domingo, 12 de agosto de 2012

XDocCrypt/Dorifel. ¿Hacia la unión del troyano bancario y ransomware? (y II)


Se ha descubierto Dorifel, un malware con dos características concretas que lo hacen interesante. Infecta ejecutables y documentos de Microsoft Word y Excel. Con estos últimos, se comporta como un "virus de los de antes", replicándose en por todos los ficheros de este tipo. Vuelve a poner de moda una técnica para pasar desapercibido de la que ya hablamos el año pasado... y puede significar un cambio de modelo en el malware.

Hablamos en la entrega anterior de qué hacía y cómo aparecía Dorifel: cifraba documentos en unidades compartidas y además, parecía descargarse entre los sistemas previamente infectados por una variante de Citadel. Veamos ahora otras cuestiones.

Cuál es su propósito

Se han visto otras conexiones con Zeus/Citadel, por ejemplo, comunicarse con servidores donde se alojan todo tipo de exploits, malware y componentes usados habitualmente por esta familia.

Ha afectado principalmente a las empresas de Holanda. No se sabe bien por qué, pero la historia encaja: si los atacantes han decidido la descarga en máquinas que ya controlan, por alguna razón han elegido un país concreto. Aunque nos consta que en España se han dado varios casos de infección.

El propósito de Dorifel es un pequeño misterio. Normalmente, el malware que cifra documentos pide un rescate por ellos, pero no es el caso. Podríamos pensar que por el hecho de estar programado en Delphi y no en otros lenguajes más comunes para este tipo de malware, como C o C++, se trata de un "entretenimiento" cuyo fin es el de "molestar". Pero, teniendo conexiones con creadores de troyanos tan sofisticados y que manejan un volumen de negocio como Zeus/Citadel... podríamos descartar esta hipótesis: debe haber lucro. Desde luego, tampoco pretende demostrar habilidades técnicas porque no es especialmente sofisticado.

Quizás se trate de un ensayo, o un paso más en una estrategia que puede llegar a consolidarse en el futuro.

Unir troyanos bancarios y ransomware

En mayo aparecieron varias noticias al respecto que pasaron un poco desapercibidas. F-Secure avisó de que había encontrado una variante de Zeus que bloqueaba el sistema, enseñando una página en un Internet Explorer que ocupaba toda la pantalla, mostrando un mensaje probablemente de extorsión. Exactamente igual que muchas variantes del virus de la policía.

También Trusteer avisó en mayo de que una variante de Citadel directamente descargaba una DLL con el famoso (y exitoso) malware de la policía. No olvidemos que otras variantes de este mismo malware, no solo bloqueaban el sistema sino que cifraban los documentos que encontraba en el disco duro.

Dado el éxito del ransomware últimamente (Briank Krebs acaba de escribir un artículo donde habla de beneficios de entre 30.000 y 40.000 euros diarios de algunas organizaciones con Reveton o virus de la policía) no resulta descabellado unir los dos conceptos: malware que intenta robar claves y credenciales bancarias pero que, en un momento dado, bloquea el sistema o cifra los documentos y pide un rescate.

Y ese "momento" dado puede ser cuando el atacante compruebe que, por ejemplo, la víctima infectada no accede durante días a su banca online, se impaciente o simplemente su banco implemente medidas de seguridad que impidan completar la estafa. Está demostrado que los bancos que analizan y persiguen el malware que les ataca, pueden impedir que se activen, añadiendo cambios en las páginas de banca online o incluyendo otras medidas de seguridad como tokens y otros factores de autenticación, etc.

Así es que, puesto que está comprobado que buena parte de este malware permanece días y semanas en el sistema antes de ser detectado, no es descabellado pensar en un "umbral de paciencia" del atacante donde pase a tomar medidas más drásticas: si no puede robar la cuenta bancaria de la víctima, la extorsionará bloqueando el sistema o cifrando sus documentos importantes. Quién sabe. Todo por el beneficio rápido e inmediato.

Más información:

Inside a ‘Reveton’ Ransomware Operation

ZeuS Ransomware Feature: win_unlock

Fake G-Men Attack Hijacks Computers for Ransom

Joint attack by banking Trojan and ransomware

Práctico: Cómo ocultar las extensiones de ficheros gracias a la codificación Unicode.

XDocCrypt/Dorifel – Document encrypting and network spreading virus

Dorifel crypto malware paralyzes Dutch companies and public sector

Dorifel Malware Encrypts Files, Steals Financial Data, May Be Related to Zeus or Citadel

Dorifel Malware Encrypts Files, Steals Financial Data, May Be Related to Zeus or Citadel

Complete details of the Dorifel servers, including its 'master' server in Austria


Sergio de los Santos
Twitter: @ssantosv


No hay comentarios:

Publicar un comentario en la entrada