Campaña de APTs 0-Day, una década pasando desapercibida

Campaña de APTs 0-Day, una década pasando desapercibida

Más de 40 variantes de una familia de malware -hasta ahora desconocido- han estado haciendo de las suyas desde 2007.

Los expertos en ciberseguridad de Palo Alto Networks han explicado en su blog cómo se toparon inicialmente con 2 emails sospechosos, que contenían malware dentro de documentos realizados con Microsoft Office, en Mayo de 2015. Esta operación de cibercrimen utilizaba lo que conocemos como APT o Advanced Persistent Threats para permanecer silenciosamente en el objetivo sin ser detectado, ni por antivirus, ni por seguridad del propio sistema.

Archivo sin firmar que contiene el malware 0-Day Infy

Desde aquel momento, se propusieron recopilar otros emails que contuvieran hashes idénticos a aquellos previamente identificados en primavera de 2015:

Basándonos en diferentes atributos de estos archivos y en la funcionalidad del malware que instalan, hemos identificado y recopilado más de 40 variedades de malware previamente desconocido (0 Day) cuya familia denominamos Infy, habiendo estado envuelta en ataques desde el año 2007. Los ciberataques usando esta herramienta han seguido activos hasta Abril de 2016 inclusive.

Campaña de APTs 0-Day mediante Microsoft Office

Cada ataque mediante Infy comienza, usualmente, con una campaña de Spear-phishing que contiene un documento de Office (Word o PowerPoint, normalmente) infectado.

Infección mediante archivos PPT/PPTX

En los casos en que es una presentación PPT, el documento se abrirá en lo que aparenta ser una película pausada en modo “Presentación de diapositivas PowerPoint”.

Contenidos incrustados en el archivo SFX

En caso de apertura, se nos preguntará si deseamos ejecutar el contenido. Haciendo click sobre “Ejecutar” se abrirá un archivo SFX (Ejecutable Auto-Extraíble de Capa Múltiple), incrustado en el propio documento.

El malware Infy carga entonces una librería DLL, escribe la entrada de registro asociada a Autorun (auto-arranque) y espera a activarse y conectar con uno de los servidores de Comando y Control (C&C) asignados, algo que ocurre tras el reinicio del equipo. Entonces, el APT buscará cualquier antivirus antes de auto-ejecutarse como keylogger, robar datos de navegación y enviar esta y otra información al servidor.

Resultados de VirusTotal

Datos extraídos sobre Infy

Siguiendo el análisis inicial, los expertos Bar y Conant se dieron cuenta de que algunos aspectos de Infy -por ejemplo ciertas partes de la infraestructura de su C&C- sugerían un claro enfoque a nivel geográfico. Además, una clave simple utilizada para cifrar las cadenas del malware ha sido encontrada también en otras campañas de malware.

Esto les llevó a pensar que esta familia de APTs llevaban ya un largo recorrido:

Basándonos en la clave y técnica de codificado usadas, hemos identificado muestras de infy desde al menos mediados de 2007. La actividad ha ido decayendo a partir de 2011. Los registros históricos del servidor C2 asociados con la muestra más antigua encontrada -fastupdate(.)net, sugiere que podría haber estado asociada a actividad criminal desde fechas tan tempranas como 2004.

Cada uno de estos emails maliciosos fueron enviados desde cuentas de Gmail, pertenecientes a una víctima desde Israel. El análisis de los dominios C&C que han tenido una relación directa con dicha cuenta de email y otras similares parecen proceder de Irán.

Prince-of-Persia-5

Es decir, todo apunta a que Irán ha estado utilizando Infy para llevar a cabo campañas de ciberespionaje, tanto sobre gobiernos como ciudadanos, a lo ancho del mundo.

Actualmente, estos documentos maliciosos de Microsoft Office asociados a Infy son reconocibles por 22 de los 56 motores antivirus en VirusTotal. En adelante, sigamos usando la cautela para evitar estos y otros intentos de infección mediante Phishing. ¡La curiosidad mató al gato!

Deja tu comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s