Incidentes

Shamoon el Limpiador – Imitadores trabajando

Hace unas horas recibimos una interesante colección de muestras de nuestros colegas de otra compañía de soluciones antivirus.

Estas muestras resultan especialmente interesantes porque contienen un módulo con la siguiente cadena:

Por supuesto, la referencia “wiper” (limpiador) inmediatamente nos recuerda los incidentes de limpieza de ordenadores iraníes desde abril de 2012 que nos llevaron a descubrir Flame.

Este programa malicioso es un archivo de 900 KB PE que contiene una variedad de recursos codificados.

Shamoon resources

Los recursos 112, 113 y 116 se codificaron mediante una operación 4 byte XOR. Las llaves para la decodificación, incluyendo otro recurso de uno de los binarios, son:

Dentro del recurso 112, existe otro recurso (101) que contiene un controlador de disco firmado:

El controlador de disco por sí mismo no parece ser malicioso. Sin embargo, se usa para que los componentes del programa malicioso accedan al disco a la fuerza.

Curiosamente, el controlador está firmado por EldoS Corporation, una firma que tiene la misión de ‘Ayudar a la gente a sentirse segura sobre la integridad y seguridad de información crítica’, según su sitio web.

Además:
EldoS Corporation es una firma internacional especializada en el desarrollo de componentes de software de seguridad para el mercado corporativo y para desarrolladores individuales de software.

Por supuesto, surge una gran interrogante: “¿es este el programa malicioso conocido como Wiper que atacó Irán en abril de 2012?”.

Nuestra opinión, basada en la investigación de varios sistemas atacados por el Wiper original, es que no es así. El “Wiper” original usaba ciertos nombres de servicio (“RAHD…”) junto a nombres de archivo específicos para sus controladores (“%temp%~dxxx.tmp”) que no parecen estar en este programa malicioso. Además, el Wiper original usaba cierto patrón para limpiar discos, lo que no sucede con este programa malicioso.

Es muy probable que se trate de una imitación hecha por aficionados inspirados en la historia.
Hemos detectado los componentes 32-bit del programa malicioso como Trojan.Win32.EraseMBR.a. El componente 64-bit se detectó como Trojan.Win64.EraseMBR.a. En el momento de su descubrimiento, se detectó heurísticamente un descargador principal: “HEUR:Trojan.Win32.Generic”.

P.D. No estamos seguros aún sobre el significado de “Shamoon”. Podría ser una referencia a Shamoon College of Engineering http://www.sce.ac.il/eng/. O podría tratarse simplemente del nombre de uno de los autores del programa malicioso. Shamoon es Simón en árabe.

Actualización (17-08- 2012): Nuestros colegas de Seculert han publicado su propio análisis del ataque Shamoon. Sugieren que se trata de un ataque en dos etapas, con un movimiento lateral.

Actualización (17-08- 2012): En las últimas 24 horas hemos recopilado telemetría de nuestros usuarios sobre detecciones de Trojan.Win32.EraseMBR.a. Por ahora, sólo hay dos informes, ambos de China, que al parecer son de investigadores en seguridad. Entonces podemos inferir que el programa malicioso no tiene una amplia propagación y que probablemente atacó sólo blancos muy específicos.

Shamoon el Limpiador – Imitadores trabajando

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada