Tendencias de malware. Septiembre 2017. Destacado: CVE- 2017-11826

Un mes más, desde el laboratorio de malware de S2 Grupo queremos compartir con vosotros lo que se está cociendo en el mundo del malware. Recordad que en este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.

A continuación, mostramos un diagrama con la información recopilada este mes desde el laboratorio:

Para poder observar de un modo más visual determinadas tendencias relativas a la infraestructura de algunas amenazas actuales, una vez más queremos mostraros unas gráficas que consideramos interesantes. La idea es sencilla y consiste en recopilar de diferentes fuentes abiertas y de fuentes propias, direcciones IP de Command and Controls (C2 a partir de ahora). Después esta información recopilada la representamos de diferentes maneras como veremos a continuación:

 

TOP 5 C2

La primera consiste en el TOP 5 de C2 distintos encontrados por un mismo tipo de malware, lo cual nos ayuda a hacernos una idea de su nivel de actividad durante este mes:

Además, los diferentes colores identificados en la leyenda de la derecha, muestran el país al que corresponden cada una de las direcciones IP de dichos C2.

TOP10 de direcciones IP con dominios de C2

En segundo lugar, tenemos organizado el TOP10 de direcciones IP con mayor cantidad de dominios de C2 distintos que hemos recopilado.

Esta vez, los colores nos muestran el tipo de malware al que corresponde cada dominio de dichas IP.

Nuevo CVE  afectando a MSOffice

Desde hace unas semanas se ha empezado a hablar de una nueva vulnerabilidad en la suite ofimática de Microsoft, que permite a atacantes, ejecutar código de una nueva forma en los equipos de las víctimas a las que envía documentos maliciosos y que ya está siendo utilizada por los malos para infectar equipos.

Concretamente estamos hablando de la vulnerabilidad CVE 2017-11826. La principal ventaja de esta vulnerabilidad sobre la alternativa más común, que son las macros en el documento, es que es algo más discreta y menos conocida. Además a diferencia de otra reciente vulnerabilidad (CVE 2017-0199), ésta aún requiere de interacción del usuario ya que muestra una ventana como la siguiente:

En caso de dar que sí, se ejecuta la lógica pertinente que permite a los malos infectar nuestro equipo a partir del documento en cuestión.

Los documentos ofimáticos son una de las vías preferidas por los distintos actores detrás de las campañas de malware debido a que son mucho más fiables de cara al usuario final que un ejecutable o que ficheros de scripting con formatos raros, por lo que es de gran importancia evitar documentos de fuentes desconocidas, especialmente si nos piden confirmaciones para funciones sin una finalidad clara.

Completa lista de RATs conocidos

Recientemente la usuaria de Twitter @verovaleros ha estado realizando un estudio de los RAT más conocidos hasta la fecha, organizándolos por su fecha de aparición.

Hasta el momento ha recopilado nada menos que 152:

Sin duda, es un gran trabajo de research que permite observar la cantidad de amenazas nuevas solo de este tipo que aparecen cada año. Recientemente está siendo más común encontrar RAT específicos para la plataforma Android.

El estudio sigue en proceso como se puede observar en la cabecera de la figura y en el hilo de twitter donde ha publicado la imagen y donde afirma que todavía le quedan alrededor de 150 más por añadir. Creemos que para todos aquellos interesados en el mundo del malware es un proyecto muy interesante sobre el que vale la pena estar muy atentos.

Para terminar, repasamos la reciente actividad de los distintos ExploitKits (EK) con más impacto durante este mes. Este mes, aunque han seguido con mucha menos actividad que la primera mitad de este año, hemos visto actividad por parte de RIG EK, y Magnitude.

RIG como los últimos meses se ha centrado mucho en RATs ya típicos como Chthonic, Ramnit, Bunitu o Emotet, aunque en este caso también los han acompañado muestras de Ransomware como GlobeImposter o Cerber.

Por parte de Magnitude su objetivo ha sido el de infectar con muestras de Smokeloader a sus víctimas.

Como siempre, recordad que una de las mejores medidas para evitar infecciones a través de este vector de ataque, consiste en mantener actualizado tanto el navegador como cada uno de sus componentes.

Desde el laboratorio de malware de S2 Grupo esperamos que les sea de utilidad esta información que compartimos cada mes.

 

Comments

  1. Excelente nivel de estadísticas.

  2. Gracias Malwargsecurity :)