Nueva ola de spam enviada por Cerber

Cerber ataca de nuevo: este terrible criptobloqueador ahora se está distribuyendo como parte de la agresiva campaña de spam Blank Slate cuyos autores prefieren utilizar servicios legales de proveedores de alojamiento para difundir malware.

Según los observadores de ISC SANS, hasta hace poco estos envíos masivos de spam se utilizaban para distribuir Sage 2.0 y Locky, pero ahora la carga principal de Blank Slate es Cerber.

Según el investigador de seguridad informática Brad Duncan, Blank Slate se perfiló como campaña independiente en julio del año pasado. Desde entonces, se han hecho varios intentos para eliminarla, pero Blank Slate los sobrevivió con éxito, ya que sus autores crean constantemente en los proveedores de alojamiento nuevos servidores para propagar malware.

La campaña de spam recibió su nombre (Blank Slate, “tábula rasa”) debido que el campo Asunto: y el cuerpo del mensaje no contenían ningún texto. Los mensajes de correo electrónico sólo contienen un archivo zip adjunto que a su vez contiene un archivo JavaScript y un documento Word malicioso. Duncan cree que esas trampas son demasiado obvias, pero los atacantes parecen estar convencidos de que bastan para evadir las soluciones de seguridad.

Este esquema de entrega de malware es bastante común: si se hace doble clic para abrir el archivo JavaScript o activar el macro del documento, se carga Cerber en el equipo (desde un servidor). Durante el último año este extorsionador se ha convertido en una amenaza seria, que constantemente mejora y pone a prueba nuevos trucos. Por ejemplo, a comienzos de esta semana, investigadores de Deep Instinct informaron que, para evitar ser detectada, la actual modificación de Cerber utilizó una nueva infraestructura que permite el uso de un instalador NSIS (Windows utiliza este sistema de instalación).

Los expertos de ISC SANS descubrieron que el apetito de los dueños de Cerber había aumentado: si antes cobraban 500 dólares por la clave de descifrado, ahora exigen el doble (1 bitcoin).

Blank Slate se diferencia por tener bien organizada la rotación de servicios de proveedores de alojamiento, lo que le ayuda a extender la vida útil del malware. En febrero los investigadores de Palo Alto Networks identificaron 500 dominios asociados a esta campaña de spam. “Estos dominios maliciosos se bloquearon rápidamente, pero los autores de Blank Slate registraron inmediatamente nuevos, con lo que se puso en evidencia que el abuso de los servicios legítimos de los proveedores de alojamiento tiene carácter cíclico”, escribe Duncan.

El investigador explicó a Threatpost: “Es fácil hacer un pedido para crear una cuenta en un proveedor de alojamiento. El delincuente sólo necesita especificar un correo electrónico válido, un número de teléfono y un número de tarjeta de crédito. Esto le da el derecho a crear nuevos servidores; aparecen las quejas, el proveedor de alojamiento deshabilita los servidores, pero los atacantes crean otros nuevos.”

Los costos de mantener este ciclo son insignificantes. “Se puede crear una nueva cuenta de correo electrónico gratuitamente”, escribe Duncan. “Los teléfonos desechables son baratos, cuestan sólo 20 dólares”. Los números de tarjeta de crédito robados se pueden comprar en el mercado negro por 5 dólares.

Palo Alto cree que para enviar spam, Blank Slate usa un conjunto de hosts regados por todo el mundo y todo parece indicar que están reunidos en una botnet.

En las pruebas hechas con el archivo JavaScript se encontró una solicitud HTTP GET enviada al archivo binario del extorsionador. “El tráfico post viral fue idéntico al de las demás muestras recientes de Cerber”, escribe Duncan en el blog de ISC SANS. “Al principio se observaba tráfico UDP en el puerto 6892 del host infectado. Luego seguía el tráfico HTTP enviado a un dominio que comienza con P27DOKHPZ2N7NVGR y termina en .top. Las direcciones IP para el tráfico UDP se alternan cada 1 o 2 semanas (o más). Los dominios http utilizados después de la infección se cambian con más frecuencia”.

Las instrucciones de descifrado, según el investigador, aparecen en el escritorio como tres archivos diferentes: de texto, de gráficos y HTA. En todos los casos, el nombre del archivo comienza con _READ_THIS_FILE_.

Duncan concluye su publicación en el blog de Palo Alto: “Los dominios y direcciones IP asociadas con Blank Slate cambian constantemente. Mientras los programas de extorsión estén la orden del día, el spam malicioso será un fenómeno cotidiano, tanto en su variante selectiva, como en la masiva”.

Fuentes: Threatpost

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *