Malware sirio: un castillo de naipes

Our full Report (eng)

Introducción

Los conflictos geopolíticos en el Oriente Medio se han profundizado en los últimos años. Siria no es la excepción, con una crisis interna que ha asumido muchas formas, como el conflicto en el ciberespacio que se intensifica a medida que ambas partes tratan de inclinar la balanza a su favor, explotando la ciberinteligencia y recurriendo a la distorsión.

El Equipo mundial de análisis e investigación de Kaspersky Lab (GReAT) ha descubierto nuevos ataques de programas maliciosos en Siria, con algunas técnicas para ocultar y operar malware, además de eficaces trucos de ingeniería social para propagarlos engañando y manipulando a sus víctimas para que los abran y se ejecuten los archivos maliciosos. Algunos archivos maliciosos se descubrieron en sitios de activistas y en foros en redes sociales, otros fueron detectados por organizaciones locales como CyberArabs y Tech4Freedom.

El informe completo, con detalles de los ataques y actividades relacionadas se encuentra aquí.

Un vistazo a los descubrimientos

La cantidad de ataques y de archivos maliciosos propagados sigue incrementándose a medida que los atacantes se vuelven más organizados y eficientes. Todas las muestras se basan en Herramientas Troyanas de Administración Remota (RATs).

La cantidad de archivos maliciosos detectados es de 110.
La cantidad de dominios vinculados a los ataques es de 20.
La cantidad de direcciones IP vinculadas a los ataques es de 47.

El Programa de seguridad nacional: Radiografía de los ataques

Camuflado como un supuesto “programa gubernamental filtrado” que contiene los nombres de todas las personas buscadas en Siria, el Programa de seguridad nacional oculta un cliente RAT con todas sus funciones para robar todo tipo de información con uno de sus botones.

TheSyrianMalwareHouseofCards_1
برنامج الأمن الوطني.exe (El Programa de seguridad nacional)

Videos con imágenes fuertes para propagar malware

Un video en YouTube con imágenes perturbadoras de víctimas heridas en recientes bombardeos fue la carnada para atraer la atención de los usuarios y manipularlos para que descarguen una aplicación maliciosa disponible en un sitio web público para compartir archivos. Tras un análisis primario, el archivo con el nombre "فضائح .exe" (Scandals.exe) resultó estar altamente ofuscado con la utilidad comercial "MaxToCode" para .NET, con el propósito de evitar su prematura detección por soluciones antivirus.

TheSyrianMalwareHouseofCards_2

¿Instalaste tu paquete de seguridad “Ammazon”?

Si creías que la época de los falsos programas antivirus había terminado, te equivocaste, pues he aquí este nuevo programa desarrollado en Siria. Con el inocente nombre de “Ammazon Internet Security”, esta aplicación maliciosa simula ser un análisis de seguridad que incluso contaba con una interfaz gráfica de usuario bastante elaborada y algunas funciones interactivas.

TheSyrianMalwareHouseofCards_3

Tu "Ammazon” ya está seguro. ¿Qué pasa con el resto de tu red?

La oferta de aplicaciones de seguridad para protegerse contra la vigilancia es una de las muchas técnicas que usan los ciberpiratas para engañar a los usuarios desesperados por mantener su privacidad e inducirlos a ejecutar estos dudosos programas.

TheSyrianMalwareHouseofCards_4

Mensajes instantáneos, infecciones instantáneas

Lo mismo ocurre con otros casos en los que la ingeniería social se hace cargo del trabajo pesado. Las aplicaciones de mensajería instantánea para sistemas operativos de escritorio se utilizaron en el pasado para propagar programas maliciosos, y al parecer los ciberpiratas sirios se han sumado a la moda.

TheSyrianMalwareHouseofCards_5

Cuidado con los ataques químicos

Otro de los ataques con trucos de ingeniería social, como el archivo malicioso llamado Kimawi.exe (químicos, en árabe), con un icono JPG, es en realidad un archivo RAT vinculado a la imagen Kimawi.jpg. La imagen es la de un documento filtrado supuestamente desde el gobierno sirio, en el que se previene a las unidades militares para que se preparen contra ataques químicos. Este archivo se envía por correo a determinados destinatarios.

TheSyrianMalwareHouseofCards_6

PREGUNTAS MÁS FRECUENTES

¿Cuál es la novedad?

Los atacantes se están volviendo más organizados, el número de sus ataques se incrementa, y los objetos maliciosos que utilizan son cada vez más sofisticados, y recurren ampliamente a poderosas técnicas de ingeniería social que logran engañar a muchos usuarios.

¿Dónde están las víctimas y los atacantes?

Las víctimas que se infectaron cuando accedían a los foros y sitios de redes sociales comprometidos, eran usuarios ordinarios o activistas, o blancos específicos que recibieron el malware por correo, Skype, o por mensajes de redes sociales.

Las víctimas también se encuentran fuera de Siria. Hemos detectado víctimas de programas maliciosos sirios en:

  1. Turquía
  2. Arabia Saudita
  3. Líbano
  4. Palestina
  5. Emiratos Árabes Unidos
  6. Israel
  7. Marruecos
  8. Francia
  9. EE.UU.

Los centros de comando y control de los atacantes se rastrearon a direcciones IP en Siria, Rusia, Líbano, EE.UU. y Brasil.

¿Cuántas son las víctimas?

Creemos que la cantidad de víctimas sobrepasa las 10.000, y que algunos de los archivos se descargaron más de 2.000 veces.

Los programas maliciosos y sus variantes se han incrementado dramáticamente desde apenas unos cuantos en el primer trimestre de 2013 a alrededor de 40 en el segundo trimestre de 2014.

¿Cuál es el impacto en las víctimas?

Se han utilizado Herramientas Troyanas de Administración Remota (RATs) para comprometer por completo los sistemas en los equipos de las víctimas. Estas RATs son capaces de robar los datos de los usuarios, activar la cámara web y el micrófono…

¿Los usuarios están protegidos?

Kaspersky detecta y bloquea todos los programas maliciosos encontrados. Se detectan de la siguiente manera:

  • Trojan.MSIL.Zapchast
  • Backdoor.Win32.Bifrose
  • Backdoor.Win32.Fynloski
  • Backdoor.Win32.Xtreme

Para conocer más en detalle estos ataques y los programas maliciosos, lee nuestro informe completo aquí.

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *