Se
ha descubierto Dorifel, un malware
con dos características concretas que lo hacen interesante. Infecta ejecutables
y documentos de Microsoft Word y Excel. Con estos últimos, se comporta como un
"virus de los de antes",
replicándose en por todos los ficheros de este tipo. Vuelve a poner de moda una
técnica para pasar desapercibido de la que ya hablamos el año pasado... y puede
significar un cambio de modelo en el malware.
Hablamos en
la entrega anterior de qué hacía y cómo aparecía Dorifel: cifraba documentos en unidades compartidas
y además, parecía descargarse entre los sistemas previamente infectados por una
variante de Citadel. Veamos ahora otras cuestiones.
Cuál es su propósito
Se han visto otras conexiones con
Zeus/Citadel, por ejemplo, comunicarse con
servidores donde se alojan todo tipo de exploits, malware y componentes
usados habitualmente por esta familia.
Ha afectado principalmente a las empresas de Holanda. No se sabe bien por qué,
pero la historia encaja: si los atacantes han decidido la descarga en máquinas
que ya controlan, por alguna razón han elegido un país concreto. Aunque nos
consta que en España se han dado varios casos de infección.
El propósito de Dorifel es un
pequeño misterio. Normalmente, el malware que cifra documentos pide un rescate
por ellos, pero no es el caso. Podríamos pensar que por el hecho de estar
programado en Delphi y no en otros lenguajes más comunes para este tipo de
malware, como C o C++, se trata de un "entretenimiento"
cuyo fin es el de "molestar".
Pero, teniendo conexiones con creadores de troyanos tan sofisticados y que manejan
un volumen de negocio como Zeus/Citadel... podríamos descartar esta hipótesis: debe haber lucro. Desde luego, tampoco
pretende demostrar habilidades técnicas porque no es especialmente sofisticado.
Quizás se trate de un ensayo, o
un paso más en una estrategia que puede llegar a consolidarse en el futuro.
Unir troyanos bancarios y ransomware
En mayo aparecieron varias noticias
al respecto que pasaron un poco desapercibidas. F-Secure avisó de que había
encontrado una variante de Zeus que bloqueaba el sistema, enseñando una
página en un Internet Explorer que ocupaba toda la pantalla, mostrando un
mensaje probablemente de extorsión. Exactamente igual que muchas
variantes del virus de la policía.
También Trusteer avisó
en mayo de que una variante de Citadel directamente descargaba una DLL con
el famoso (y exitoso) malware
de la policía. No olvidemos que otras variantes de este mismo malware, no
solo bloqueaban el sistema sino que cifraban los documentos que encontraba en
el disco duro.
Dado el éxito del ransomware
últimamente (Briank
Krebs acaba de escribir un artículo donde habla de beneficios de entre
30.000 y 40.000 euros diarios de algunas organizaciones con Reveton o virus
de la policía) no resulta descabellado unir los dos conceptos:
malware que intenta robar claves y credenciales bancarias pero que, en un
momento dado, bloquea el sistema o cifra los documentos y pide un rescate.
Y ese "momento" dado puede ser cuando el atacante compruebe que, por ejemplo,
la víctima infectada no accede durante días a su banca online, se impaciente o
simplemente su banco implemente medidas de seguridad que impidan completar la
estafa. Está demostrado que los bancos
que analizan y persiguen el malware que les ataca, pueden impedir que se
activen, añadiendo cambios en las páginas de banca online o incluyendo
otras medidas de seguridad como tokens y otros factores de autenticación, etc.
Así es que, puesto que está
comprobado que buena parte de este malware permanece días y semanas en el
sistema antes de ser detectado, no es descabellado pensar en un "umbral de paciencia" del atacante
donde pase a tomar medidas más drásticas: si
no puede robar la cuenta bancaria de la víctima, la extorsionará bloqueando el
sistema o cifrando sus documentos importantes. Quién sabe. Todo por el beneficio rápido e inmediato.
Más información:
Inside a ‘Reveton’ Ransomware
Operation
ZeuS Ransomware Feature: win_unlock
Fake G-Men Attack Hijacks Computers for Ransom
Joint attack by banking Trojan and ransomware
Práctico: Cómo ocultar las
extensiones de ficheros gracias a la codificación Unicode.
XDocCrypt/Dorifel – Document encrypting and
network spreading virus
Dorifel crypto malware paralyzes Dutch
companies and public sector
Dorifel Malware Encrypts Files, Steals
Financial Data, May Be Related to Zeus or Citadel
Dorifel Malware Encrypts Files, Steals
Financial Data, May Be Related to Zeus or Citadel
Complete details of the Dorifel servers,
including its 'master' server in Austria
Sergio de los Santos
Twitter: @ssantosv
No hay comentarios:
Publicar un comentario