En septiembre de 2017, se descubrió un nuevo ataque dirigido a las instituciones financieras. Las víctimas son en su mayoría bancos rusos, pero también encontramos organizaciones infectadas en Malasia y Armenia. Los atacantes usaban una técnica conocida pero muy efectiva para los ciberdelincuentes que buscan ganar dinero: obtener acceso persistente a una red bancaria interna durante un largo período de tiempo, realizar grabaciones de video de la actividad diaria en las PC de los empleados bancarios, aprender cómo las cosas funcionan en sus bancos objetivo, qué software se usa, y luego usar ese conocimiento para robar la mayor cantidad de dinero posible cuando esté listo.

Se vió esa técnica antes en Carbanak y otros casos similares en todo el mundo. El vector de infección es un correo electrónico de spear phishing con un archivo adjunto malicioso. Un punto interesante en el ataque del Silencio es que los ciberdelincuentes ya habían comprometido la infraestructura bancaria para enviar sus correos electrónicos de spear phishing desde las direcciones de los empleados del banco real y lucir lo menos sospechosos posible para las futuras víctimas.

Los ataques están actualmente en curso.

Detalles técnicos

Los ciberdelincuentes que usan Silence envían correos electrónicos de spear-phishing como vectores de infección iniciales, a menudo usando las direcciones de los empleados de una institución financiera ya infectada, con una solicitud para abrir una cuenta en el banco atacado. El mensaje parece una solicitud de rutina. Usando este truco de ingeniería social, no parece sospechoso para el receptor:

Correo electrónico Spear-phishing en ruso.

Adjunto malicioso .chm

md5 dde658eb388512ee9f4f31f0f027a7df
Tipo Archivo .chm de ayuda de Windows

El archivo adjunto que se detecta en esta nueva ola es un archivo de «Ayuda compilada en HTML de Microsoft». Este es un formato de ayuda en línea propiedad de Microsoft que consiste en una colección de páginas HTML, indexación y otras herramientas de navegación. Estos archivos están comprimidos e implementados en un formato binario con la extensión .CHM (HTML compilado). Estos archivos son altamente interactivos y pueden ejecutar una serie de tecnologías que incluyen JavaScript, que pueden redirigir a una víctima hacia una URL externa después de simplemente abrir el CHM. Los atacantes comenzaron a explotar los archivos CHM para ejecutar automáticamente cargas maliciosas una vez que se accede al archivo. Una vez que la víctima abre el archivo adjunto, se ejecuta el archivo de contenido .htm incrustado («start.htm»). Este archivo contiene JavaScript y su objetivo es descargar y ejecutar otra etapa desde una URL codificada:

Parte del archivo incrustado start.htm

El objetivo del script es descargar y ejecutar un script .VBS ofuscado que nuevamente descarga y ejecuta el cuentagotas final.

El script VBS ofuscado que descarga el cuentagotas binario

Cuentagotas

md5 404D69C8B74D375522B9AFE90072A1F4
Compilacion Jue 12 Oct 02:53:12 2017
Tipo Ejecutable Win32

El cuentagotas es un archivo binario ejecutable win32, y su objetivo principal es comunicarse con el servidor de comando y control (C & C), enviar la identificación de la máquina infectada y descargar y ejecutar cargas maliciosas.

Después de la ejecución, el cuentagotas se conecta al C & C usando una solicitud GET, envía el ID de víctima generado, descarga las cargas útiles y las ejecuta utilizando la función CreateProcess.

C & C conecta cadena de solicitud con ID

Procedimiento de conexión de C & C

Cargas útiles

Las cargas útiles son una serie de módulos ejecutados en el sistema infectado para diversas tareas como la grabación de pantalla, la carga de datos, etc.

Todos los módulos de carga útil que pudimos identificar están registrados como servicios de Windows.

Módulo de monitoreo y control

md5 242b471bae5ef9b4de8019781e553b85
Compilacion Martes 19 de julio 15:35:17 2016
Tipo Servicio de Windows ejecutable

La tarea principal de este módulo es monitorear la actividad de la víctima. Para ello, se necesitan múltiples capturas de pantalla de la pantalla activa de la víctima, proporcionando una secuencia de pseudo-video en tiempo real con toda la actividad de la víctima. Una técnica muy similar fue utilizada en el caso Carbanak, donde este monitoreo fue utilizado para comprender la actividad diaria de la víctima.

El módulo está registrado e iniciado por un servicio de Windows llamado «Monitor predeterminado».

Nombre del módulo de servicio malicioso

Después del inicio inicial, crea un canal con nombre de Windows con un valor codificado: «\\. \ Pipe \ {73F7975A-A4A2-4AB6-9121-AECAE68AABBB}». Este conducto se utiliza para compartir datos en comunicaciones entre procesos maliciosas entre módulos.

Creación de tubería nombrada

El malware descifra un bloque de datos y lo guarda como un archivo binario con el nombre codificado «mss.exe» en una ubicación temporal de Windows, y luego lo ejecuta utilizando la función CreateProcessAsUserA. Este binario descartado es el módulo responsable de la grabación de la actividad de la pantalla en tiempo real.

Luego, el módulo de monitoreo espera a que comience un nuevo módulo descartado para compartir los datos grabados con otros módulos que usan el conducto designado.

Módulo de recolección de actividad de pantalla

md5 242b471bae5ef9b4de8019781e553b85
Compilacion Martes 19 de julio 15:35:17 2016
Tipo Ejecutable de Windows 32

Este módulo usa tanto la Interfaz de dispositivo de gráficos de Windows (GDI) como la API de Windows para registrar la actividad de la pantalla de la víctima. Esto se hace usando las funciones CreateCompatibleBitmap y GdipCreateBitmapFromHBITMAP. Luego el módulo se conecta a la tubería nombrada creada por el módulo descrito anteriormente y escribe los datos allí. Esta técnica permite la creación de una secuencia de pseudo-video de la actividad de la víctima reuniendo todos los mapas de bits recopilados.

Escribiendo bitmaps a la tubería

Módulo de comunicación C & C con backconnect de consola

md5 6A246FA30BC8CD092DE3806AE3D7FC49
Compilacion Jue 08 jun 03:28:44 2017
Tipo Servicio de Windows ejecutable

El módulo de comunicación de C & C es un servicio de Windows, al igual que todos los demás módulos. Su principal funcionalidad es proporcionar acceso de reconexión a la máquina víctima usando la ejecución del comando de la consola. Después de la inicialización del servicio, descifra los nombres necesarios de las funciones de la API de Windows, los carga con LoadLibrary y los resuelve con las funciones de GetProcAddress.

Resolver WinAPI

Después de cargar con éxito las funciones de WinAPI, el malware intenta conectarse al servidor de C & C utilizando una dirección IP codificada (185.161.209 [.] 81).

C & C IP

El malware envía una solicitud especial al servidor de comando con su ID y luego espera una respuesta, que consiste en una cadena que proporciona el código de qué operación ejecutar. Las opciones son:

  • «Htrjyytrn» que es la transliteración de «reconexión» («реконнект» en el diseño ruso).
  • «Htcnfhn», que es la transliteración de «reiniciar» («рестарт» en el diseño ruso).
  • «Ytnpflfybq» que es la transliteración de «нет заданий» que significa «sin tareas»

Finalmente, el malware recibe instrucciones sobre qué comandos de consola ejecutar, lo que hace usando un nuevo proceso cmd.exe con un comando de parámetro.

Control de instrucciones

El procedimiento descrito permite a los atacantes instalar cualquier otro módulo malicioso. Eso se puede hacer fácilmente usando el comando de la consola «sc create».

Herramienta Winexecsvc

md5 0B67E662D2FD348B5360ECAC6943D69C
Compilacion Mié 18 de mayo 03:58:26
Tipo Ejecutable de Windows 64

Además, en algunas computadoras infectadas encontramos una herramienta llamada herramienta Winexesvc. Esta herramienta básicamente proporciona la misma funcionalidad que la conocida herramienta «psexec». La principal diferencia es que la herramienta Winexesvc permite la ejecución de comandos remotos desde un sistema operativo basado en Linux. Cuando el binario «winexe» de Linux se ejecuta contra un servidor de Windows, el ejecutable winexesvc.exe se crea e instala como un servicio.

Conclusión

Los ataques a la organización financiera siguen siendo una forma muy efectiva para que los ciberdelincuentes ganen dinero. El análisis de este caso nos proporciona un nuevo troyano, aparentemente utilizado en múltiples ubicaciones internacionales, lo que sugiere que se trata de una actividad en expansión del grupo. El troyano brinda capacidades de monitoreo similares a las utilizadas por el grupo Carbanak.

El grupo utiliza herramientas de administración legítimas para volar bajo el radar en su fase posterior a la explotación, lo que hace que la detección de actividad maliciosa, así como la atribución, sea más complicada. Este tipo de ataque se ha generalizado en los últimos años, lo cual es una tendencia muy preocupante ya que demuestra que los delincuentes tienen éxito en sus ataques. Continuaremos monitoreando la actividad de esta nueva campaña.

El vector de infección de spear-phishing sigue siendo la forma más popular de iniciar campañas específicas. Cuando se usa con infraestructura ya comprometida, y combinada con archivos adjuntos .chm, parece ser una forma realmente efectiva de propagación, al menos entre organizaciones financieras.

Recomendaciones

La forma efectiva de protección contra ataques dirigidos a organizaciones financieras son las capacidades preventivas de detección avanzada, como una solución que puede detectar todo tipo de anomalías y analizar archivos sospechosos a un nivel más profundo, para estar presente en los sistemas de los usuarios. La solución Kaspersky Anti-Targeted Attack (KATA) compara eventos provenientes de diferentes niveles de infraestructura, detecta anomalías y los agrega a incidentes, al tiempo que estudia artefactos relacionados en un entorno seguro de un arenero. Como con la mayoría de los productos de Kaspersky, KATA cuenta con la tecnología de HuMachine Intelligence, respaldada por procesos de aprendizaje automático ejecutados en el laboratorio junto con la experiencia de analistas en tiempo real y nuestra comprensión de big data sobre inteligencia de amenazas.

La mejor manera de evitar que los atacantes encuentren y aprovechen los agujeros de seguridad es eliminar los agujeros por completo, incluidos los que involucran configuraciones de sistema incorrectas o errores en las aplicaciones propietarias. Para esto, los servicios de Kaspersky Penetration Testing y Application Security Assessment pueden convertirse en una solución conveniente y altamente efectiva, proporcionando no solo datos sobre las vulnerabilidades encontradas, sino también asesorando sobre cómo solucionarlo, lo que fortalece aún más la seguridad corporativa.

IOC

Los productos de Kaspersky Lab detectan el troyano Silence con los siguientes veredictos:

Backdoor.Win32.Agent.dpke
Backdoor.Win32.Agent.dpiz
Trojan.Win32.Agentb.bwnk
Trojan.Win32.Agentb.bwni
Trojan-Downloader.JS.Agent.ocr
HEUR: Trojan.Win32.Generic Reglas
completas de IOC y YARA entregadas con suscripción de informe privado.

MD5
Dde658eb388512ee9f4f31f0f027a7df
404d69c8b74d375522b9afe90072a1f4
15e1f3ce379c620df129b572e76e273f
D2c7589d9f9ec7a01c10e79362dd400c
1b17531e00cfc7851d9d1400b9db7323
242b471bae5ef9b4de8019781e553b85
324D52A4175722A7850D8D44B559F98D
6a246fa30bc8cd092de3806ae3d7fc49
B43f65492f2f374c86998bd8ed39bfdd
cfffc5a0e5bdc87ab11b75ec8a6715a4

Compartir