OSX.Dummy: el malware "tonto" para macOS que pone el objetivo en los usuarios de criptodivisas

El malware ha sido descubierto por el investigador Remco Verhoef (@remco_verhoef) y analizado en profundidad por Patrick Wardle (@patrickwardle). Utiliza métodos bastante simples de infección y persistencia y pone el blanco sobre los usuarios de criptodivisas. 

Hoy hemos analizado una nueva muestra de malware para Mac. Lo he llamado OSX.Dummy porque:

• El método de infección es estúpido.

• El enorme tamaño del binario es estúpido.

• El mecanismo de persistencia es patético (y por tanto también estúpido).

• Las capacidades son más bien limitadas (y por tanto, más bien estúpidas).

• Es trivial detectarlo en cada paso (es así de estúpido).

• ... Y, finalmente, porque guarda la contraseña del usuario en el fichero 'dumpdummy'.

Y así ha sido el bautizo de OSX.Dummy. El malware fue señalado en primera instancia por Remco Verhoef en el artículo "Crypto community target of MacOS malware" para el Internet Storm Center del instituto SANS. En el articulo, Verhoef comenta que durante los últimos días había notado un aumento de mensajes en grupos de Slack y Discord haciéndose pasar por miembros importantes de los mismos. Estos mensajes pedían ejecutar este script:

De forma que la victima se infectara a si misma, en un intento bastante ingenuo ("El método de infección es estúpido"). Este script descarga un fichero MachO de 34 MB ("El enorme tamaño del binario es estúpido"). A la hora de su articulo, no era detectado por ningún motor anti-virus. A día de hoy, ya son 4 motores los que lo señalan como malware.

El análisis de la muestra realizado por Verhoef mostraba referencias a Pkg, un empaquetador que une aplicaciones JavaScript y el servidor node.js en un único ejecutable. El análisis del comportamiento de la muestra arroja la generación de varios ficheros con el objetivo de asegurar la persistencia del malware ("El mecanismo de persistencia es patético").  

En cada inicio se ejecuta el fichero '/var/root/script', cuyo el objetivo es conectarse al punto de control para establecer una shell inversa para poder ejecutar comandos como superusuario de forma remota.

En este punto es donde Patrick Wardle toma el relevo y, además de bautizarlo como hemos visto al principio, encuentra algunos datos interesantes adicionales:

• El fichero '/tmp/dumpdummy' (ya mencionado por Verhoef) sirve para almacenar la contraseña de sudo.
• El binario no está firmado. Estos binarios serían bloqueados por GateKeeper en una situación normal. Sin embargo, al ejecutarse a través de linea de comandos, GateKeeper no lo analiza.
• El tamaño del binario es debido a que varias librerías, como OpenSSL y V8 de Google, se encuentran compiladas estáticamente.

A pesar de ambos análisis, aun está por descubrir por qué el atacante tenía como objetivo la comunidad de usuarios de criptodivisas, ya que el malware no tiene ninguna funcionalidad especifica para las mismas.

Francisco López

flopez@hispasec.com

@zisk0

Más información:

Crypto community target of MacOS malware:
https://isc.sans.edu/diary/23816

OSX.Dummy: new mac malware targets the cryptocurrency community
https://objective-see.com/blog/blog_0x32.html

Rarog: malware para realizar ataques de minado de criptomonedas

El equipo de investigadores de Palo Alto Networks realiza un análisis de Rarog, un troyano de minado de criptomonedas que está creciendo en popularidad debido a su facilidad de uso y versatilidad.

Rarog se empezó a vender en foros underground en junio del 2017. Su precio y su sencillez lo han hecho muy atractivo para delincuentes noveles que quieren realizar ataques de minado de criptomonedas.

Hasta la fecha se ha detectado más de 166.000 infecciones relacionadas con Rarog alrededor de todo el mundo. La mayoría de estas infecciones apuntan a ciudadanos de Filipinas, Rusia e Indonesia.

Mapa de infecciones. Fuente: paloaltonetworks.com

El malware es muy versátil: permite infectar dispositivos USB, configurar distintos programas de minado para distintas criptodivisas, inyectar DLL en la víctima... Además de contar con un panel web donde visualizar información estadística de los ataques y administarlos. 

A pesar de esto, no se tiene constancia de ataques muy lucrativos. A lo sumo se ha podido encontrar el equivalente a unos 120 dólares en una de las carteras de un atacante.


Como decíamos, el troyano se puede adquirir en foros 'underground' por unos 6000 rublos, que al cambio equivalen a unos 85€.

Foro donde se anuncia el malware

Una vez infectado el sistema, el malware cuenta con varios métodos que permiten controlarlo de forma remota:

• /2.0/method/checkConnection - Comprueba el estado de la comunicación con el malware.
• /2.0/method/config - Devuelve los parámetros de configuración del malware.
• /2.0/method/delay - Devuelve el tiempo de espera después de ejecutar el software de minado.
• /2.0/method/error - Devuelve información sobre los mensajes de error mostrados a la víctima.
• /2.0/method/get - Devuelve información sobre la ruta del software de minado.
• /2.0/method/info  - Devuelve el nombre del ejecutable.
• /2.0/method/setOnline - Actualiza las estadísticas en el C&C.
• /2.0/method/update - Actualiza el malware.
• /4.0/method/blacklist - Procesos que pararían las operaciones de minado cuando están en ejecución.
• /4.0/method/check - Query remote C2 server to determine if ID exists.
• /4.0/method/cores - Devuelve el porcentaje de CPU usado.
• /4.0/method/installSuccess - Pide instrucciones al C&C.
• /4.0/method/modules - Para cargar módulos adicionales en la víctima.
• /4.0/method/threads - Funciones adicionales (Propagación por USB, ejecutables auxiliares, etc.)

Todas estas acciones se pueden llevar a cabo desde el panel de C&C donde además se muestra información estadística sobre los ataques.

Panel C&C. Fuente: paloaltonetworks.com

Los paneles de control descubiertos por el equipo de Palo Alto se encuentran en su mayoría en servidores de Rusia y Alemania.

Aunque Rarog no ha sido muy mediático la tendencia al alza de este tipo de ataques y su facilidad de uso han hecho crecer su popularidad. 

Mensaje en el foro de un usuario de Rarog

Algunos IOCs de las últimas muestras encontradas:

• f9bd93476d5f486c0296690c08a7eabba8e0a035967e9ad8044909cf87d36888
• 180910f0e3586d6660d89d33048c9d8ba1714ea95c994ce98c42a81e811085d7
• 0607f80f1d2ae83e5a5bdd7e871345d8154ae4d194d3269723b5ca7d3f1a8ef4
• 3e495463f7a13b76dc21ea8475b989b10417e876ca03f50b890edc2106ce31fd
• f52f6e2c719f241de37ad01ca4d7adb7dc273b67dfdd1189a32aa87da075d8c0
• 7041f575e6bfea69ff0b2debc1bb5ea66c0e061c0a749af6014829051e16ce21
• 5efd0bc2d0bdc6c52da41b022f658d599ec4458080e2935e2a4694273e85db17
• 57372a5f36bbde6c76644ba41f51eaeaeab9bb533e96921e9c1c21d97c4970a0
• bf5e333b94e934add020508b488c7ad8ed2db7c22c28008e160038bf6ae72dc7
• 399c081d2446454636ebad83f5f5fb519cc084bd0f3fc8714d0dd39947504865
• 1ae2c0dcba70f94fde9d01e53f1c935b23df629e45536c512250a4dc1f8548c6
• 16fec36b6f1cd8b4efe67bbad835c45dff38816b9899ba826cf4c841725dcc52
• ba8701317a92692cb92e10ac6200c7b9539dcb0b450fcc9c744a56e3809996f0
• 9ea0ae9cc3de617a09f8145279954eb92e267971971df8b1a7de4fae7e58ef43
• 2913503ba2322216be1de3e3d34ed5619a731d12c290512eccc88b53a002fe6c
• 2f86ff04d167d4311c06c77c57f2007e82a9f336754479a65bf217d3abb10587
• 7d8ff4abe67d4001b0eca4c0e47305cea05ea9d8c97945d1f125f9de94ceec3f

Francisco Salido
fsalido@hispasec.com

Más información:

Smoking Out the Rarog Cryptocurrency Mining Trojan:
https://researchcenter.paloaltonetworks.com/2018/04/unit42-smoking-rarog-mining-trojan/

Rarog IOCS
https://github.com/pan-unit42/iocs/tree/master/rarog

Evrial, un troyano con capacidad para manipular tu portapapeles

Evrial es un troyano diseñado para el robo de información en sistemas Windows. Como muchos otros tiene la capacidad de robar cookies y credenciales, pero la particularidad de esta nueva familia es que además puede acceder y manipular el portapapeles, pudiendo "secuestrar" transferencias de criptomonedas y redirigirlas a la cartera del atacante.

Descubierto por los investigadores @malwrhunterteam y @0x7fff9, Evrial se anunciaba en foros por un precio que ronda los 25 dólares. 

Cuando se realiza el pago, el comprador recibe acceso a un panel web que permite al atacante configurar y compilar el ejecutable y recibir la información que recopila de las víctimas.

Como comentábamos antes, Evrial tiene la capacidad de poder controlar el portapapeles de Windows, lo que permite detectar direcciones de carteras de bitcoin y reemplazarlas por una dirección arbitraria.

Detección de direcciones de 'wallets' para distintas criptomonedas

Reemplazando la cadena en el portapapeles

Además de esto también Evrial también tiene capacidad para:

• Robar contraseñas almacenadas en el navegador
• Robar ficheros 'wallet.dat'
• Robar credenciales de Pidgin y FileZilla
• Robar cookies y otros documentos del escritorio
• Hacer capturas de pantalla

IOCS

9edd8f0e22340ecc45c5f09e449aa85d196f3f506ff3f44275367df924b95c5d
https://www.virustotal.com/en/file/9edd8f0e22340ecc45c5f09e449aa85d196f3f506ff3f44275367df924b95c5d/analysis/1516121833/

Francisco Salido
fsalido@hispasec.com

Más información:

Evrial Trojan Switches Bitcoin Addresses Copied to Windows Clipboard:

https://www.bleepingcomputer.com/news/security/evrial-trojan-switches-bitcoin-addresses-copied-to-windows-clipboard/

Digmine se propaga a través de Facebook Messenger para minar cripto-monedas a tu costa

Utilizar los recursos de tu máquina para minar cripto-monedas está siendo una técnica cada vez más habitual entre los ciber delincuentes. A diferencia de los ya conocidos "ransomwares", que utilizan técnicas más agresivas, secuestrando literalmente los archivos de tu máquina. Los troyanos de minado de cripto-monedas utilizan la capacidad de procesado del dispositivo infectado para obtener las criptodivisas sin que la víctima se entere.

El pasado 21 de diciembre el equipo de Trend Micro publicó en su blog el análisis sobre una nueva familia: Digmine.

Digmine está programado en 'AutoIt', un lenguaje de programación utilizado para automatizar procesos en Windows. Tiene la característica de se propaga a través de Facebook Messenger, utilizando como cebo un supuesto vídeo que en realidad contiene el ejecutable de AutoIt. Cuando la víctima abre el archivo queda infectada y reenvía el mensaje malicioso a sus contactos.

Mensaje-cebo enviado a través de Facebook Messenger.
Fuente: http://blog.trendmicro.com/

El proceso de infección ocurre de la siguiente forma:

1. La víctima ejecuta el malware, que se conecta al C&C para descargar su configuración y otros componentes al directorio %appdata%\<username> de la víctima.
2. Posteriormente modificará el registro de Windows para ejecutarse al iniciar el ordenador.
3. A continuación ejecutará Chrome e instalará una extensión que se utilizará para mostrar un servicio fraudulento de streaming de vídeo mientras se comunica con el C&C para descargar más configuraciones y manipular Facebook Messenger para propagar el virus.

Captura del servicio fraudulento de streaming.
Fuente: http://blog.trendmicro.com/

El componente usado para minar las cripto-monedas es XMRig, un software open-source utilizado para minar 'Monero'.

Fichero de configuración de XMRig.
Fuente: http://blog.trendmicro.com/

Tanto el 'downloader' como el 'miner' usan el protocolo HTTP para comunicarse con el C&C. Utilizando el 'User-Agent: Miner' para prevenir en cierta medida conexiones no autorizadas.

GET /api/apple/config.php HTTP/1.1
Connection: Keep-Alive
Accept: */*
User-Agent: Miner
Window: <Window name of active window>
ScriptName: <filename of malware>
OS: <OS version>
Host: <C&C>

Como medida de seguridad se recomienda bloquear los mensajes de desconocidos o que no hayamos solicitado, así como asegurar nuestra cuenta de Facebook para evitar accesos no autorizados.

Trend Micro ha compartido además algunos indicadores de compromiso con los que actualizar nuestro IDS:

TROJ_DIGMINEIN.A
beb7274d78c63aa44515fe6bbfd324f49ec2cc0b8650aeb2d6c8ab61a0ae9f1d

BREX_DIGMINEEX.A
5a5b8551a82c57b683f9bd8ba49aefeab3d7c9d299a2d2cb446816cd15d3b3e9

TROJ_DIGMINE.A
f7e0398ae1f5a2f48055cf712b08972a1b6eb14579333bf038d37ed862c55909

Francisco Salido

fsalido@hispasec.com

Más información:

Digmine Cryptocurrency Miner Spreading via Facebook Messenger:
http://blog.trendmicro.com/trendlabs-security-intelligence/digmine-cryptocurrency-miner-spreading-via-facebook-messenger/

RedAlert2.0, nuevo troyano bancario en Android

En foros underground se ha estado cocinando un nuevo troyano bancario, bautizado como RedAlert 2.0 por el creador. A diferencia de otros bots anteriores, no utiliza como base de código otros troyanos que acostumbraban a tomar códigos filtrados para su desarrollo. Entidades españolas como Bankia o BBVA se ven afectadas.

RedAlert cuenta con características comunes al resto de troyanos bancarios en Android como Overlay (superposición de un falso login), control sobre los SMS y extracción de los contactos. 

Como principal novedad, los equipos de respuesta de incidente de las entidades bancarias pueden verse afectados por este troyano. Los SOC internos suelen localizar a los clientes por vía telefónica para avisarles de la infección. Este troyano monitoriza y bloquea las llamadas que provienen de entidades bancarias para evitar el contacto.

Otra particularidad es que utiliza Twitter como método para conseguir nuevos centros de control en caso de que su servidor por defecto sea neutralizado. 

Vector de infección utilizado por RedAlert

Utiliza un vector de infección típico utilizado por el Malware en Android para evitar tener que evadir los controles de la Google Play Store: se hace uso de un servidor comprometido o registrado con fines maliciosos que, al visitarlo, contiene una falsa alerta de actualización para dispositivos Android. Los usuarios se descargan así automáticamente el APK y lo ejecutan. Una vez ejecutado, se solicitan permisos de administrador de dispositivo y se comprueba la hora UTC via timeapi.org. 

Esquema de comunicaciones de RedAlert

Una vez tiene todo lo necesario para proceder a comunicarse con el servidor de control, comienza a enviar datos al servidor remoto:

• Modelo.
• Versión de Android.
• Idioma del teléfono.
• IMEI del dispositivo infectado. 

Estas comunicaciones utilizan codificación BASE64, por lo que son sencillas de visualizar. Consecuentemente, se envía información sobre si se consiguió el permiso de administrador en el dispositivo junto con un array con el contenido de SMS al servidor remoto. Finalmente, cuenta con el comando UCS utilizado para recibir instrucciones, y puede introducirse cualquiera de los comandos incluidos en el listado ilustrado en el esquema de comunicaciones. 

La metodología de robo de credenciales a las víctimas es similar al resto de troyanos en Android actuales. Sin embargo, a partir de las versiones Android 5.0 en adelante se hace uso de Android toolbox, que encapsula la funcionalidad de los comandos mas comunes en Linux en un único binario, como por ejemplo 'ls' o 'ps'. 

Fragmento de codigo correspondiente a la llamada de `toolbox ps -p -P -x -c`

Como comentabamos anteriormente, es destacable que a pesar de que hace uso de métodos utilizados por otros troyanos bancarios no es una evolución de código anterior. Se trata de un troyano que se ha programado completamente desde cero y cuenta con actualizaciones constantes. Este tipo de troyanos de momento se encuentran en markets no oficiales y en otras páginas con el fin de infectar usuarios.

De momento todas estas muestras se pueden detectar con Koodous Antivirus, y se pueden localizar muestras mediante el tag #RedAlert en Koodous o en el siguiente enlace.

Más información:
* https://clientsidedetection.com/new_android_trojan_targeting_over_60_banks_and_social_apps.html
* https://github.com/virqdroid/Android_Malware/tree/master/Red_Alert_2

Fernando Díaz

fdiaz@hispasec.com
@entdark_

El troyano Faketoken evoluciona y apunta a nuevos objetivos

Investigadores de seguridad de Kaspersky han descubierto una nueva variante del troyano Faketoken llamado Faketoken.q el cuál es capaz de detectar y grabar todas las llamadas telefónicas que se realizan con el dispositivo infectado. Además ataca a aplicaciones móviles que hagan uso de pagos con tarjeta.



El vector de ataque usado son los SMS. En ellos solicitan a los usuarios móviles descargar una imagen, que acaba siendo el punto de entrada del malware en el dispositivo.

Los investigadores aseguran que ha sido diseñado para usuarios rusos por lo que utiliza tal idioma como lenguaje principal en su interfaz.

Como graba las conversaciones telefónicas

Una vez descargado, el malware instala los módulos necesarios y el payload principal en el smartphone.

Cuando una llamada comienza en el dispositivo infectado, el malware comienza a grabarla y la envía simultáneamente al servidor principal del atacante.

Superposición de aplicación para robar credenciales de tarjetas de crédito

Además de la característica anteriormente mencionada, Faketoken.q comprueba que aplicaciones se están usando en el smartphone. En caso de que alguna aplicación tenga una interfaz simulable por el troyano, este superpone una falsa interfaz para el robo de información.

Para conseguir esto, el troyano usa una opción de Android - que usan otras muchas aplicaciones y malware - para colocar la ventana por delante de las demás.

La falsa interfaz aparece para que la víctima introduzca sus datos bancarios y estos puedan llegar a usarse más adelante para realizar transacciones fraudulentas.

La muestra analizada por Kaspersky puede encontrarse en Koodous:

8508e1db6ca569937f9bda2a5e696c06b5bb1b6277af3da2dbcc67d27adbb67a

Daniel Púa

@arrowcode_

dpua@hispasec.com

Más información:

Booking a Taxi for Faketoken

https://securelist.com/booking-a-taxi-for-faketoken/81457/

Lipizzan: el nuevo Malware espía detectado en Google Play

Hace unos días, Google anunciaba el descubrimiento de un nuevo malware para Android. Se trata de una aplicación maliciosa cuya misión es recopilar todo tipo de información personal sobre la víctima para después transmitirla al atacante.

El malware implementa rutinas para capturar datos de las principales aplicaciones de mensajería: WhatsApp, Telegram, Messenger, Skype, GMail, etc.

Además, permite controlar de forma remota la cámara, el micrófono y acceder a los archivos del dispositivo y a su localización.

Aunque no se conoce con seguridad su procedencia, los investigadores de Android Security han encontrado en su código referencias a Equus Technologies, una empresa israelí especializada en el desarrollo de herramientas de vigilancia. De hecho, para la investigación sobre Lipizzan se han utilizado las mismas técnicas que en el estudio de otras infecciones recientes como Chrysaor, desarrollada por NSO Group.

Logo de NSO Group

Cómo infecta Lipizzan

El virus se camufla como una aplicación legítima para realizar backups o para limpiar el sistema, poniendose a disposición del público en distintos markets y repositorios (incluído Google Play). La infección tiene lugar en dos etapas:

1. Una primera etapa, en la que la víctima descarga e instala la aplicación.
2. Una segunda, etapa en la que tras comprobar que el dispositivo es vulnerable, descarga las instrucciones necesarias para rootear el dispositivo y controlarlo.

Muestra de la segunda componente:

Media Server [Koodous]

Las últimas variantes del virus cambian el nombre de paquete, y ahora transmiten el exploit de la segunda fase de forma cifrada, lo que dificulta la detección. Además dispone de mecanismos de detección de máquinas virtuales para ocultar su verdadero comportamiento ante los ojos del analista inexperto.

A continuación uno de los ficheros de configuración que recopila alguna información interesante sobre el malware:

Extensiones de los archivos objetivo

"extensions": ["3dm", "3ds", "3fr", "3g2", "3gp", "3gpp", "3pr", "7z",
"ab4", "accdb", "accde", "accdr", "accdt", "ach", "acr", "act", "adb",
"ads", "agdl", "ai", "ait", "al", "apj", "arw", "asf", "asm", "asp", "asx",
"avi", "awg", "back", "backup", "backupdb", "bak", "bank", "bay", "bdb",
"bgt", "bik", "bkp", "blend", "bpw", "c", "cdf", "cdr", "cdr3", "cdr4",
"cdr5", "cdr6", "cdrw", "cdx", "ce1", "ce2", "cer", "cfp", "cgm", "cib",
"class", "cls", "cmt", "cpi", "cpp", "cr2", "craw", "crt", "crw", "crypt5",
"crypt6", "crypt7", "crypt8", "cs", "csh", "csl", "csv", "dac", "db", "db-journal",
"db3", "dbf", "dc2", "dcr", "dcs", "ddd", "ddoc", "ddrw", "dds", "der", "des",
"design", "dgc", "djvu", "dng", "doc", "docm", "docx", "dot", "dotm", "dotx", "drf", "drw", "dtd", "dwg", "dxb", "dxf", "dxg", "eml", "eps", "erbsql", "erf", "exf", "fdb", "ffd", "fff", "fh", "fhd", "fla", "flac", "flv", "fpx", "fxg", "gray", "grey", "gry", "h", "hbk", "hpp", "ibank", "ibd", "ibz", "idx", "iif", "iiq", "incpas", "indd", "java", "jpe", "kc2", "kdbx", "kdc", "key", "kpdx", "lua", "m", "m4v", "max", "mdb", "mdc", "mdf", "mef", "mfw", "mmw", "moneywell", "mos", "mov", "mp3", "mp4", "mpg", "mrw", "mrw", "msg", "myd", "nd", "ndd", "nef", "nk2", "nop", "nrw", "ns2", "ns3", "ns4", "nsd", "nsf", "nsg", "nsh", "nwb", "nx2", "nx1", "nyf", "oab", "obj", "odb", "odc", "odf", "odg", "odm", "odp", "ods", "odt", "oil", "orf", "ost", "otg", "oth", "otp", "ots", "ott", "p12", "p7b", "p7c", "pab", "pages", "pas", "pat", "pcd", "pct", "pdb", "pdd", "pdf", "pef", "pem", "pfx", "php", "pl", "plc", "pot", "potm", "potx", "ppam", "pps", "ppsm", "ppsx", "ppt", "pptm", "pptx", "prf", "ps", "psafe3", "psd", "pspimage", "pst", "ptx", "py", "qba", "qbb", "qbm", "qbr", "qbw", "qbx", "qby", "r3d", "raf", "rar", "rat", "raw", "rdb", "rm", "rtf", "rw2", "rw1", "rwz", "s3db", "sas7bdat", "say", "sd0", "sda", "sdf", "sldm", "sldx", "sql", "sqlite", "sqlite3", "sqlitedb", "sr2", "srf", "srt", "srw", "st4", "st5", "st6", "st7", "st8", "stc", "std", "sti", "stw", "stx", "svg", "swf", "sxc", "sxd", "sxg", "sxi", "sxm", "sxw", "tex", "tga", "thm", "tlg", "txt", "vob", "wallet", "wav", "wb2", "wmv", "wpd", "wps", "x11", "x3f", "xis", "xla", "xlam", "xlk", "xlm", "xlr", "xls", "xlsb", "xlsm", "xlsx", "xlt", "xltm", "xltx", "xlw", "ycbcra", "yuv", "zip"],

Lista negra de aplicaciones

"blacklist_apps": ["org.antivirus", "com.antivirus", "com.avast.android.mobilesecurity", "com.cleanmaster.security", "com.avira.android", "com.trustgo.mobile.security", "com.kms.free", "com.kaspersky.kes", "com.kaspersky.lightscanner", "com.cleanmaster.mguard", "com.lookout.enterprise", "com.wsandroid.suite", "com.eset.ems2.gp", "com.symantec.enterprise.mobile.security", "com.qihoo.security",
"org.malwarebytes.antimalware", "com.trendmicro.tmmssuite.mdm", "com.trendmicro.virdroid", "com.bitdefender.antivirus", "com.zimperium.zips", "com.psafe.msuite", "com.sophos.smsec", "com.drweb", "com.drweb.mcc", "com.bullguard.mobile.mobilesecurity", "com.bullguard.mobilebackup", "net.nshc.droidx3", "net.nshc.droidx3web", "com.sophos.appprotectionmonitor", "com.sophos.smsec", "com.sophos.mobilecontrol.client.android", "com.sophos.smenc", "com.comodo.cisme.antivirus", "com.quickheal.platform", "com.mobandme.security.virusguard", "de.gdata.mobilesecurity", "de.gdata.securechat", "com.webroot.security.sme", "com.webroot.secureweb", "com.ahnlab.v3mobileplus", "com.antiy.avlpro", "com.antiy.avl"],

Servidor de contacto

"api_url": "https://vps.equus-tech.com:44001",

Algunas muestras de Lipizzan

Primeras versiones de Lipizzan

• Backup Star [Koodous]
• Backup for Android [Koodous]
• InstantBackup [Koodous]
• BackupIt [Koodous]
• Thunder Backup [Koodous]
• NowBackup [Koodous]
• Backup Fast [Koodous]
• Gold Backup [Koodous]
• Data Saver [Koodous]
• BackupDroid [Koodous]
• Backup Plus [Koodous]

Versiones actualizadas de Lipizzan

• Alarm Manager [Koodous]
• Process Cleaner [Koodous]
• Sound Recorder [Koodous]
• SD Backup [Koodous]
• Waiting for scan [Koodous]
• Ultra Cleaner [Koodous]
• Device Cleaner [Koodous]
• Notes Plus [Koodous]
• Pro Cleaner [Koodous]

Las aplicaciones ya se encuentran fuera de Google Play y los pocos usuarios infectados (unos 100) ya han sido debidamente notificados.

Como siempre y como recomendación: sentido común y desconfiar de aplicaciones poco conocidas.

Más información:

Información oficial de los desarrolladores de Google

https://android-developers.googleblog.com/2017/07/from-chrysaor-to-lipizzan-blocking-new.html

Repositorio con muestras de Lipizzan

https://github.com/fs0c1ety/Android-Malwares/tree/master/Lipizzan

Francisco Salido

fsalido@hispasec.com

Particle/Youtube+ vendida...y troyanizada

Particle es una extensión para Chrome y Firefox que extiende la funcionalidad de YouTube, y además es muy popular entre sus usuarios, contando con un total de 31.187 hasta la fecha. 

Esta extensión posee una gran cantidad de caracteristicas, entre las que destacan:

• Desactivar los 60fps
• Gestionar en qué canales quieres ver anuncios
• Bloquear canales
• Permitir reproducir videos en una ventana aparte

Y la lista continúa. Puede verse por completo en el siguiente enlace: https://github.com/ParticleCore/Particle/wiki/Features

Funcionalidad de ventana

El problema surge cuando, sin previo aviso, la extensión es vendida a un tercero. La intención del autor original era desarrollar una nueva extensión que trabajase con el nuevo diseño de YouTube, y no tenía intención de continuar con el desarrollo de la anterior. 

Sin embargo, el nuevo dueño de la extensión introdujo una versión modificada, troyanizando la extensión y poniendo en riesgo a miles de usuarios, que sin previo aviso se vieron afectados. Para infectarlos, se actualizaba con una versión modificada del paquete: https://crx.dam.io/source/crxviewer.html?crx=https://crx.dam.io/files/gobbnicjoijcfndfmmfjnfgldgcnjibl/4.1.9.0.zip 

"but whatever the case could be, anything would have to be disclosed to the users previous to any changes and anything unrelated to the extension features (such as data collection or advertisements, for example) will have to be opt-in by default or acceptable during install/implementation."

El autor original menciona que le ofrecieron poner anuncios en su extensión o venderla, y este puso como condición que los usuarios fueran informados previamente del cambio, como afirma en un extracto de las comunicaciones con el comprador. Sin embargo, esta condición no fue cumplida y quedaron troyanizados sin previo aviso. 

De momento solo la versión de Chrome se ve afectada y no la de Firefox, aunque se recomienda desinstalar inmediatamente cualquiera de ellas.

Más información: https://github.com/ParticleCore/Particle/issues/528

Fernando Díaz

fdiaz@hispasec.com

El troyano bancario Trickbot llega a España

Hace tiempo que llevamos siguiendo las andanzas del troyano bancario Trickbot. Se ha recorrido medio mundo: Australia, Irlanda, Inglaterra, Alemania, Canadá… y hoy mismo acabamos de detectar una muestra que ataca a entidades españolas.

No hacía falta ser Nostradamus, era previsible, de hecho ya lo dijimos hace meses cuando llegó a Europa:

"A pesar de no haber golpeado aún a bancos españoles, es posible que tras haber mutado en poco tiempo desde Australia hacia Europa, pueda acabar afectando a entidades españolas.".

Con el paso del tiempo, el rango de victimas ha ido aumentando, así como el de países afectados hasta finalmente incluir España dentro de su alcance.

Países con entidades afectadas por Trickbot

El ataque llega a través de un correo electrónico que incluye un documento adjunto como el que podemos ver a continuación: 

Documento malicioso.

En el correo se menciona una falsa querella contra la empresa, intentando lograr que el usuario haga click sobre el documento. 

Al abrir el documento se ejecuta una macro automáticamente que lanza un comando a través de Powershell. Este comando se encargará de descargar desde un servidor remoto un binario (el malware propiamente dicho) que posteriormente será ejecutado por el script. De esta manera el ordenador de la víctima queda infectado.

Ejecución de Powershell bajo el documento de Office

La muestra cuenta con una tarea que se ejecutará constantemente para asegurarse que el troyano bancario siga ejecutándose sin problemas. 

Infraestructura remota del troyano.

Contamos también con el listado de infraestructuras remotas utilizadas por el troyano bancario, además de los módulos y configuración obtenido por este. En total se encuentran afectadas un total de 76 entidades de todo el mundo, incluyendo españolas. Cabe destacar, que esta muestra afecta incluso a entidades del sector farmacéutico.

Inyecciones utilizadas por el troyano bancario

Entre las nuevas entidades españolas incluidas podemos encontrar:  

• Bancofar
• caja-sur
• Kutxabank
• caja-ingenieros
• Ruralvia

El hash de la muestra:

88bef4abd4db5e07764358ca39fe5bbf257603dbf3f0e4eeec2e8c127cfa7bfd
36b83f1df7c918efcde6ec5a895b4b53ec0307b1b8603a5ba3a3ab63ab7c2265

Como siempre, ante este tipo de amenazas, se recomienda mantener los antivirus actualizados, así como evitar abrir e-mails adjuntos de desconocidos. También recordar que si recibís correos que consideréis falsos, con facturas falsas, fraude o malware podéis enviárnoslo a report@hispasec.com.

Más información:

una-al-dia (07/11/2016) El troyano bancario TrickBot azota a Europa

http://unaaldia.hispasec.com/2016/11/el-troyano-bancario-trickbot-azota.html

Laboratorio Hispasec

Continúan las andanzas de Trickbot

http://laboratorio.blogs.hispasec.com/2016/11/continuan-las-andanzas-de-trickbot_29.html

Fernando Díaz

fdiaz@hispasec.com