Tendencias de malware. Diciembre 2017

Destacado: Android Loapi y BrowserLockers

Un mes más, desde el laboratorio de malware de S2 Grupo queremos compartir con vosotros lo que se está cociendo en el mundo del malware. Recordar que en este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.

A continuación mostramos un diagrama con la información recopilada este mes desde el laboratorio:



Para poder observar de un modo más visual determinadas tendencias relativas a la infraestructura de algunas amenazas actuales, una vez más queremos mostraros unas gráficas que consideramos interesantes. La idea es sencilla y consiste en recopilar de diferentes fuentes abiertas y de fuentes propias, direcciones IP de Command and Controls (C2 a partir de ahora). Después esta información recopilada la representamos de diferentes maneras como veremos a continuación:

TOP 5 C2

La primera consiste en el TOP 5 de C2 distintos encontrados por un mismo tipo de malware, lo cual nos ayuda a hacernos una idea de su nivel de actividad durante este mes:

Además, los diferentes colores identificados en la leyenda de la derecha, muestran el país al que corresponden cada una de las direcciones IP de dichos C2.

TOP10 de direcciones IP con dominios de C2

En segundo lugar, tenemos organizado el TOP10 de direcciones IP con mayor cantidad de dominios de C2 distintos que hemos recopilado.

 

 

Esta vez los colores nos muestran el tipo de malware al que corresponde cada dominio de dichas IP.

Malware de Android que puede dejarte sin móvil

El pasado mes de diciembre desde Kaspersky detectaron una aplicación maliciosa para Android a la que llamaron Loapi. Desde el blog de Malwarebytes publicaron un artículo donde explican sus capacidades, que no son pocas:

  • Capacidad de minar criptomoneda.
  • Muestra constantemente molesta publicidad al usuario a fin de conseguir que haga click por error y obtener ingresos.
  • Funciones de troyano SMS que le permiten enviar, eliminar y remitirlos a los malos.
  • Crawling de Webs a fin de dar de alta al usuario a servicios de pago.

En resumen, todo lo que suelen hacer varios tipos de malware pero todo en uno. La cuestión es que en el caso del minado de criptomoneda ocurre que cuanto mayor sea el rendimiento del dispositivo, mayores los ingresos que genera. Esto causa que se hayan dado casos de malware como este, en que esto ha llegado a recalentar los dispositivos hasta el punto de causar que parte del hardware se sobrecaliente demasiado dejando el dispositivo inservible.

Dejar los dispositivos inservibles no era la intención de los malos detrás de este tipo de amenazas, pero tampoco tienen especial interés en que los usuarios conserven sus dispositivos, por lo que en un uso descuidado de su herramienta generan este resultado, en algunos casos, haciendo que estas amenazas supongan una amenaza mucho mayor de lo que ya son de por sí.

Browser Lockers, la alternativa simple al Ransomware

Este tipo de amenaza aparece como una evolución de la publicidad abusiva que bloquea la web con mensajes de alerta en bucle para evitar que el usuario sea capaz de cerrarla.

Y en algunos casos llega a actuar de forma muy parecida al ransomware, bloqueando el equipo por completo y agobiando al usuario con sonido y mensajes de alerta con la esperanza de que pague para liberar su equipo. En la práctica, lo único que hacen es poner el navegador en pantalla completa, intentando imitar el escritorio con una imagen que contenga la barra de inicio:

De esta forma aparenta que tiene el control del equipo, y agobia al usuario con sonido y mensajes de alerta con la esperanza de que se rinda y siga las indicaciones que le dan. En la práctica, es solo un triste intento de Ransomware, ya que si el usuario reinicia el PC o consigue matar el proceso del navegador, conseguirá cerrar la web, y su ordenador continuará en perfecto estado y sin ningún tipo infección.

Esto no quita que en muchos casos consigan su objetivo y obtengan ingresos a partir de los usuarios. En el post referenciado al principio de este apartado, remarcan que consiguen llegar a obtener una media de 400$ por usuario, lo cual supone un gran negocio. 

Exploitkits (EK) más activos

Como siempre repasamos la reciente actividad de los distintos ExploitKits(EK) con más impacto durante este mes. Durante este mes de noviembre, la principal actividad referente a estos, ha venido de la mano de RIG EK, Magnitude y Disdain.

RIG EK ha vuelto a la carga, con algo más de variedad de malware, consistiendo en los troyanos Bunitu, AZORult y Ramnit y un software de minado de Criptomoneda Monero.

Un mes más, Magnitude  ha seguido infectado a sus víctimas con el Ransomware Magniber.

Y por último, Kaixin EK ha instalado en los equipos que ha podido comprometer muestras de RAT Gh0stRAT.

Como siempre, recordar que una de las mejores medidas para evitar infecciones a través de este vector de ataque, consiste en mantener actualizado tanto el navegador como cada uno de sus componentes.

Principales campañas de infección a través de malspam

Este mes ha sido un mes cargado de troyanos distintos en lo que a campañas de Malspam se refiere.

Destacando el hecho del incremento en el uso de documentos RTF que explotan las vulnerabilidades CVE-2017-0199 y CVE-2017-11882, documentos que instalaban muestras de Lokibot y Remcos respectivamente.

Y en cuanto al caso más común, que es el de documentos de Office con macros, todo tipo de Rats como Pony, Trickbot, Dreambot o Dridex y las variantes de Ransomware Nymaim y Globeimposter.

Estos últimos, requieren que el usuario interactúe con ellos, por lo que no confiar en documentos de orígenes desconocidos, especialmente que nos piden que habilitemos su contenido, supone una gran medida de seguridad al alcance de todo el mundo que puede evitar la mayoría de infecciones por estas vías.

Desde el laboratorio de malware esperamos que les sea de utilidad esta información que compartimos cada mes.