue avanzando en Latinoamérica. Comparados con los del malware actual de la región, estos nuevos desarrollos muestran cierto nivel de complejidad. Aunque no alcanzan a tener el grado de complejidad de las técnicas de los cibercriminales de Europa del Este, siguen representando una gran amenaza para la economía de los usuarios latinoamericanos.
Perú, en particular, se ha convertido, después de Brasil, en la mayor fuente de desarrollo de programas maliciosos y criminales de Sudamérica. Los cibercriminales peruanos también trabajan con los cibercriminales chilenos, tal vez porque son vecinos. La familia Jumcar lo confirma.
No hay duda de que en el futuro las comunidades latinoamericanas se seguirán comprometiendo con el desarrollo de los programas maliciosos con fines fraudulentos o para atacar a gobiernos o ejércitos.
Jumcar. ¿La Armada peruana? ¿Quién es el responsable? (Tercera parte)