Tendencias de malware Mayo 2017. Destacado: Wannacry y Phishings a Gmail

Un mes más, desde el laboratorio de malware queremos compartir con vosotros lo que se está cociendo en el mundo del malware. Recordar que en este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.

A continuación, mostramos un diagrama con la información recopilada este mes desde el laboratorio:


Para poder observar de un modo más visual determinadas tendencias relativas a la infraestructura de algunas amenazas actuales, una vez más queremos mostraros unas graficas que consideramos interesantes. La idea es sencilla y consiste en recopilar de diferentes fuentes abiertas y de fuentes propias, direcciones IP de Command and Controls (C2 a partir de ahora). Después esta información recopilada la representamos de diferentes maneras como veremos a continuación:
[Read more…]

Tendencias malware Abril 2017. Destacado: Hajime y Shadow Brokers Leak.

Como todos los meses, desde el laboratorio de malware seguimos compartiendo con vosotros lo que se está cociendo en el mundo del malware. Recordad que en este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.

A continuación, mostramos un diagrama con la información recopilada este mes desde el laboratorio:

[Read more…]

Tendencias de malware. Marzo 2017

Como todos los meses, desde el laboratorio de malware queremos compartir con vosotros lo que se está cociendo en el mundo del malware. En este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas. Este mes destacaremos Torrentlocker y PowerShell WMIOps

A continuación, mostramos un diagrama con la información recopilada este mes desde el laboratorio:

Este mes traemos algo nuevo que esperamos que os guste y nos ayude a ver de un modo más visual determinadas tendencias. La idea es sencilla y consiste en recopilar de diferentes fuentes abiertas y fuentes propias, direcciones IP de command and controls (en adelante C2). Vamos a ver la información recopilada y a representarla de la siguiente manera:
[Read more…]

Tendencias malware Febrero. Destacados: Chrome EK y RAT Remcos

Como todos los meses, desde el laboratorio de malware queremos compartir con vosotros lo que se está cociendo en el mundo del malware. En este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.

A continuación, mostramos un diagrama con la información recopilada este mes desde el laboratorio:

Esta vez queremos repasar una vía de infección que solemos mencionar al final del post más en detalle. Se trata de un exploit kit que, en este caso, ha afectado a muchos sitios españoles.

Su objetivo es Chrome y consiste en un ExploitKit (Rig-EK) que, cuando infecta un servidor web, modifica las cabeceras de todas las webs que contiene para que muestren su texto de forma incorrecta y abran una ventana que informa al usuario de que necesitas una actualización para poder visualizar las fuentes de ese tipo de texto “nuevo”:

Fuente: http://www.malware-traffic-analysis.net/2017/02/22/index2.html

En caso de dar Click en el botón para actualizar, se descarga un ejecutable con el nombre “Chrome Font Vx.xx.exe”.

Fuente: http://www.malware-traffic-analysis.net/2017/02/22/index2.html

Este ejecutable es el ransomware Spora (que ya repasamos en el boletín anterior) y que puede hacer peligrar la información de nuestro equipo y la de aquellos en los que conectemos un USB que antes hayamos utilizado en el nuestro.

Otro caso que hemos observado es el incremento de intentos de infección a través de un RAT bastante nuevo (publicado a finales de 2016, actualmente en la versión 1.7.4.1), que llega en un correo con un documento de Word con macros.

Se trata de Remcos, y guarda mucho parecido con otros RATs que se distribuyen a través de un “Builder” (software que permite crear el ejecutable que infecta a las víctimas), como Posion Ivy o Darkcomet. Lo que destaca en este es que, debido a su constante y reciente desarrollo, cuenta con técnicas relativamente nuevas de escalada de privilegios y de detección de entornos de análisis, que lo hacen realmente interesante en comparación a su competencia más antigua.

Otro detalle que lo diferencia de otros RAT es la capacidad de crear “tareas automáticas”, funcionalidad que al menos nosotros no solemos encontrar en RAT de este tipo. De esta forma, se asegura que los clientes instalados en sus víctimas se actualicen o envíen cualquier tipo de información periódicamente a sus servidores sin necesidad de interacción.

Como siempre, para terminar nos gustaría repasar la actividad reciente de los ExploitKits (EK) con más impacto durante este mes, en este caso RIG EK.

Este EK, a través de técnicas de infección como la descrita arriba para Chrome (y otros navegadores como Internet Explorer o componentes de estos como FlashPlayer), ha estado instalando ransomware como Cryptomix o Spora y troyanos como Dreambot en las víctimas cuyos navegadores cumplen los requisitos de versiones desactualizadas para alguno de sus exploits.

Recordad que una de las mejores medidas para evitar infecciones a través de este vector de ataque consiste en mantener actualizado tanto el navegador como cada uno de sus componentes.

Desde el laboratorio de malware esperamos que esta información que compartimos cada mes os sea de utilidad.

Tendencias de malware. Enero 2017

Un mes más, desde el laboratorio de malware de S2 Grupo, queremos compartir con vosotros lo que se está cociendo en el mundo del malware. Recordad que en este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.

A continuación mostramos un diagrama con la información recopilada este mes desde el laboratorio:


[Read more…]

Fileless UAC Bypass

Un paso muy importante tras obtener acceso a una máquina a la que no se debería tener acceso, suele ser elevar privilegios lo antes posible para poder acceder a las zonas más interesantes y poder borrar huellas del sistema de la forma más fiable.

Para controlar estos accesos con privilegios, Microsoft implementó a partir de Windows Vista, un sistema llamado User Account Control (UAC). Como era de esperar, no tardaron en aparecer métodos para saltarse esta protección, llamados de forma genérica como métodos de “bypass de UAC”. Desde el laboratorio de malware de S2 Grupo intentamos conocer bien este tipo de técnicas a fin de poder identificar cada paso que da una muestra de malware en un sistema, y esta en los últimos meses nos ha llamado la atención.

La mayoría de estos métodos “bypass de UAC” requieren de un fichero que se tiene que descargar en el equipo para ser ejecutado o importado por otro proceso ya con privilegios, lo cual en muchos casos hace que salten las alarmas. El sistema sobre el que vamos a hablar en este artículo difiere de ellos en este punto, y puede resultar realmente sencillo de implementar. Sin embargo, no es oro todo lo que reluce ya que este método solo permite hacer bypass cuando la cuenta original tiene un mínimo nivel de permisos. En el caso de una cuenta sin ningún tipo de permisos en la que para ejecutar algo requiere a un administrador, implica tener que introducir las credenciales de otro usuario y por tanto este método no resultaría efectivo.
[Read more…]

Tendencias de malware. Diciembre 2016

Durante este mes de diciembre hemos observado desde el laboratorio de malware de S2 Grupo distintas amenazas que una vez más queríamos compartir con vosotros. En este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.

A continuación mostramos un diagrama con la información recopilada este mes desde el laboratorio:

malwarediciembre

Antes que nada, nos gustaría remarcar el respiro que, al menos a nosotros, nos ha dado Locky este mes, con una cantidad tremendamente reducida de SPAM en comparación con los dos meses anteriores. Esto no significa que haya desaparecido ni mucho menos ya que han estado llegando a muchos sitios correos con textos de “asunto:” como los siguientes: [Read more…]

Accesos directos como vía de infección de malware

Últimamente hemos estado conviviendo con muchas campañas de propagación de malware por correo que está llenando de SPAM la bandeja de entrada de mucha gente con ficheros maliciosos de todo tipo.

Desde nuestro laboratorio de malware estamos observando que la mayoría de ficheros maliciosos recibidos son bastante poco sutiles. Por ejemplo, ficheros de tipo “Script” con extensiones más raras como “.js”, “.vbs” o “.wsf”, o ficheros ofimáticos de desconocidos, con nombres en otro idioma y que piden que les permitas la ejecución de macros, las cuales el propio Word te bloquea y te recuerda que pueden ser peligrosas (con mucha razón).

No obstante, un caso algo más particular que estamos recibiendo, es el de los accesos directos de Windows con “truco”. No es la primera vez que nos topamos con este método de infección, y a principios de este último mes de 2016 hemos vuelto a recibir ficheros como estos.
[Read more…]

Monitorizando Pastebin (y otros) con Golang

A pesar de que hay muchas soluciones de monitorización de palabras clave en Pastebin y sitios similares, pero a nosotros nos gustan los restos y decidimos hacernos la nuestra. Y en Golang, que está muy de moda :)

Lo que queríamos era desarrollar una aplicación que monitorizara las entradas recientes de www.pastebin.com, buscando ciertas palabras clave, dando prioridad a las entradas de corta vida y aprovechando las goroutines para poder realizar el análisis de cada paste de forma concurrente. En el caso de encontrar dichas palabras en una de las entradas, la idea era guardarla en un fichero con su URL, tiempo de vida y título.
[Read more…]