“RunForestRun”, “gootkit” y nombres de dominio generados al azar

Hace poco encontramos un malware de red que, en vez de inyectar un iframe en una dirección específica, genera un nombre de dominio casi al azar que cambia según la fecha. Las redes zombi utilizan este método con frecuencia para generar nombres de dominio, pero no es común en el malware de redes que hemos visto hasta ahora.

Después de deshacer la ofuscación, el iframe redirige a la URL maliciosa con el nombre de dominio anexado al archivo HTML. Todas las URL tienen 16 letras que se supone que se escogieron al azar, pertenecen al dominio .ru y ejecutan un script PHP en el lado del servidor con el sid=botnet2 como argumento:

Se genera un nuevo nombre de dominio a diario, así que incluir las URL maliciosas en las listas de rechazados a medida que van apareciendo es como perseguir tu propia sombra. Por suerte, conocemos el algoritmo que utilizan los criminales y podemos predecir los nombres de dominio que aparecerán cada día. Kaspersky detecta este malware como Trojan-Downloader.JS.Agent.gsv.

Una versión más reciente del mismo malware es aún más engañosa: en vez de inyectar código ofuscado en el archivo JS plano, codifica todo el contenido del archivo infectado para esconder el código malicioso al entremezclarlo con el limpio:

Este malware no es tan fácil de detectar: no tiene una “firma” específica (como la cadena de caracteres del sector de comentarios en el ejemplo anterior), y los archivos infectados difieren mucho entre sí porque la versión ofuscada depende del contenido limpio. Es más, como el archivo entero está codificado, no se puede apuntar al sector malicioso para eliminarlo. Por eso no es tan fácil deshacerse de este malware sin dañar el sitio web. Si no tienes copias limpias sin ofuscar de los archivos infectados, debes decodificar estos archivos para limpiar el contenido, lo que puede ser muy difícil.

Después de quitar la primera capa de ofuscación con sólo cambiar la función eval() a la función alert() o print(), podemos ver más códigos ofuscados:

La segunda capa de ofuscación utiliza el nombre de dominio para codificar el contenido del archivo. Por ejemplo, si la URL del archivo infectado es: hxxp://www.somesubdomain.example.com/file-to-infect.js, la llave para su decodificación será: example.com. La parte limpia y la parte maliciosa se codifican y se guardan en dos variables separadas:

Debemos conocer el origen exacto del archivo infectado para realizar la decodificación. Después de deshacer la ofuscación por completo, podemos ver una versión un poco mejorada de la función que genera los nombres de dominio al azar y el código limpio de abajo:

Esta vez, el dominio principal es waw.pl en vez de ru, y el argumento sid es botnet_api2. El nombre del script sigue siendo el mismo y puede indicar que el autor es fanático de la película o novela Forrest Gump. Un comentario que creemos que el autor dejó para los analistas nos hace pensar que lo llamó “gootkit”. Una búsqueda rápida en Internet reveló que esta palabra no es común en Google en el contexto de códigos maliciosos, y que otros programas maliciosos habían utilizado el mismo nombre antes. Pero es difícil saber si existe alguna conexión entre ellos (o sus creadores) y el malware que acabamos de descubrir. El caso más similar es el de un troyano parecido a Gumblar descubierto en 2010, que roba las credenciales de cuentas FTP e infecta los archivos HTML/PHP del servidor con el código que contiene las cadenas de caracteres “gootkit”.

Kaspersky Lab detecta el malware que describimos en esta entrada como: HEUR:Trojan.Script.Generic (cuando está ofuscado) y HEUR:Trojan.Script.Iframer(cuando se deshizo su ofuscación).

Lo más probable es que se propague mediante la vulnerabilidad reciente en Plesk Panel , así que queremos pedirle a todos los administradores web y proveedores de alojamiento que actualicen sus servidores para que tengan la última versión de Plesk, instalen todos los parches de seguridad y cambien las contraseñas de todas las cuentas FTP/SFTP/SSH lo antes posible.

Los dominios maliciosos que revisamos estaban en la misma dirección IP, que parece que está “suspendida por denuncias de abuso”. Pero es posible que las reglas definidas en el servidor malicioso hagan que el malware se redirija sólo en circunstancias específicas (por ejemplo, desde regiones o rangos de IP particulares) y la información de la denuncia sea falsa. Se conocen versiones anteriores de este malware que redirigían a los usuarios al paquete de exploits BlackHole.