El 4 de marzo descubrimos una gran cantidad de correos electrónicos inusuales que nuestro producto Linux Mail Security estaba bloqueando. Todos los correos contenían el mismo PDF adjunto (MD5: 97b720519aefa00da58026f03d818251), pero se enviaron desde muchas direcciones diferentes.
Los correos estaban escritos en alemán y la mayoría se había enviado desde direcciones IP alemanas. Abajo se puede ver un mapa de la distribución de las direcciones:
Los nombres informáticos que se mencionan en los encabezamientos de los correos casi siempre eran del estilo Andreas-PC o Kerstin-Laptop (se han cambiado los nombres para proteger a los usuarios), lo que sugiere que se enviaron desde ordenadores domésticos.
Este es un ejemplo de correo:
Correo de muestra
Los nombres del PDF adjunto eran del estilo “Mahnung nombre del receptor.pdf” (Mahnung es “recordatorio” en alemán), y el exploit que se usó fue CVE-2010-0188 (Adobe Acrobat libtiff Remote Code Execution Vulnerability). Kaspersky ZETA Shield bloquea el PDF y lo detecta como Exploit.JS.CVE-2010-0188.e. El exploit no es fácil de detectar porque está escondido bajo dos capas de JavaScript.
Primera capa de Javascript
Segunda capa de Javascript
Shellcode decodificado
La segunda capa es muy similar al JavaScript que vimos en muchos ejemplares del Exploit BlackHole del año pasado. Si el exploit logra su cometido, descarga un ejecutable de seodirect-proxy.com/adobe-update.exe.
Kaspersky Lab detecta el malware que se descarga (MD5: 3772e3c2945e472247241ac27fbf5a16) como Trojan.Win32.Yakes.cngh. Contiene varias cadenas de códigos en italiano (“lastoriasiamo”, “famiglia”, “badalamenti”, impastato”), lo que podría hacer referencia a cuestiones de la mafia. También tiene la siguiente información de la versión:
Tal parece que BTP se refiere a conexiones del gobierno italiano y Bund a conexiones del gobierno alemán, por lo que “Spread BTP/Bund” es una forma de comparar sus diferencias.
El malware muestra el siguiente mensaje de error cuando se lo ejecuta:
Después se instala en el directorio temporal con un nombre aleatorio (ej. vlsnekunrn.pre) e intenta establecer contacto con zeouk-gt.com.
El pasado
Revisando los datos que recibimos en el pasado, notamos que durante varios meses se repitieron patrones similares cada 4 y 21 del mes.
Febrero de 2013
El 21 de febrero bloqueamos una gran cantidad de correos que contenían un PDF adjunto muy similar. Esta vez, los nombres del archivo adjunto incluían la palabra “Rechnung” (que significa “cuenta”) y la fecha (ej. Rechnung_201302.pdf y 2013_02rechnung.pdf). Los remitentes eran de varios países, incluyendo Sudáfrica, los Estados Unidos, Australia y Japón. Esta vez, los nombres de los equipos que se mencionaban en el encabezamiento de los correos parecían haberse generado al azar (ej. Ydopsgf y bxahwdkw), y llama la atención que el encabezamiento también hacía referencia al dominio zeus3.hostwaycloud.com.
El JavaScript decodificado de este exploit era casi idéntico a la muestra de arriba, pero el malware se descargó desde varias URLs:
allgaeu-heimatwerk.de/biznessler/typo3/sysext/t3skin/host.exe
corcagnani.de/host.exe
kkc-hannover.de/modules/mod_search/helper.exe
capital-success.de/pg/helper.exe
Enero de 2013
El 4 de enero, el ejemplar adoptó el nombre de Rechnung201301.pdf y el malware se descargó desde las siguientes URLs:
kohnle-gros.de/css/styleneu.exe
fairdealshop.co.uk/modules/mod_newsflash/helper.exe
emct.org.uk/downloads/server-stats.exe
Noviembre de 2012
El 21 de noviembre, el ejemplar se llamaba RECHNUNG000201211.pdf y descargaba el malware desde las siguientes URLs:
rocketmou.se/stuff/corduroyshop/corduroyshop.exe
coachplay.co.il/mapa/images/mapa.exe
El Futuro
Parece que esta es una operación muy bien montada y que va a perdurar. Por lo tanto, ten mucho cuidado con los mensajes que recibas el 21 de marzo y el 4 de abril. Pero ten en cuenta que los autores de la operación pueden cambiar la fecha de envío de mensajes en cualquier momento, así que mejor ser cauto todo el tiempo.
Recordatorio: cuidado con los correos que recibas el 21 de marzo