Nuevos trucos de Cerber: proxy Tor2Web y redirecciones Google

Desde la semana pasada, Cisco viene haciendo un seguimiento a una campaña dirigida a propagar una nueva versión Cerber mediante redireccionamientos de Google y los servicios proxy de Tor2Web. Según la unidad de investigación de la empresa Talos, los distribuidores de este malware cifrador por lo general lanzan sus ataques enviando mensajes spam con un diseño impecable y un archivo adjunto malicioso.

“Esta campaña se diferencia porque los mensajes no contienen adjuntos, son pequeños y muy breves,” escriben los investigadores en su blog. Según Talos, la nueva campaña de spam a favor de Cerber tiene ciertas similitudes con los esfuerzos de los distribuidores de Locky, que prefieren utilizar archivos de script para difundir estos troyanos.

Talos caracteriza la actual campaña de Cerber como “un nuevo eslabón en la evolución de los métodos de propagación de malware cifrador”, que hace un uso activo de Tor y Dark Web para ocultar el ataque y evitar represalias.

Los investigadores de Cisco descubrieron que los propagadores de Cerber 5.0.1 han renunciado a los adjuntos y ahora usan spam que contiene direcciones URL. El mensaje malicioso propone al destinatario que siga un enlace para descargar un archivo, que supuestamente contiene información de interés para él: una foto divertida, detalles de un pedido o de transacción, la confirmación de un préstamo, etc.

“El clic en el hipervínculo envía a la víctima a una redirección de Google, que hace que el navegador llegue a un documento Word malicioso, ubicado en la Dark Web”, explica Nick Biasini, de Cisco Talos. “Como para entrar a la Dark Web se necesita un navegador Tor, los autores del ataque vincularon las redirecciones al servicio de proxy Tor2Web “.

La utilización de Tor2Web permite a un atacante colocar sus archivos en la Dark Web, donde es difícil encontrarlos y bloquearlos. Como señalaron los investigadores, “el uso de los servicios de proxy como Tor2Web proporciona acceso a la red Tor sin necesidad de instalar el cliente Tor en el equipo local de la víctima”.

“Hemos observado más de una vez que el malware extorsionador usa la red Tor”, comenta Biasini. “Pero esta red la usaban sobre todo para la comunicación con el servidor de administración y el envío de amenazas a las víctimas junto con la exigencia de pagar un rescate e instrucciones de uso de las billeteras Bitcoin. La versión más reciente de Cerber (5.0.1) representa interés para los investigadores porque todas la actividades maliciosas del malware tienen lugar en la red Tor”.

La aparición Cerber 5.0.1 no suprime sus encarnaciones y tecnologías anteriores. Según Byazini, la mayoría de los miembros de esta familia se difunde mediante métodos tradicionales: a través del paquete de exploits RIG y adjuntos en el spam. “Esta campaña es importante porque muestra a los enemigos de Cerber una nueva etapa de su evolución”.

El cifrador Cerber es famoso, sobre todo porque sabe expresar sus demandas de viva voz. Se lo descubrió por primera vez en febrero fuera de laboratorio, y en ese momento se propagaba con la ayuda del paquete de exploits Magnitud o Nuclear. En mayo, los observadores de FireEye registraron un fuerte aumento del flujo de spam Cerber procedente de las botnets que antes se utilizaban para distribuir el troyano bancario Dridex. En agosto, apareció una versión Cerber liberado bajo franquicia. “Los últimos meses Cerber continúa cambiando de táctica y su evolución es rápida”, constató Byazini.

Según los investigadores, en el documento de Word que se utiliza en la actual campaña de Cerber hay un macro malicioso incrustado. “Si la víctima abre el documento de MS Word malicioso y habilita la macro, el programa de descarga usará el procesador de comandos de Windows para hacer una llamada a PowerShell y este cargará (utilizando Tor2Web) y ejecutará el archivo de destino PE32 de Cerber”, escriben en Talos.

Cerber 5.0.1 exige un rescate de 1,4 Bitcoins, unos mil dólares. Si la víctima no realiza el pago en cinco días, esta cantidad se duplica.

“La última campaña de malware ha demostrado que las amenazas basadas en software de extorsión continúan evolucionando y ganando fuerza”, escriben los investigadores. “El proceso de infección se complica con el tiempo, los autores de los ataques prueban nuevos métodos en un esfuerzo por evitar la detección y hacer más difícil el análisis”.

Para reducir los riesgos, Talos recomienda bloquear todo el tráfico Tor2Web y Tor en la red corporativa: “Las organizaciones necesitan decidir si Tor y Tor2Web son imprescindibles para sus negocios y si permitirlos justifica los riesgos potenciales para los usuarios de la red”.

Fuentes: Threatpost