Tendencias de malware. Agosto 2017

Tras un breve descanso, desde el laboratorio de malware queremos volver a compartir una vez más con vosotros lo que se está cociendo en el mundo del malware. Recordar que en este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.

A continuación, mostramos un diagrama con la información recopilada este mes desde el laboratorio:

Para poder observar de un modo más visual determinadas tendencias relativas a la infraestructura de algunas amenazas actuales, una vez más queremos mostraros las siguientes gráficas, las cuales consideramos interesantes. La idea es sencilla, y consiste en recopilar de diferentes fuentes abiertas y de fuentes propias, direcciones IP de Command and Controls (C2 a partir de ahora). Después, esta información recopilada la representamos de diferentes maneras como veremos a continuación:

TOP 5 C2

La primera consiste en el TOP 5 de C2 distintos encontrados por un mismo tipo de malware, lo cual nos ayuda a hacernos una idea de su nivel de actividad durante este mes:

 

 

Además, los diferentes colores identificados en la leyenda de la derecha, muestran el país al que corresponden cada una de las direcciones IP de dichos C2.

TOP10 de direcciones IP con dominios de C2

En segundo lugar, tenemos organizado el TOP10 de direcciones IP con mayor cantidad de dominios de C2 distintos que hemos recopilado, llegando hasta 20 dominios a los que contactan distintas muestras para un solo servidor.

 

Esta vez, los colores nos muestran el tipo de malware al que corresponde cada dominio de dichas IP.

Un nuevo Exploit Kit del que preocuparse

A principios de mes, desde TrendMicro detectaban un nuevo exploitkit siendo utilizado en una campaña de infección con un programa de minado de criptomoneda, que llevaba poco tiempo en venta en foros “underground”.

Se trata de “Disdain”, y desde el post de TrendMicro remarcan detalles como que comparte el mismo patrón de URLs que “Terror EK” el cual es algo anterior, y un estilo de ofuscación de sus scripts en Javascript parecidos a los del ExploitKit Nebula.

De entre la larga lista de exploits que prometían en el foro donde se puede encontrar en venta este ExploitKit, solo han detectado que utilice los siguientes:

  •     CVE-2013-2551, parcheado desde Mayo 2013
  •     CVE-2015-2419, parcheado desde Julio 2015
  •     CVE-2016-0189, parcheado desde Mayo 2016
  •     CVE-2017-0037, parcheado desde Marzo 2017
  •     CVE-2017-0059, parcheado desde Marzo 2017

Es curioso que llegue justo en este momento en el que la utilización de este método de infección por parte de los malos, se encuentra en cierta decadencia en comparación con los últimos meses desde inicio de año.

Para los más precavidos, ya se pueden encontrar reglas NIDS públicas desde la web de EmergingThreats.

 La botnet WireX

A mediados de agosto, esta botnet estuvo causando problemas a gran cantidad de servicios online, lo que llamó la atención de varias grandes empresas y tambien de sus analistas, que decidieron unir esfuerzos para intentar hacer algo al respecto. Algunas de ellas son Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ o Team Cymru.

Compartiendo información referente a los distintos ataques, consiguieron llegar a dar con  una aplicación de android relacionada con estos ataques, y gracias a un análisis de esta, terminaron trazando muchas otras, todas disponibles en Google Play y que fueron reportando para asegurarse de que se eliminaban de la Play Store y de los dispositivos ya infectados.

Dichas aplicaciones se hacen pasar por gestores de ficheros y reproductores de video o sonido, que a la hora de la instalación, a penas piden permisos:

 

Una vez instaladas, son muy pobres, o directamente no funcionan, pero que tras la primera ejecución crean un servicio en el dispositivo que se mantiene en contacto con el C2 (Servidor de mando y control) a la espera de órdenes de este, para realizar ataques a los objeticos que reciben, generalmente realizando peticiones HTTP, como si de una visita de un navegador legítimo se tratara.

ExploitKits (EK) más activos

Para terminar, repasamos la reciente actividad de los distintos ExploitKits(EK) con más impacto durante este mes. Que según hemos visto, han sido RIG, Magnitude, Neptune y Disdain.

En el caso de Neptune y Disdain han estado instalando en sus víctimas software de minado de criptomoneda, concretamente “Monero”.

Mientras que Rig y Magnitude se han centrado más en malware como Dreambot, Bunitu, Ramnit o Cerber.

Como siempre, recordar que una de las mejores medidas para evitar infecciones a través de este vector de ataque, consiste en mantener actualizado tanto el navegador como cada uno de sus componentes.

Desde el laboratorio de malware esperamos que les sea de utilidad esta información que compartimos cada mes.