Investigación

PAC: el problema de los scripts proxy maliciosos

1 – PAC: Proxy Auto-Config

Un archivo PAC o Proxy Auto-Config es un recurso reciente que se encuentra en todos los navegadores modernos. Define la forma en que los navegadores web y otros user agent eligen de manera automática el servidor proxy más apropiado (método de acceso) para buscar una determinada URL.

El formato original del archivo PAC fue diseñado originalmente por Netscape en 1996 para Netscape Navigator 2.0. Un navegador compatible con PAC permite el acceso a una lista de funciones definidas en la especificación original de Netscape. Cada navegador ejecuta el PAC en una sandbox y permite el acceso sólo a las funciones JavaScript necesarias para su funcionamiento. Por ejemplo, no es posible acceder al user agent del navegador en un archivo PAC, aunque esté disponible en una página web normal.

PAC es un archivo de texto que define al menos una función de JavaScript, FindProxyForURL(url, host), con dos argumentos: “URL” es la URL del objeto y “host” es el host-name derivado de la URL. Esta función devuelve una dirección de un servidor proxy que se usa para buscar una determinada URL, o un hilo “DIRECT”, si no se requiere un proxy. Por convención, el archivo PAC se llama proxy.pac.

Su aplicación en redes corporativas es en extremo útil para los administradores de redes porque les permite redirigir el tráfico interno. La localización de un archivo PAC está especificada, por ejemplo podría conducir a una URL en la que se encuentra el script; esta URL debe estar definida en la configuración del navegador:


Imagen 1: URL que conduce a un archivo PAC en Internet Explorer

O podría estar alojada localmente:


Imagen 2: Archivo PAC configurado localmente en Firefox

El archivo PAC puede proporcionar soporte en caso de una falla en el proxy, soporte de bypass avanzado para el proxy, y mucho más:

Instalación Ventajas Desventajas
PAC
  • Soporte en caso de una falla en el proxy.
  • Soporte de bypass avanzado/dinámico para el proxy, puede resolver hosts/IPs mediante DNS para reducir la complejidad de la lista del bypass.
  • Compatible con los navegadores más importantes.
  • La instalación suele requerir infraestructura de servidor web.
  • Requiere conocimientos de JavaScript.

Tabla 1: Ventajas y desventajas del uso de PAC

Las funciones compatibles y permitidas en el ambiente de la sandbox se documentan a continuación:

  • dnsDomainIs: Evalúa hostnames y responde “true” si coinciden.
  • shExpMatch: Busca coincidencias entre un hostname o URL con una determinada expresión Shell, y responde “true” cuando hay coincidencia.
  • isInNet: Evalúa la dirección IP de un hostname, y responde “true” si la encuentra en una determinada subred. Si se aprueba un hostname, la función envía el hostname a una dirección IP.
  • myIpAddress: Devuelve la dirección IP al equipo host.
  • dnsResolve: Envía los hostnames a una dirección IP. Esta función sirve para reducir la cantidad de búsquedas de DNS.
  • isPlainHostName: Esta función responde “true” si el hostname no contiene puntos, por ejemplo, “http://intranet”. Sirve para aplicar excepciones para sitios web internos ya que elimina la necesidad de enviar un hostname a su dirección IP para determinar si es local.
  • localHostOrDomainIs: Evalúa un hostname y responde “true” sólo si se ha encontrado una coincidencia exacta.
  • isResolvable: Intenta enviar un hostname a una dirección IP y responde “true” cuando lo logra.
  • dnsDomainLevels: Esta función muestra el número de niveles de dominio DNS (número de puntos) en el hostname. Sirve para hacer excepciones para sitios web internos que usan nombres DNS cortos, por ejemplo, “http://intranet”.
  • timeRange, dateRange, weekdayRange: Permite reglas en función del tiempo, por ejemplo, activar un proxy sólo en determinadas horas, días o meses.
  • alert: La función alert() no es parte de la especificación original PAC, aunque Internet Explorer y Firefox son compatibles con ella. Esta función sirve para que el usuario final pueda ver el resultado de una variable o el resultado de una función. Sirve para resolver problemas de reglas con el archivo PAC.

Este es un ejemplo de un archivo PAC:


Imagen 3: Ejemplo de un archivo PAC genérico

Web Proxy Auto-Discovery Protocol (WPAD)

En una variación de un archivo PAC estándar, Web Proxy Auto-Discovery Protocol (WPAD) es un método para que los equipos Windows detecten qué equipo usar como proxy para el tráfico HTTP(S). Un navegador compatible con DHCP y DNS localiza un archivo PAC mediante DHCP, y en caso de que no exista una configuración DHCP, se produce una falla en DNS WPAD.

Al igual que los archivos PAC, el método WPAD también tiene sus ventajas y desventajas cuando se aplica en redes corporativas:

Instalación Ventajas Desventajas
WPAD
  • Incluye todas las ventajas PAC
  • La instalación sólo requiere marcar una casilla.
  • Incluye todas las desventajas de PAC.
  • Es necesario realizar cambios en la infraestructura DNS o DHCP.

Tabla 2: Ventajas en el uso de WPAD

El proceso de encontrar un proxy web con WPAD funciona así:

  1. ¿He recibido una entrada WPAD en mi asignación DHCP? Si “Sí”, saltar a #4.
  2. Preguntar al servidor DNS qué usuario de la red se llama “wpad” (o wpad.[mydomain.com]). Saltar a #4 si la búsqueda tuvo éxito.
  3. Transmitir un mensaje NetBIOS Name Service y pedir “WPAD”.  Continuar a #4 si alguien en la red se identifica como “WPAD”, en caso contrario no usar ningún proxy web.
  4. Descargar el archivo http://wpad/wpad.dat
  5. Usar la dirección IP definida en wpad.dat como el proxy web para todo el tráfico web HTTP y HTTPS.

La funcionalidad WPAD de Windows por muchos años ha permitido a atacantes y pentesters una sencilla forma de lanzar ataques MITM en el tráfico web.

El programa malicioso Flame utilizó este método para las conexiones MITM Windows Update en una red infectada.

El problema con la instalación de WPAD en Windows es que utiliza NetBIOS Name Service (NBNS) para resolver la dirección del servidor “WPAD”, y NBNS es vulnerable a ataques tipo spoofing.

Por defecto, los equipos Windows están configurados de tal manera que primero pide un nombre al servidor WINS, y si el servidor WINS no está configurado (lo cual es muy probable), entonces pregunta a todos los ordenadores en una subred local si conocen la dirección de un ordenador con ese nombre. Y es aquí donde interviene el spoofing.


Imagen 4: NetBIOS Name Service en busca de WPAD

El atacante podría desarrollar una aplicación que escuche al puerta UDP 137 y responda a todas las búsquedas de WPAD con la dirección del servidor web del atacante. A su vez, el servidor web puede proporcionar un archivo PAC malicioso que hará que el navegador de la víctima use determinados servidores proxy para buscar sitios web específicos.

2 – PAC: el “Problem Auto-Config”

Aunque se trata de una función legítima, desde el año 2005 se sabe que es posible dar un uso malicioso a los archivos PAC. Los ciberdelincuentes brasileños mejoraron y refinaron esta técnica y después la compartieron con sus pares de Turquía y Rusia.

Estos ataques han alcanzado un nivel de complejidad y efectividad nunca antes visto, siendo ahora posible el uso de un archivo de 1KB para hackear toda una cuenta bancaria. Con una combinación de mucha creatividad y ataques al paso, estos scripts maliciosos pueden lograr mucho más que los sencillos ataques tipo man-in-the-middle, ya que pueden imitar conexiones HTTPS mediante furtivos ataques desde la web que pueden lanzarse de forma regular y exitosa. Suelen desviar a los usuarios a páginas phishing de bancos, compañías de tarjetas de crédito, etc.

En Brasil, el uso de archivos PAC maliciosos en troyanos bancarios se ha incrementado desde 2009, cuando varias familias como Trojan.Win32.ProxyChanger comenzaron a inyectar las URLs de archivos PAC en el navegador de los equipos infectados.


Imagen 5: Página phishing de un banco brasileño en un navegador web configurado con un archivo PAC malicioso

Hoy en día, al menos 6 de cada 10 troyanos banqueros brasileños poseen una función que puede añadir un archivo PAC malicioso en la configuración del navegador.


Imagen 6: Texto malicioso de un archivo PAC creado y usado por ciberdelincuentes brasileños

Algunos troyanos también intentaban cambiar el archivo prefs.js que Mozilla Firefox usa para la configuración proxy:


Imagen 7: Troyano bancario preparado para cambiar prefs.js en Firefox

El ataque es muy sencillo ya que todo lo que el troyano necesita hacer es cambiar este valor único en Windows Registry, añadiendo una URL al archivo PAC:

HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings: “AutoConfigURL = http://www.sitiomalicioso.com/pacscript.pac

O añadir una ruta hacia un pequeño archivo (por lo general de menos de 1KB) alojado localmente:

HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,AutoConfigURL = file://C:/WINDOWS/proxy.pac

Algunos ataques también cambiaban los valores de la llave que mostramos abajo, responsable de configurar un auto-proxy en el nombre de la conexión de Internet:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsConnections{CONNECTION NAME}

Los ciberdelincuentes pueden multiplicar sus opciones de ataques, y la cantidad potencial de víctimas, combinando esta técnica con ataques al paso, explotando vulnerabilidades de Java o inyectando applets maliciosos en sitios web populares, o incluso utilizando paquetes de exploits como BlackHole.


Imagen 8: Fragmento de la carga de un paquete de exploits BlackHole utilizado por ciberdelincuentes brasileños para cambiar la configuración PAC del ordenador de la víctima

Es tan efectivo que troyanos bancarios rusos como Trojan-Banker.Win32.Capper también comenzaron a usar la misma técnica en 2012, junto a certificados digitales falsificados para desviar a los usuarios a una página phishing HTTPS.

Algunos ciberestafadores decidieron recurrir a la ingeniería social para engañar al usuario y mantener la URL maliciosa en la configuración del navegador mediante nombres de dominio falsos que aparentan ser legítimos. Estos son algunos ejemplos:

http://egcon.com.br/images/avast.pac
http://defaultcache.com.br/ie
http://vpn.install-pcseguro.com/ssl.js
http://update.microsoft.com.br-ieconfig.ma.cx/security.jsp
http://sec.autoatt.com/
http://ww1.appsegurancamobile.com/kb2438658.php

Como parte de la detección y protección que ofrecemos a nuestros usuarios, comenzamos a bloquear URLs que apuntaban a archivos PAC maliciosos. Como respuesta, algunos troyanos adoptaron URLs aleatorias, cambiándolas cada vez que se reiniciaba el equipo. Otros troyanos comenzaron a usar URLs cortas de servicios como BIT.ly, con el fin de controlar los desvíos y obtener datos estadísticos.


Imagen 9: Una URL de BIT.ly que apunta a un archivo PAC con más de 1 millón de pulsaciones en 10 días

Al notar que las listas de rechazados no eran la protección adecuada, decidimos crear detecciones de firmas para estos pequeños archivos PAC, usando el veredicto Trojan-Banker.JS.Proxy. Lo hicimos para una gran cantidad de archivos:


Imagen 10: Algunas detecciones de firmas de archivos PAC maliciosos

Nuestro juego del gato y el ratón con los ciberdelincuentes brasileños comenzaba a ponerse más interesante.

3 – PAC: Pequeño-Archivo-Criminal

A medida que algunas compañías antivirus comenzaron a trabajar en la detección de firmas de scripts PAC maliciosos, la respuesta llegó en forma de una mayor ofuscación del código en un intento de burlar la detección.

Y esto tuvo éxito: incluso hoy en día, la mayoría de las compañías antivirus poseen un bajo índice de detección de estos PACs maliciosos. Se trata de una función legítima de los navegadores y puesto que existen PACs legítimos, una variedad de productos de seguridad son extremadamente cuidadosos en sus detecciones para evitar falsos positivos.

Algunos de ellos no pueden ofrecer ninguna solución a este problema.

Los ciberdelincuentes brasileños comenzaron a usar todo tipo de ofuscación JavaScript en estos archivos PAC maliciosos a fin de burlar la detección de firmas. Algunos llegaron más lejos, con la creación de herramientas para automatizar esta ofuscación y su comercialización entre sus pares del ciberhampa a un precio de unos 2500 dólares americanos.


Imagen 11: Programa malicioso “PAC do Baixada” desarrollado en Brasil para ofuscar el código de PACs maliciosos

O usando algunos sitios web que ofrecen cifrado Javascript:


Imagen 12: Herramienta online para cifrar Javascript

Esto lanzó en Internet algunos inusuales scripts maliciosos cifrados

que tenían todo tipo de ofuscaciones, como éste, con hilos concatenados:


Imagen 13: PAC con hilos concatenados

O este con hilos espejados:


Imagen 14: PAC con hilos espejados

Otros decidieron remplazar el nombre de los dominios atacados con el script o con la IP de la página web:


Imagen 15: PAC con IPs en lugar de nombres de dominio

Aparecieron otros con avanzada ofuscación JavaScript:


Imagen 16: PAC malicioso con densa ofuscación

Otros scripts comenzaron cifrar para añadir muchos símbolos basura:


Imagen 17: PAC maliciosa con símbolos basura y charcode

En algunos archivos PAC, los ciberdelincuentes incluso comenzaron a enviar mensajes de advertencia a analistas antivirus, como en este caso:


Imagen 18: El mensaje en la parte superior del PAC dice: “C…! Por qué estos h… de p… están husmeando (mis PACs)? Vamos, id a chu…, dejadme trabajar en paz, necesito alimentar a mi familia, h… de p…, dejadme en paz!! Si queréis trabajar conmigo, enviadme un mensaje a xxxxxx@bol.com.br”

En otro PAC malicioso comenzaron a enviar saludos a sus nefastos colegas:


Imagen 19: El mensaje dice: “no tratéis de borrar o modificar este archivo, ni de husmear, informar, bloquear o publicar en Twitter. Los demonios del infierno recompondrán todo y todos acabarán felices al final. Saludos a los ladrones (varios apodos)”

Disección de un PAC malicioso

Observemos con detenimiento este ejemplo. El contenido del PAC está cifrado con XOR:


Imagen 20: PAC malicioso con cifrado XOR

Utilizando la llave específica XOR para descifrar el script, encontramos una extensa lista de blancos, entre los cuales figuran:

  • Bancos brasileños y latinoamericanos.
  • Compañías de tarjetas de crédito.
  • Aerolíneas, para robar millas acumuladas en programas de fidelidad.
  • Servicios de correo web, como Gmail, Hotmail, Yahoo.
  • Sistemas de pago como Paypal, PagSeguro, etc.
  • Servicios de información financiera, como Serasa Experia,
  • Sitios web B2C, especialmente los sitios más populares de comercio online.

En este ejemplo, todas estas URLs se buscan con el proxy  “att.nossodomain2.me”:
rrr+mjqhdli+fjh :  www.hotmail.com
mjqhdli+fjh :  hotmail.com
mjqhdli+fjh+gw :  Hotmail.com.br
rrr+mjqhdli+fjh+gw :  www.hotmail.com.br
hvk+fjh :  msn.com
rrr+hvk+fjh :  www.msn.com
ils+fjh :  live.com
rrr+ils
+fjh :  www.live.com
rrr+lqdp+fjh+gw :  www.itau.com.br
rrr+gdkfjlqdp+fjh+gw :  www.bancoitau.com.br
gdkfjlqdp+fjh+gw :  bancoitau.com.br
lqdp+fjh+gw :  itau.com.br
rrr+lqdpuwvjkkdilq+fjh+gw :  www.itaupersonnalite.com.br
lqdpuwvjkkdilq+fjh+gw :  itaupersonnalite.com.br
rrr+vwdvd+fjh+gw :  www.serasa.com.br
v
wdvd+fjh+gw :  serasa.com.br
vwdvd}uwldk+fjh+gw :  serasaexperian.com.br
rrr+v
wdvd}uwldk+fjh+gw :  www.serasaexperian.com.br
rrr+vdkqdkaw+fjh+gw :  www.santander.com.br
vdkqdka
w+fjh+gw :  santander.com.br
rrr+vdkqdkawkq+fjh+gw :  www.santandernet.com.br
vdkqdkawkq+fjh+gw :  santandernet.com.br
rrr+gdkwlvpi+fjh+gw :  www.banrisul.com.br
gdkwlvpi+fjh+gw :  banrisul.com.br
rrr+mvgf+fjh+gw :  www.hsbc.com.br
mvgf+fjh+gw :  hsbc.com.br
dhwlfdk}uwvv+fjh+gw :  americanexpress.com.br
rrr+dh
wlfdk}uwvv+fjh :  www.americanexpress.com
dhwlfdk}uwvv+fjh :  americanexpress.com
rrr+gdk
v+fjh+gw :  www.banese.com.br
gdk
v+fjh+gw :  banese.com.br
rrr+gwda
vfjuo+fjh+gw :  www.bradescopj.com.br
gwdavfjuo+fjh+gw :  bradescopj.com.br
gwda
vfjkqhuwvd+fjh+gw :  bradesconetempresa.com.br
rrr+gwda
vfjkqhuwvd+fjh+gw :  www.bradesconetempresa.com.br
rrr+gwda
vfj+fjh+gw :  www.bradesco.com.br
rrr+gwdavfjuwlh+fjh+gw :  www.bradescoprime.com.br
gwdavfj+fjh+gw :  bradesco.com.br
gwda
vfjuwlh+fjh+gw :  bradescoprime.com.br
uwlh
+fjh+gw :  prime.com.br
rrr+gwdavfjuvvjdopwlalfd+fjh+gw :  www.bradescopessoajuridica.com.br
gwdavfjuvvjdopwlalfd+fjh+gw :  bradescopessoajuridica.com.br
rrr+gg+fjh+gw :  www.bb.com.br
gg+fjh+gw :  bb.com.br
gdkfjajgwdvli+fjh+gw :  bancodobrasil.com.br
rrr+gdkfjajgwdvli+fjh+gw :  www.bancodobrasil.com.br
rrr+fdl}d+fjh+gw :  www.caixa.com.br
rrr+fdl}d+bjs+gw :  www.caixa.gov.br
rrr+fdl}dfjkjhlfd+fjh+gw :  www.caixaeconomica.com.br
rrr+fdl}d
fjkjhlfd+bjs+gw :  www.caixaeconomica.gov.br
rrr+fdl}dfjkjhlfdcawdi+fjh+gw :  www.caixaeconomicafederal.com.br
rrr+fdl}d
fjkjhlfdcawdi+bjs+gw :  www.caixaeconomicafederal.gov.br
rrr+fc+fjh+gw :  www.cef.com.br
rrr+f
c+bjs+gw :  www.cef.gov.br
fdl}d+fjh+gw :  caixa.com.br
fdl}d+bjs+gw :  caixa.gov.br
fdl}dfjkjhlfd+fjh+gw :  caixaeconomica.com.br
fdl}d
fjkjhlfd+bjs+gw :  caixaeconomica.gov.br
fdl}dfjkjhlfdcawdi+fjh+gw :  caixaeconomicafederal.com.br
fdl}d
fjkjhlfdcawdi+bjs+gw :  caixaeconomicafederal.gov.br
fc+fjh+gw :  cef.com.br
f
c+bjs+gw :  cef.gov.br
rrr+vlfwal+fjh+gw :  www.sicredi.com.br
vlfw
al+fjh+gw :  sicredi.com.br
rrr+udbvbpwj+fjh+gw :  www.pagseguro.com.br
udbv
bpwj+fjh+gw :  pagseguro.com.br
udbvbpwj+pji+fjh+gw :  pagseguro.uol.com.br
flqlgdkn+fjh+gw :  citibank.com.br
rrr+flqlgdkn+fjh+gw :  www.citibank.com.br
ud|udi+fjh :  paypal.com
rrr+ud|udi+fjh :  www.paypal.com
gkg+bjs+gw :  bnb.gov.br
rrr+gkg+bjs+gw :  www.bnb.gov.br
rrr+gwg+fjh+gw :  www.brb.com.br
gwg+fjh+gw :  brb.com.br
lkqjpfm+pklqcjpw+fjh+gw :  intouch.unitfour.com.br
dduo+gg+fjh+gw :  aapj.bb.com.br
f
qih+fjh+gw :  cetelem.com.br
rrr+fqih+fjh+gw :  www.cetelem.com.br
vdcwd+fjh+gw :  safra.com.br
rrr+vdcwd+fjh+gw :  www.safra.com.br
gdkwlvpi+fjh+gw :  banrisul.com.br
rrr+gdkwlvpi+fjh+gw :  www.banrisul.com.br
gdvd+fjh+gw :  basa.com.br
rrr+gdvd+fjh+gw :  www.basa.com.br
rrr+umlvmqdkn+fjh :  www.phishtank.com
umlvmqdkn+fjh :  phishtank.com
rrr+qmw
dq}uwq+fjh :  www.threatexpert.com
qmwdq}uwq+fjh :  threatexpert.com
rrr+slwpvqjqdi+fjh+gw :  www.virustotal.com.br
slwpvqjqdi+fjh+gw :  virustotal.com.br
slwpvvfdk+fjh :  virusscan.com
rrr+slwpvvfdk+fjh :  www.virusscan.com
rrr+ilkmda
ckvlsd+jwb :  www.linhadefensiva.org
ilkmda
ckvlsd+jwb :  linhadefensiva.org
bji+fjh+gw :  gol.com.br
rrr+bji+fjh+gw :  www.gol.com.br
rrr+sj
bji+fjh+gw :  www.voegol.com.br
sjbji+fjh+gw :  voegol.com.br
vdcwdk
q+fjh+gw :  safranet.com.br
rrr+vdcwdk`q+fjh+gw :  www.safranet.com.br
dh3:  att.nossodomain2.me

Si se configura el script PAC malicioso en un navegador y se intenta acceder a estas páginas, la URL que aparece en la barra de direcciones parece legítima, pero en realidad se trata de una página phishing. El resultado es que muchos usuarios infectados son víctimas de estos ataques sin que se den cuenta.

Esta lista también incluye varios servicios de seguridad, como PhishTank, VirusTotal, ThreatExpert, VirusScan, LinhaDefensiva.org. El PAC malicioso bloquea el acceso a estos sitios, y en su lugar instruyen al navegador que use el servidor proxy 127.0.0.1 para buscarlos.

Tras un análisis en detalle del dominio malicioso hacia donde se desvía el tráfico, encontramos las páginas phishing elaboradas por los ciberestafadores. Todas tienen nombres interesantes, algunos de los cuales mostramos como ejemplo:

URL phishing Blanco
att.nossodomain2.me/peipau Paypal
att.nossodomain2.me/citi Citibank
att.nossodomain2.me/desco Bradesco Bank
att.nossodomain2.me/santa Santander Bank
att.nossodomain2.me/bb Banco do Brasil
att.nossodomain2.me/taui Itau Bank
att.nossodomain2.me/tamtam TAM (Brazilian airline company)
att.nossodomain2.me/azulinha Caixa Bank

Tabla 3: Algunas URLs phishing que usa un PAC malicioso, y sus blancos

Otros scripts también bloquean el acceso a los sitios y los servidores de actualización de varios productos antivirus:


Imagen 21: Un PAC malicioso bloqueando el acceso a servidores de actualización antivirus

Al usuario infectado que intenta acceder al sitio de una compañía antivirus, se le muestra este mensaje:


Imagen 22: Falso mensaje “Servicio no disponible, inténtelo nuevamente más tarde” que le muestra un PAC malicioso al usuario infectado

Si el usuario intenta buscar ayuda para eliminar el programa malicioso en foros antivirus, el PAC malicioso también bloquea el acceso a estos sitios, especialmente al sitio brasileño LinhaDefensiva.org que ofrece ayuda gratuita para la eliminación de programas maliciosos.

Algunos PACs desvían al usuario a una página falsa que imita un mensaje BSOD:


Imagen 23: ¿Un BSOD en el navegador? No, es un mensaje falso que aparece cuando el usuario infectado intenta acceder a LinhaDefensiva.org

Al parecer, estos PACs maliciosos son una herramienta de ataque “multipropósito” que no sólo desvía a los usuarios hacia páginas phishing para robarles sus datos financieros, sino que también bloquea el acceso a sitios web de compañías o comunidades antivirus a las que el usuario infectado podría pedir ayuda para desinfectar su equipo. Estos PAcs pueden incluso neutralizar la eficacia de PhishTank para que sus páginas phishing aparezcan como seguras para el navegador.

Viendo la efectividad de estos ataques contra las cuentas de banca online, esta técnica se ha aplicado con otros blancos, con el mismo afán de robar dinero. Un ejemplo reciente es el desvío hacia páginas phishing que imitan a la legítima mtgox.com, el mercado más popular del dinero virtual Bitcoin:


Imagen 24: El dinero virtual Bitcoin también en la mira de los PACs maliciosos

Otras estafas desviaban a los usuarios desde páginas web populares a páginas de aterrizaje, llenas de avisos y enlaces patrocinados, con el objetivo de generar tráfico y lograr visualizaciones para lucrar a costa de los servicios de avisos patrocinados, como Google Adwords.


Imagen 25: busca.afiliados.pac

Otro PAC malicioso buscaba robar contraseñas de servicios web gubernamentales, como consultasintegradas.rs.gov.br, un sitio web que aloja datos de ciudadanos de Rio Grande do Sul, un estado brasileño:


Imagen 26: Servicio web estatal brasileño atacado por un PAC malicioso

4 – PAC: Planes-Anti-Crimen

Desde 2009 los ciberdelincuentes brasileños han preferido los PACs maliciosos en navegadores para robar cuentas bancarias. Es una forma silenciosa y efectiva contra la cual no todos los productos de seguridad tienen una respuesta.

Este tipo de ataque les permite a los ciberestafadores brasileños robar mucho dinero, especialmente de bancos locales. La Federación Brasileña de Bancos (FEBRABAN) anunció que sus miembros habían perdido considerables sumas de dinero, 1200 millones de reales, , unos 700 millones de dólares, en el año 2012.

Los datos estadísticos sobre la familia Trojan.Win32.ProxyChanger confirman su extensa propagación en Brasil y Rusia:


Imagen 27: Países más afectados por el troyano Trojan ProxyChanger en el primer semestre de 2013: Brasil, Portugal y Rusia

Se repite la historia con la familia Trojan-Banker.JS.Proxy, el archivo PAC malicioso, con Brasil y Rusia a la cabeza:


Imagen 28: Países más afectados por Trojan-Banker.JS.Proxy en el primer semestre de 2013

El escenario es el mismo para Trojan-Banker.PAC.Agent, un troyano bancario diseñado para cambiar el proxy en el navegador:


Imagen 29: Países más afectados por Trojan-Banker.PAC.Agent en el primer semestre de 2013

¿Cómo se puede detectar? El PAC malicioso recurre a una densa ofuscación para evitar la detección de firmas, de manera que la forma básica para enfocar el problema es sometiendo estos scripts a la detección heurística. Esto también toma en cuenta la amplia existencia de PACs legítimos que suelen encontrarse en los ambientes corporativos.


Imagen 30: Un PAC legítimo usado en una red universitaria

El método de detección que usan los productos de Kaspersky Lab se basa en la emulación JavaScript: el emulador llama a la función FindProxyForURL con varias direcciones de bancos y verifica los resultados. Si la función muestra una dirección proxy para sitios web de bancos, y “DIRECT” para otros sitios web, entonces procede la detección.

Esta técnica permite una detección proactiva de un archivo PAC, ya que los resultados de la emulación seguirán siendo los mismos, cualquiera que sea la ofuscación del archivo.


Imagen 31: Detección heurística en acción

Nuestra última solución para el problema es Safe Money. Este conjunto de funciones incluye la verificación SSL en la nube, que verifica si una página web es legítima y envía una advertencia al usuario si hay algún problema con el certificado de seguridad:


Imagen 32: Safe Money verifica la legitimidad de las páginas web y protege los navegadores contra infecciones

Conclusión

Estos scripts maliciosos quedan fuera del alcance del radar de la mayoría de las compañías antivirus; algunas han fracasado rotundamente en detectar y bloquear estos ataques. Nuestro objetivo es alentar a todas las compañías antivirus para que consideren este vector de ataque y trabajen de forma conjunta para ofrecer una mejor protección y contramedidas eficaces. Hoy en día, los ciberdelincuentes están muy concentrados en burlar las medidas de seguridad y están invirtiendo recursos en herramientas capaces de ofuscar los códigos para que puedan seguir robando furtivamente el dinero de las cuentas de sus víctimas.

PAC: el problema de los scripts proxy maliciosos

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada