Noticias

Los cibercriminales dejan el MBR y vuelcan su interés hacia el NTFS

Es cada vez más común que los cibercriminales modifiquen las partes del disco duro que ayudan a realizar la carga inicial del sistema. Los cibercriminales han pasado de sólo modificar el MBR (master boot record) a infectar el código del cargador NTFS (New Technology File System).

Hace poco descubrimos un malware interesante: Cidox. Lo peculiar de este programa es que infecta el código de carga de la partición de arranque del disco duro.

El archivo Trojan-Dropper.Win32.Cidox tiene “a bordo” dos rootkits de driver (Rootkit.Win32/Win64.Cidox). Uno está dirigido a plataformas de 32 bits, el otro a plataformas de 64 bits.

El componente fuente de Cidox realiza las siguientes modificaciones al principio del disco duro:

  • Guarda los drivers en sectores vacíos al principio del disco duro;
  • Elije la sección marcada como la partición de arranque en la tabla de partición del MBR para realizar la infección. Es importante recalcar que sólo infecta particiones dentro del sistema de archivos NTFS.
  • Escribe parte de su código en Extended NTFS IPL (Initial Program Loader), que es responsable de analizar sintácticamente la MFT (Master File Table), buscar el archivo que tiene el cargador en el directorio raíz de la sección (ntldr — pre-Vista, bootmgr — Vista+), leer este archivo del disco y transferirle el control. Además, el contenido original de Extended NTFS IPL está codificado, guardado e incluido al final del código malicioso.


Fragmento del dominio inicial del disco duro infectado por Cidox
(detectado como Rootkit.Boot.Cidox)

La próxima vez que arranque el sistema, se invocará al código malicioso en el área de carga. Se puede cargar el driver malicioso en el sistema con la ayuda de una técnica conocida, usando la interrupción Int 13h y aprovechando algunas características de Windows Kernel. El driver cargado utiliza PsSetCreateProcessNotifyRoutine para controlar la ejecución de los siguientes procesos:

  • svchost.exe
  • iexplore.exe
  • firefox.exe
  • opera.exe
  • chrome.exe


Fragmento de Rootkit.Win32.Cidox, que contiene cadenas de caracteres con los nombres de los navegadores que controla.

Si detecta que se está ejecutando alguno de los procesos de arriba, se agrega un componente más de Cidox: una biblioteca dinámica (Trojan.Win32.Cidox). Esta biblioteca modifica cualquier mensaje del navegador, substituyéndolo por uno propio. Como resultado, el usuario ve una ventana del navegador que pide que se lo renueve para neutralizar algunos programas maliciosos que supuestamente se encontraron en el sistema. El ejemplo de abajo muestra cómo se pide al usuario que renueve el navegador debido a una infección de Trojan.Win32.Ddox.ci.


Fragmento de una ventana de navegación en un sistema infectado por Cidox.

Como era de suponer, los cibercriminales piden al usuario que pague por la “renovación”. Para hacerlo, debe enviar un SMS a un número corto.
Se utiliza un diseño de página específico para cada uno de los navegadores más populares.

A unique page design is used for each of the most popular browsers.


Fragmento de una ventana de navegación en un sistema infectado por Cidox.

Hay que recalcar que se pueden descargar gratis las nuevas versiones de los navegadores desde su sitio web oficial. Los cibercriminales sólo están tratando de asustar a los usuarios para robarles dinero.

Los cibercriminales dejan el MBR y vuelcan su interés hacia el NTFS

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada