• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Auditoría / ¿Espionaje a los países de América Latina?

¿Espionaje a los países de América Latina?

20 diciembre, 2014 Por Hispasec Deja un comentario

Hace una semana, la empresa de seguridad Blue Coat ha revelado un importante APT (Advanced Persistent Threat, Amenazas Persistentes Avanzadas) que ha afectado a entidades petroleras, financieras, embajadas y gobiernos. Gracias al tipo de infección y los idiomas usados, sabemos que se ha empleado para atacar a países como Rusia, Rumania, Venezuela, Paraguay, etc. El atacante ha podido recoger datos confidenciales a través de malware diseñados para la plataforma Windows y plataformas móviles como Android, IOS, y Blackberry. 
El ataque ha sido bautizado por Blue Coat como «The inception Framework«. Kaspersky en cambio le ha dado el nombre de «Cloud Atlas«, esta compañía ha destacado su gran parecido con un viejo conocido: Red October (Octubre Rojo). Realmente el formato de determinados correos de phishing empleados o de ciertas partes de código es muy semejante a aquel malware de hace dos años.
Sin embargo en esta ocasión lo que destaca especialmente es el uso de malware dirigido a dispositivos móviles. Nos han parecido especialmente interesantes los ataques realizados a plataformas Android, por lo que vamos a mostrar un análisis más detallado del malware empleado.
Infección
Los atacantes han usado el correo para llegar a sus víctimas. Abajo se muestra un ejemplo de un correo destinado al gobierno de Paraguay («.gov.py«). Al acceder desde un móvil Android sobre el enlace «http://bit.ly/1v7«, el usuario descargaba la aplicación «WhatsAppUpdate.apk» que hacía crear al usuario que se trataba de una actualización para WhatsApp.

Análisis del malware
La siguiente imagen muestra la lista de permisos requeridos por la aplicación. A primera vista, vemos que el atacante está muy interesado por las comunicaciones de la victima (llamadas y registros de llamadas), los SMS recibidos, su ubicación, su calendario, su lista de contactos, los favoritos de su navegador y archivos. 

Según la fechas de los archivos contenidos dentro del malware fue programado el 13 de octubre 2014 (hace 3 meses que está activo). Además, la aplicación parece estar desarrollada por indios, por la presencia de comentarios en hindú. ¿Los indios estarían interesados en la recogida de información confidencial de países de América Latina?
Además, el malware tiene un servicio para grabar las conversaciones durante las llamadas telefónicas:
Iniciar la grabación
Finalizar la grabación
Recoger los comandos y enviar los datos robados
El atacante ha atacado y modificado tres blogs donde ha dispuesto un «payload» conteniendo el servidor donde recoger los comandos y enviar los datos robados. Ha infectado los 3 blogs siguientes para diseminar el payload:
http://klarkvoplige.livejournal.com
http://boberder.livejournal.com
http://lindamenson.livejournal.com
Podemos ver un ejemplo del contenido de un blog con el payload:

El payload contiene una UrlTask («http:// http://www.zlotelany. diecezja.bielsko.pl /components / indexxe.php») y las configuraciones de un proxy (ProxyData). El malware usa esa URL para recibir nuevas tareas como por ejemplo las actualizaciones del malware, pero también para enviar los datos robados (registros de llamadas, etc.). El servidor proxy detrás del servidor “www.zlotelany.diecezja.bielsko.pl” permite al atacante esconder el C&C que contiene las actualizaciones del malware, los datos robados, etc.
Mostramos un ejemplo de payload descifrado con las configuraciones del proxy contenidas dentro del ProxyData cifrado. Cada vez que la victima hace una petición al servidor “www.zlotelany.diecezja.bielsko.pl”, transmite también el ProxyData y la clave correspondiente. Pensamos que el atacante no ha incluido la configuración del proxy codificada dentro de la pagina «indexxe.php» para que sea mas difícil identificar el servidor proxy.
UrlTask: http://www.zlotelany.diecezja.bielsko.pl/components/indexxe.php
ProxyData: 05ItUyVvS/Um6PtAgZhMgQAE0GWQJ97wKaUSrgcYr4B1uYwqm…
ProxyKey: f522b4be764450ee
Cifrado de los datos
Cada vez que el malware roba datos (llamadas, etc.), los cifra antes de escribirlos en la carpeta personal de la aplicación. Es una manera de proteger los datos en caso de que se realice un análisis forense. El atacante usa el algoritmo simétrico AES «PBEWITHSHA256AND128BITAES-CBC-BC» con la contraseña
«hfsdvccnbn,klkufc czdgr332hgngcbgfgjjmjj,kkl;popi,jlkl…hk,hkj,nfjy,jjjyyjhmmhfjoiligmhgjhkik,jkgmhhfttfbvvczccxzsaaaaqqznmg» y la semilla «nhnfcfafssbgf,,hlou87766gfdsfdsvd» para inicializar el algoritmo.
Conclusión
Ese malware avanzado está destinado a grabar las llamadas telefónicas. El malware fue enviado directamente a empleados del gobierno de Paraguay, lo que nos sugiere que existe una entidad gubernamental detrás. Para evitar ser identificado, el atacante usa por lo menos un proxy para esconderse y así no revelar su existencia, identidad y el C&C donde guarda los datos robados.
Más información:
Blue Coat Exposes “The Inception Framework”; Very Sophisticated, Layered Malware Attack Targeted at Military, Diplomats, and Business Execs, https://www.bluecoat.com/security-blog/2014-12-09/blue-coat-exposes-%E2%80%9C-inception-framework%E2%80%9D-very-sophisticated-layered-malware
SHA256 de la muestra analizada:
21b7ab52098b8d3f90f6a36362cba6a68967ae318b07e3ac99757d2d21ba2479
Cloud Atlas: RedOctober APT is back in style

http://securelist.com/blog/research/68083/cloud-atlas-redoctober-apt-is-back-in-style/
una-al-dia (13/08/2013) Ataques dirigidos, un modelo de éxito
http://unaaldia.hispasec.com/2013/08/ataques-dirigidos-un-modelo-de-exito.html
una-al-dia (17/01/2013) Operación octubre rojo: un malware muy «personal» (I)
http://unaaldia.hispasec.com/2013/01/operacion-octubre-rojo-un-malware-muy.html
una-al-dia (18/01/2013) Operación octubre rojo: un malware muy «personal» (y II)
http://unaaldia.hispasec.com/2013/01/operacion-octubre-rojo-un-malware-muy_18.html
Laurent Delosières
ldelosieres@hispasec.com

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Auditoría, Malware

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • El malware FluBot es eliminado en una operación mundial de las fuerzas del orden
  • Tencent admite un ataque de código QR en su plataforma de chat QQ.com
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes

Entradas recientes

  • Tencent admite un ataque de código QR en su plataforma de chat QQ.com
  • El malware FluBot es eliminado en una operación mundial de las fuerzas del orden
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes
  • NSO Group confirma que el software espía Pegasus ha sido utilizado por al menos 5 países europeos
  • El Bridge Horizon de Harmony Protocol, sufre un robo de 100 Millones de dólares
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Tencent admite un ataque de código QR en su plataforma de chat QQ.com
  • El malware FluBot es eliminado en una operación mundial de las fuerzas del orden
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec