Mediyes – El dropper con una firma digital válida

Hace unos días se descubrió un programa malicioso con una firma válida. El malware es un dropper de 32 o 64 bits que Kaspersky Lab detecta como Trojan-Dropper.Win32.Mediyes o Trojan-Dropper.Win64.Mediyes, respectivamente.
Se identificaron numerosos archivos dropper que se firmaron en varias fechas entre diciembre de 2011 y el 7 de marzo de 2012. La compañía suiza Conpavi AG emitió todos los certificados. Se sabe que la compañía trabaja con agencias del gobierno suizo, como municipalidades y cantones.

Información sobre la firma digital de Trojan-Dropper.Win32.Mediyes

Todavía no conocemos el origen exacto de Trojan-Dropper.Win32/Win64.Mediyes, pero tenemos razones para creer que utiliza exploits para instalarse en los ordenadores.
El dropper de 32 bits almacena su propio controlador de 32 bits -cuyo nombre comienza con ‘HID’- en el directorio de controladores del sistema. Después, se elimina a sí mismo del sistema. El driver en sí no tiene una firma digital, pero eso no evita que funcione en un sistema Windows de 32 bits. El driver contiene una DLL que se copia en una carpeta del sistema que comienza con las letras ‘PNG’. La función principal del controlador es inyectar una DLL en un proceso de los navegadores de Internet. El controlador también oculta los componentes de Mediyes en el disco.
El dropper de 64 bits no tiene un controlador, inyecta el DLL directo en el navegador.
Kaspersky Lab detecta la DLL maliciosa como Trojan.Win32.Mediyes y el controlador como Rootkit.Win32.Mediyes.
Después de que se ejecuta la DLL, identifica el navegador que se está usando y comienza a interceptar solicitudes del navegador que se envían a los motores de búsqueda Google, Yahoo! y Bing. También reproduce todas las solicitudes en el servidor de los cibercriminales, que se encuentra en Alemania. Los delincuentes utilizan las solicitudes de búsqueda para ganar dinero como parte del programa de afiliados Search 123 que funciona con un sistema de pago por click (en inglés Pay-per-click o PPC). El servidor responde a las solicitudes de los usuarios con enlaces del sistema Search 123 que se pulsan sin que el usuario lo sepa. Esto hace que los criminales ganen dinero con clicks falsos.

Descripción del programa de afiliados Search123

Según los datos de KSN, el troyano DLL malicioso Trojan.Win32.Mediyes se identificó en los ordenadores de alrededor de 5.000 individuos, en su mayoría de Europa occidental – Alemania, Suecia, Suiza, Francia e Italia.

Distribución geográfica de Trojan.Win32.Mediyes

Está claro que el malware está dirigido a usuarios de Europa occidental. Hay evidencias que lo demuestran: el certificado es de una compañía suiza, el servidor está en Alemania, y se están interceptando sólo las solicitudes que se hicieron en los principales motores de búsqueda internacionales.
Hemos informado a VeriSign sobre la amenaza y le hemos pedido que revoque los certificados comprometidos.