Tendencias de malware. Noviembre 2017

Destacado: IcedID y botnet Andromeda

Un mes más, desde el laboratorio de malware de S2 Grupo queremos compartir con vosotros lo que se está cociendo en el mundo del malware. Recordar que en este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.

A continuación, mostramos un diagrama con la información recopilada este mes desde el laboratorio:

 

Para poder observar de un modo más visual determinadas tendencias relativas a la infraestructura de algunas amenazas actuales, una vez más queremos mostraros unas graficas que consideramos interesantes. La idea es sencilla, y consiste en recopilar de diferentes fuentes abiertas y de fuentes propias, direcciones IP de Command and Controls (C2 a partir de ahora). Después esta información recopilada la representamos de diferentes maneras como veremos a continuación:

TOP 5 C2

La primera consiste en el TOP 5 de C2 distintos encontrados por un mismo tipo de malware, lo cual nos ayuda a hacernos una idea de su nivel de actividad durante este mes:

 

Además, los diferentes colores identificados en la leyenda de la derecha, muestran el país al que corresponden cada una de las direcciones IP de dichos C2.

TOP10 de direcciones IP con dominios de C2

En segundo lugar, tenemos organizado el TOP10 de direcciones IP con mayor cantidad de dominios de C2 distintos que hemos recopilado.

Esta vez, los colores nos muestran el tipo de malware al que corresponde cada dominio de dichas IP.

Nuevo troyano bancario, IcedID

Desde IBM X-Force, han analizado recientemente una nueva amenaza bancaria muy parecida a Trickbot o Dridex que llega a través de una infección de Emotet. Este troyano cuenta con técnicas de robo de credenciales bancarias muy parecidas a las de Trickbot aunque difiere de este en el hecho de que a fin de monitorizar todo el tráfico del equipo, lo redirige a si mismo por el puerto 49157 desde donde decide si deja pasar el tráfico o lo reenvía a su C2 antes.

Tiene la capacidad de moverse lateralmente entre equipos de una organización a través de LDAP, lo que sugiere que su principal objetivo son redes internas de empresas, ya que es el entorno en el que mejor puede llegar a funcionar esta técnica.

Al igual que otras amenazas recientes, todo su tráfico en dirección a su C2 va cifrado por SSL, lo cual complica su detección en muchos entornos y por el momento, no han visto técnicas anti análisis o anti debugging, pero puesto que es modular y reciente, es probable que en unos meses veamos nuevas características como estas.

 Andromeda botnet tumbada

Hace unos días, se publicaban en diferentes fuentes, que gracias a la colaboración de varios equipos públicos y privados como el FBI, europol o ESET se ha conseguido tumbar la botnet compuesta por la amenaza Andromeda, también conocida como Gamarue.

Esta botnet, al igual que la de Necurs se ocupaba de distribuir distintos tipos de malware a través de correos spam masivos. En los distintos reportes de destaca que han llegado a detectar 2 millones de equipos infectados de entre 223 países distintos, los cuales le aportaban una capacidad muy grande de enviar campañas de spam masivas, siempre desde distintos orígenes.

Cabe destacar que el código fuente de esta amenaza fue filtrado hace unos años, lo que implica que otros actores podrían llegar a modificar parte de la lógica y que empecemos a ver nuevas variantes en cualquier momento. Pero sin duda es una gran noticia que una red de equipos infectados tan grande como esta, deje de llenar buzones de correo de malware.

Exploitkits (EK) más activos

Como siempre repasamos la reciente actividad de los distintos ExploitKits(EK) con más impacto durante este mes. Durante este mes de noviembre, la principal actividad referente a estos, ha venido de la mano de RIG EK, Magnitude y Disdain.

RIG ha estado algo menos activo, pues solo se han obsevado los dos troyanos Dridex y Ramnit durante este mes.

En el caso de Magnitude  ha seguido centrándose solo en una amenaza concreta de tipo Ransomware, en este caso conocida como Magniber.

Por último, el reciente Disdain EK ha estado infectando a sus víctimas con el Troyano Neutrino.

Como siempre, recordar que una de las mejores medidas para evitar infecciones a través de este vector de ataque, consiste en mantener actualizado tanto el navegador como cada uno de sus componentes.

Principales campañas de infección a través de malspam

Al igual que el mes pasado, debido al incremento de campañas de infección de malware a través de spam en detrimento de la utilización de Exploitkits, nos gustaría destacar también las diferentes campañas recientes llevadas a cabo por estos medios.

Este mes pasado tuvo especial impacto el caso de la campaña de infección del ransomware que añadía la extensión “.scarab” a los ficheros cifrados. La campaña consistía en un fichero de scripting en formato ”vbs” comprimido en un fichero “.7z“. Este venía adjunto a un correo en ingles, haciéndose pasar por una foto de móvil o un fichero impreso. La  campaña de infección ha sido atribuida a la botnet Necurs mencionada en el post de tendencias del mes pasado.

Otro caso que ha seguido siendo muy común es el de los intentos de infección a través de Hancitor, un documento con macros ya conocido por su elaborada lógica a la hora de infectar a sus víctimas, y sus capacidades anti detección que ha estado intentando colarnos el mencionado troyano IcedID.

En la mayoría de casos, el fichero adjunto al correo spam es un documento ofimático, como en el caso de Hancitor, y suelen ser fácilmente reconocibles una vez abiertos, por imágenes como estas que nos indican que debemos habilitar las macros, para que puedan infectarnos cómodamente:

Desde el laboratorio de malware esperamos que os sea de utilidad esta información que compartimos cada mes.