No tengo Facebook, pero me gusta leer sobre técnicas de malware para obtener sus credenciales y hasta se me dibuja, no pocas veces, una sonrisa. Me divierte, 😀 ver los pedidos de las codiciadas contraseñas por [email protected] [email protected] bajo las más variopintas excusas.

Sin embargo, pienso que el análisis que sintetiza este post no apunta en su mayor parte a ese inseguro público, sino que va dirigido a otros escenarios más redituables, esto es, obtener información privada o sensible para venderla.

Lo cierto es que las cirugías del malware, son un tema que me despierta el ánimo investigativo porque es tanto lo que no sé, que cuando leo algo sobre estos tópicos mi cabeza se hace esponja y Google mi compañero.

Así que independientemente del uso malicioso, su disección es fascinante, es penetrar con un fino escalpelo en la mente de quien lo programó y reconstruir su pensamiento, toda un ejercicio en extremo cautivante.

[sociallocker]

Estas razones, me llevan a compartir lo que estuve aprendiendo con los amigos de WeliveSecurity , que en esta ocasión hacen un exhaustivo análisis de una serie de archivos maliciosos (de aparición preponderantemente en Centro América y México) de la familia RAR/Agent que presentaban características comunes, tales como que todas las muestras que examinaron tienen extensión scr (Windows Screen Saver) y además todas utilizan algún ícono relacionado con Acrobat PDF Reader, la imagen siguiente siguiente es buen ejemplo de ello.

face2

Las coincidencias de extensión, la similitud de íconos, llevó a sospechar al equipo de seguridad que alguna relación puede haber. A fin de salir de dudas, analizan las muestras con Cuckoo para detectar la existencia de elementos o patrones comunes en la operatividad de las amenazas.

De donde señalan:

“En este caso resulta útil el hecho de que Cuckoo arroje los resultados en un archivo json, el cual es fácilmente analizable. De este análisis resultan algunas características comunes a todos los archivos analizados. Dentro de las más relevantes encontramos el hecho de tener un módulo que cumple la función de ser un keylogger, crear archivos con extensión .EXE en la computadora del usuario, instalarse para iniciar con el sistema y generar tráfico de red, entre otras que pueden considerarse como sospechosas. Así que hasta este punto nos encontramos con diferentes archivos sospechosos que realizan el mismo tipo de actividad maliciosa y que para el usuario se ven de forma similar. Como si fuera poco, a este grupo de características comunes se agrega que todos los archivos han sido compilados a partir de scripts en Autoit.”

Esta primera fase de análisis les permitió comprobar similares comportamientos en las muestras, mientras que el análisis dinámico verificó una característica común de funcionamiento en todos los archivos:

“…todos crean un archivo .EXE y un archivo script que contiene todo el código malicioso pero de forma ofuscada. El ejecutable no corresponde a un archivo malicioso, ya que solamente sirve para ejecutar scripts en Autoit. Después de trabajar un poco en descifrar el código del script, empiezan a aparecer algunas características de este código malicioso:”

face3

 

“Por ejemplo, se puede ver cómo se referencia el script que se va a ejecutar y es invisible durante su ejecución. Además de lo anterior, dentro del código del script, seguimos encontrando funcionalidades similares a todas las muestras analizadas. Precisamente una de estas son los mecanismos utilizados para proteger en entornos virtualizados, particularmente para este grupo de muestras analizadas VMware y VirtualBox.”

face4

[/sociallocker]
Por otra parte, y conforme a la imagen siguiente, los investigadores comprobaron la capacidad que tienen para la persistencia en el sistema, de manera que todas las muestras tienen las mismas dos funciones: modificar los registros de Windows e iniciarse con cada nuevo arranque del sistema.

 

face4

 

A lo anotado precedentemente, súmese que los archivos analizados, en su mayor parte aparecían con el código ofuscado, bajo una idéntica técnica: dos funciones anidadas. Una convierte de hexadecimal a ASCII, y otra invierte la cadena de caracteres.

 

face6

 

Asimismo, los investigadores anotan que la función maliciosa más relevante, era la de robar información relacionada con Facebook, en la medida que el malware cuenta con una función que va copiando todo al portapapeles a modo de contenedor de la información o credenciales del usuario; sin perjuicio de obtener información sensible del SO y los perfiles creados en el ordenador.

 

face7

 

En fin, las técnicas cambian, mutan, se perfeccionan, pero será siempre [en mi opinión] la ingeniería social el arma más poderosa del hacking, porque la mayor parte de las infecciones necesitan: click!

Gabriela

***Las imágenes y las citas pertenecen a WeliveSecurity sitio donde se puede ampliar la información***

 

 

Posts Relacionados

Comments

comments

2 comments

  • F04m
    F04m

    Excelente artículo no me había enterado de esto para hackear Facebooks

    • ANTRAX
      ANTRAX

      Si, lamentablemente el lammerismo no tiene limites…

Deja una respuesta

Tu email no será publicado. Los campos requeridos estan marcados con *
Puedes usar tags HTML y los atributos: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">