Tendencias de malware Mayo 2017. Destacado: Wannacry y Phishings a Gmail

Un mes más, desde el laboratorio de malware queremos compartir con vosotros lo que se está cociendo en el mundo del malware. Recordar que en este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.

A continuación, mostramos un diagrama con la información recopilada este mes desde el laboratorio:


Para poder observar de un modo más visual determinadas tendencias relativas a la infraestructura de algunas amenazas actuales, una vez más queremos mostraros unas graficas que consideramos interesantes. La idea es sencilla y consiste en recopilar de diferentes fuentes abiertas y de fuentes propias, direcciones IP de Command and Controls (C2 a partir de ahora). Después esta información recopilada la representamos de diferentes maneras como veremos a continuación:

TOP 5 C2

La primera consiste en el TOP 5 de C2 distintos encontrados por un mismo tipo de malware, lo cual nos ayuda a hacernos una idea de su nivel de actividad durante este mes:

 

Además, los diferentes colores identificados en la leyenda de la derecha muestran el país al que corresponden cada una de las direcciones IP de dichos C2.

TOP10 de direcciones IP con dominios de C2

En segundo lugar, tenemos organizado el TOP10 de direcciones IP con mayor cantidad de dominios de C2 distintos que hemos recopilado, llegando hasta 16 dominios a los que contactan distintas muestras para un solo servidor

 

Esta vez, los colores nos muestran el tipo de malware al que corresponde cada dominio de dichas IP.

WannaCry

Mucho se ha hablado ya de esta amenaza, y de su impacto, por ello, hemos pensado que no tiene sentido entrar en detalle sobre ello a estas alturas, así que, puesto que ha sido relevante y desde luego hay que destacarlo este mes, lo que sí que vamos a hacer es dejaros un enlace a un análisis cuyo contenido creemos que puede resultar de interés respecto a esta amenaza.

Phishings a cuentas de Gmail

La revista digital Motherboard, ha publicado este mes una noticia sobre como un grupo probablemente ruso, ha dado una vuelta de tuerca muy interesante a los ataques por medio de Phishing.

En primer lugar, han escogido como objetivo las cuentas de Gmail de sus víctimas, una opción bastante interesante teniendo en cuenta que en la mayoría de casos, se puede restaurar la contraseña de muchos otros servicios a través de esta.

Para ello, han seguido los pasos típicos de clonar un correo real del Google y crearse una cuenta relativamente parecida a la original para enviar dicho correo a sus víctimas:

La técnica interesante en este caso, es que la URL a la que el botón de cambio de contraseña redirige.

Dicha URL lleva al formulario que pide la antigua y “nueva” contraseña y, en primer lugar, está compuesta por un link acortado con el servicio tiny.cc a lo que le suman un servicio del propio Google diseñado para mejorar la navegación en dispositivos móviles que les permite obtener una URL como la siguiente:

 

Dejando una dirección web resultante realmente creíble y que permite que sea muchos más probable no llamar la atención de las víctimas y obtener sus credenciales.

ExploitKits (EK) más activos

Para terminar, repasamos la reciente actividad de los distintos ExploitKits(EK) con más impacto durante este mes. Que según hemos visto este mes han sido RIG y ElTest.

Las victimas de RIG EK han seguido siendo infectadas con muestras del Ransomware Spora y en algunos casos con muestras de troyanos como Kovter y Bunitu.

Por otra parte ElTest, del cual hablamos hace unos meses ha estado instalando muestras del Ransomware Spora al igual que RIG.

Como siempre, recordar que una de las mejores medidas para evitar infecciones a través de este vector de ataque, consiste en mantener actualizado tanto el navegador como cada uno de sus componentes.

Desde el laboratorio de malware esperamos que les sea de utilidad esta información que compartimos cada mes.

Comments

  1. Que buena idea, usar un enlace de google para hacer phising a google. ¿No debería google tener especial cuidado con este tipo de cosas?