Virus “El Machete” – Super Malware!!!!


“El Machete” – securelist.

Introducción

Hace algún tiempo, un cliente de Kaspersky Lab en América Latina nos contactó para decir que había visitado China y sospecha de su máquina estaba infectado con un malware no detectado desconocido. Mientras que ayudar al cliente, hemos encontrado un archivo muy interesante en el sistema que es completamente ajenos a China y no contenía trazas de codificación chinos. A primera vista, se hace pasar por una aplicación relacionada con Java, pero después de un análisis rápido, era obvio que esto era algo más que un archivo de Java simple. Fue un ataque dirigido que estamos llamando “Machete”.

¿Qué es “Machete”?

“Machete” es una campaña de ataque dirigido con raíces de habla hispana. Creemos que esta campaña se inició en 2010 y se renovó con una infraestructura mejorada en 2012 La operación puede ser todavía “activa”.

El malware es capaz de las siguientes operaciones de ciber-espionaje:

  • Pulsaciones de teclado de registro
  • La captura de audio desde el micrófono de la computadora
  • Captura de pantallas
  • La captura de los datos de geolocalización
  • Tomar fotos desde la cámara web del ordenador
  • Copiar archivos a un servidor remoto
  • Copia de archivos en un dispositivo USB especial si está insertada
  • Hijjacking el portapapeles y la captura de la información de la máquina de destino

Objetivos de “Machete”

El_Machete_1

La mayoría de las víctimas se encuentran en, Venezuela, Ecuador, Colombia, Perú, Rusia, Cuba y España, entre otros. En algunos casos, como en Rusia, el objetivo parece ser una embajada de uno de los países de esta lista.

Los objetivos incluyen perfiles de alto nivel, incluidos los servicios de inteligencia, militares, embajadas e instituciones gubernamentales.

¿Cómo funciona “Machete”?

El malware se distribuye a través de técnicas de ingeniería social, que incluye los correos electrónicos y las infecciones-phishing de lanza desde la web de un blog sitio web falso. Hemos encontrado pruebas de de exploits para vulnerabilidades de día cero. Tanto los agresores y las víctimas parecen ser de habla española.

Durante esta investigación, también descubrimos muchos otros los archivos de instalación de esta herramienta de ciberespionaje en lo que parece ser un dedicado una campaña de phishing. Estos archivos muestran una presentación de PowerPoint que instala el malware en el sistema de destino una vez que se abra el archivo. Estos son los nombres de los archivos adjuntos de PowerPoint:

  • Hermosa XXX.pps.rar
  • Suntzu.rar
  • El arte de la guerra.rar
  • XXX.rar brasileña caliente

Estos archivos se encuentran en la realidad Nullsoft Installer archivos auto-extraíbles y tienen fechas de compilación que se remontan a 2008.

A consecuencia del código Python incrustado dentro de los ejecutables es que estos instaladores incluyen todas las bibliotecas de Python necesarios, así como el archivo de PowerPoint se muestra a la víctima durante la instalación. El resultado es extremadamente grandes archivos, más de 3MB.

Estas son algunas screnshots de los archivos mencionados:

El_Machete_2

El_Machete_3

El_Machete_4

Un hecho relevante técnica acerca de esta campaña es el uso de Python incrustado en ejecutables de Windows del software malicioso. Esto es muy inusual y no tiene ninguna ventaja para los atacantes, excepto la facilidad de codificación. No hay soporte multi-plataforma que el código está fuertemente orientada en Windows (uso de las bibliotecas). Sin embargo, hemos descubierto varios indicios de que los atacantes prepararon la infraestructura para Mac OS X y Unix víctimas también. Además de los componentes de Windows, también encontramos un (Android) componente móvil.

Ambos atacantes y víctimas hablan español de forma nativa, como lo vemos constantemente en el código fuente del lado del cliente y en el código Python.

Indicadores de Compromiso

Infecciones Web

Los siguientes fragmentos de código se encontraron en el HTML de las páginas web utilizadas para infectar a las víctimas:

El_Machete_4

Nota: Gracias a Tyler Hudak de Korelogic que se percató de que el código HTML anterior se copia pegada del SET, El kit de herramientas de ingeniería social .

También el siguiente enlace para un conocido artefacto infección:

hxxp: //name.domain.org/nickname/set/Signed_Update.jar

Dominios

Los siguientes son los dominios encontrados durante la campaña de infección. Cualquier comunicación con ellos debe ser considerado extremadamente sospechoso

java.serveblog.net
agaliarept.com
frejabe.com
grannegral.com
plushbr.com
xmailliwx.com
blogwhereyou.com (sinkholed por Kaspersky Lab)
grannegral.com (sinkholed por Kaspersky Lab)

Artefactos de infección

MD5 Nombre del archivo
61d33dc5b257a18eb6514e473c1495fe AwgXuBV31pGV.eXe
b5ada760476ba9a815ca56f12a11d557 EL ARTE DE LA GUERRA.exe
d6c112d951cb48cab37e5d7ebed2420b Hermosa XXX.rar
df2889df7ac209e7b696733aa6b52af5 Hermosa XXX.pps.rar
e486eddffd13bed33e68d6d8d4052270 Hermosa XXX.pps.rar
e9b2499b92279669a09fef798af7f45b Suntzu.rar
f7e23b876fc887052ac8e2558f0d6c38 XXX.rar brasileña caliente
b26d1aec219ce45b2e80769368310471 Signed_Update.jar

Huellas en las máquinas infectadas

Crea el archivo Java Update.lnk señalando appdata / jre6 / java.exe

El malware se instala en appdata / MicroDes /

Ejecución de procesos Crea Tarea Microsoft_up

Parte humana de “Machete”

Idioma

La primera evidencia es el lenguaje utilizado, tanto para las víctimas y los agresores, es español.

Las víctimas son todos de habla española de acuerdo con los nombres de archivo de los documentos robados.

El idioma también es el español para los operadores de la campaña, podemos encontrar todo el código del lado del servidor escrito en este idioma: Reportes, ingresar, peso, etc

Conclusión

El descubrimiento “Machete” muestra que hay muchos actores regionales en el mundo de los ataques dirigidos. Por desgracia, este tipo de ataques se convirtieron en una parte del arsenal cibernético de muchas naciones ubicadas alrededor del mundo. Podemos estar seguros de que hay otros ataques dirigidos paralelos que ejecutan ahora en América Latina y otras regiones.

Los productos de Kaspersky Lab detectan muestras maliciosos relacionados con este ataque dirigido como Trojan-Spy.Python.Ragua .

Nota: Un análisis completo de los ataques Machete está disponible para los Servicios Inteligentes de Kaspersky clientes. Contacto: intelreports@kaspersky.com

 

Anuncios

Acerca de UniSoft-AleBo

La tecnología a tu alcance Asesorías Científico - Metodológicas http://plc.site11.com
Esta entrada fue publicada en Capacitación, Consumo, Softwares, Web 2.0. Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s