Un “Gadget” intermediario: se descubre el vector de difusión del malware Flame

En nuestro sector de preguntas y respuestas publicado el 28 de mayo de 2012, dijimos que Flame podría estar utilizando una vulnerabilidad día cero que todavía no se había descubierto.

“Hasta el momento, no hemos detectado el uso de ningún día-cero. Sin embargo, se sabe que el gusano, a través de la red, ha infectado sistemas Windows 7 completamente parchados, lo que indica la presencia de un alto riesgo de vulnerabilidades día-cero”.

Nuestras sospechas aumentaron al darnos cuenta de que los ordenadores con Windows 7 que estaban al día con todos sus parches estaban infectados en toda la red de una manera muy sospechosa.

Ahora podemos confirmar que este es el principal propósito de un módulo especial de Flame llamado “Gadget”, y de otro módulo llamado “Munch”.
(NOTA: Es importante destacar que la infección inicial de Flame aún podría darse mediante vulnerabilidades día cero. El módulo “Gadget” sólo se usa para propagarse dentro de una red desde un ordenador que ya está infectado).”
Los módulos “Gadget” y “Munch” lanzan un ataque de “hombre-en-el-medio” (man-in-the-middle) contra otros ordenadores en una red.

Cuando un ordenador intenta conectarse al actualizador Windows Update de Microsoft, redirige la conexión a través de un equipo infectado y envía al cliente una actualización de Windows falsa y maliciosa.
La actualización falsa dice ser la siguiente:
“update description=”Allows you to display gadgets on your desktop.”
displayName=”Desktop Gadget Platform” name=”WindowsGadgetPlatform”>

Mientras infecta a los clientes, se utilizan 8 archivos CAB. Uno de ellos contiene un programa construido de manera específica, llamado WuSetupV.exe:

Este programa (también detectado como Worm.Win32.Flame.a) pesa 28 KB y está firmado por un certificado falso de Microsoft:

Esto le permite funcionar en el equipo de la víctima sin que se muestre ninguna advertencia de seguridad.

El descargador “Gadget” de Flame se compiló el 27 de diciembre de 2010, se firmó el 28 de diciembre y se incluyó en el archivo comprimido el 11 de enero de 2011.

Este es el proceso exacto: el ordenador infectado crea un servidor falso llamado “MSHOME-F3BE293C”, que aloja un script que entrega el cuerpo completo del malware Flame a los ordenadores de las víctimas. El modulo “Munch” se encarga de hacerlo.

Cuando una víctima trata de actualizar su equipo con Windows Update, se intercepta su solicitud y se le entrega la actualización falsa. La actualización falsa descarga el cuerpo principal del script e infecta el ordenador.

El plugin Gadget descarga el cuerpo principal del malware
La obstrucción de la solicitud del Windows Update original (o sea, el ataque man-in-the-middle) se realiza haciendo pasar al equipo infectado por un proxy para el dominio. Esto se hace mediante WPAD . Pero, para infectarse, los equipos necesitan tener los sistemas de System Proxy configurados en “Automático”.

A medida de que investigamos Flame, aparecen más indicios que refuerzan nuestra primera impresión: este es uno de los programas maliciosos más complejos e interesantes que hemos visto hasta ahora.
Información importante: El 4 de junio de 2012, Microsoft publicó varios artículos en su blog y una actualización para Windows que bloquea tres de los certificados fraudulentos que utiliza Flame. Recomendamos a los usuarios de Windows que instalen este parche de inmediato.
Blog de Microsoft Search and Research Defense (SRD) (en inglés): https://msrc-blog.microsoft.com/2012/06/03/microsoft-certification-authority-signing-certificates-added-to-the-untrusted-certificate-store/
Microsoft security advisory 2718704: https://docs.microsoft.com/en-us/security-updates/SecurityAdvisories/2012/2718704
MSRC blog: https://msrc-blog.microsoft.com/2012/06/03/microsoft-releases-security-advisory-2718704/