Archivos del autor: Felipe Rodriguez

Información electoral del 80% de la población en Chile son expuestos por internet

La autenticidad de los datos fue confirmada por el SERVEL

La información de poco mas de 14 millones de chilenos habilitados para votar, fue expuesta y filtrada en internet desde una base de datos de Elasticsearch.

Según ZDNet, el servidor fue hallado por un miembro del equipo de investigación Wizcase, quienes le entregaron la IP del servidor involucrado al periodista de ese medio la semana pasada, con tal de identificar la naturaleza y fuente de la filtración.

Continuar leyendo

Magecart infecta 17.000 sitios debido a la mala configuración de Buckets S3 de AWS

cyware.com

Un nuevo ataque mediante cadena de suministro fue detectado por investigadores de ciberseguridad. Los hackers especializados en tarjetas de pago atacaron a más de 17.000 dominios web, incluidos los 2.000 sitios mas visitados mediante Alexa.

Ya que Magecart no es un grupo de criminales específicos ni un malware, se les denomina a todos aquellos cibercriminales que inyectan skimmers digitales en sitios web comprometidos, sin requerir que todos utilicen técnicas ni sofisticación similares.

El reporte indica que los atacantes utilizaron un enfoque llamado “shotgun” (escopeta), en el cual atacaron un amplio rango de sitios, privilegiando la cantidad de infecciones en vez de concentrarse en objetivos específicos.

Hace unos meses, investigadores de seguridad de RiskIQ descubrieron estos ataques mediante cadena de suministro que involucraba los skimmers digitales de tarjetas de crédito. Sin embargo, luego del monitoreo constante de estas actividades, estos investigadores encontraron que el alcance real de esta campaña es mucho mayor a la reportada previamente.

Hackers de Magecart apuntaron a los repositorios AWS S3 mal configurados

Según los investigadores, desde el inicio de la campaña, este grupo de atacantes ha estado analizando continuamente los repositorios S3 de Amazon en busca de los que están mal configurados, los que permiten que cualquiera vea y edite los archivos que contiene, e inyectando de esta forma su código de skimmer al final de cada archivo JavaScript que encontraron.

Ya que los atacantes no siempre saben si estos archivos son utilizados activamente en los sitios, este método es similar a disparar en la oscuridad, esperando alcanzar algún objetivo entre los repositorios infectados. Muchos de los archivos JavaScript infectados ni siquiera tienen relación a métodos de pago.

El código inyectado tiene un ofuscamiento bastante fuerte:

Código ofuscado
Código sin ofuscar

Mientras tanto, un reporte distinto emitido por el equipo de investigación de Zscaler ThreatLabZ, entrega detalles de una campana recientemente descubierta de Magecart, en la cual los atacantes estuvieron utilizando un enfoque mas sofisticado y dirigido para robar los datos de las tarjetas de crédito de sitios de e-commerce.

De acuerdo al reporte, en vez de utilizar código de skimmer digital mediante JavaScript, el grupo fue detectado utilizando una versión muy ofuscada de su skimmer, la cual utiliza cargas encriptadas en un intento de que sea más difícil detectar cuales sitios estarían comprometidos.

Entre los ataques con Magecart mas conocidos se encuentran los casos de British Airways, Ticketmaster y Newegg. Las multas en el caso de British Airways ascienden a 183 millones de libras esterlinas.

Fuentes:
https://thehackernews.com/2019/07/magecart-amazon-s3-hacking.html
https://www.zdnet.com/article/new-magecart-attacks-leverage-misconfigured-s3-buckets-to-infect-over-17k-sites/
https://www.riskiq.com/blog/labs/magecart-amazon-s3-buckets/
https://www.helpnetsecurity.com/2019/07/11/magecart-unsecured-s3-buckets/
https://unaaldia.hispasec.com/2019/07/magecart-golpea-de-nuevo-amazon-s3-como-vector-de-ataque-contra-17-000-webs.html
https://www.wired.com/story/magecart-amazon-cloud-hacks/

Ciberataque llega hasta sala de control de la NASA

El laboratorio de propulsión a reacción (Jet Propulsion Lab, o JBL) de la NASA, es capaz de enviar cohetes con robots autómatas que desempeñen misiones de exploración en el planeta Marte, una misión de alta complejidad. Sin embargo al parecer sus medida de ciberseguridad no son tan sofisticadas.

Una revelación reciente indica que en 2018 un incidente de seguridad afectó a los sistemas de control de misión, evitando múltiples controles de seguridad TI y exponiendo sistemas y datos de la NASA.

En esa oportunidad los atacantes apuntaron a un dispositivo Raspberry Pi que estaba conectado a la red del JPL sin autorización, explotarla, y luego tomar ventaja de la falta de segmentación de la red interna para encontrar otro nodo que les permitiese ingresar a niveles más profundos de la red. Uno de los niveles afectados contiene sistemas que son utilizados en el control de misiones de vuelo espacial tripuladas por humanos.


Como resultado de este ciberataque, oficiales de seguridad TI del centro espacial Johnson, el cual maneja programas como el vehículo multipropósito Orion y la Estación Espacial Internacional, decidieron desconectar este centro de la red corporativa temporalmente.

Uno de los administradores de sistemas declaró que no ingresan regularmente los nuevos activos dentro de la base de datos de seguridad TI, debido a que la función de actualización de la base de datos a menudo no funciona y luego olvidan ingresar los datos del nuevo activo manualmente.

El impacto en la apreciación de seguridad del centro espacial Johnson fue tan significativo, que fueron aproximadamente 6 meses en los que estuvieron desconectados del DNS.

También agregaron que las vulnerabilidades, aún cuando son detectadas, demoran más de 180 días en ser resueltas.

En este incidente quedan expuestas diversas fallas de seguridad que combinadas pueden conllevar a un desastre, inclusive con costo de vidas humanas. Lo que refuerza el concepto de mantener la seguridad TI en un nivel actualizado ya sea técnicamente como en procedimientos y políticas.

Fuentes:

https://hothardware.com/news/raspberry-pi-was-in-cyberattack-nasas-jpl-network

https://www.forbes.com/sites/daveywinder/2019/06/20/confirmed-nasa-has-been-hacked/#7d77764cdc62

https://www.theregister.co.uk/2019/06/19/nasa_jpl_oig_report_cybersecurity/

DHS (EEUU) urge por parchar vulnerabilidad de Windows: BlueKeep

La agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) del Departamento de Seguridad de la Patria (DHS) de Estados Unidos ha emitido una alerta pública acerca de una vulnerabilidad crítica. Han comunicado explícitamente “actualizar ahora”, sumándose así a la Agencia Nacional de Seguridad (NSA) y a Microsoft en advertir los peligros de la vulnerabilidad BlueKeep (CVE-2019-0708).

Expertos de seguridad pronostican que es sólo cuestión de tiempo, unas cuantas semanas para ser más explícitos, para que los cibercriminales utilicen esta vulnerabilidad como una arma, lo que clasificaría a BlueKeep como una bomba de tiempo cuyo impacto podrían ser similar al que tuvo en su momento el aún célebre WannaCry.

La alerta del CISA confirma este peligro, indicando además de que han determinado que Windows 2000 también es vulnerable a BlueKeep, lo que aumenta la superficie de ataque potencial de un exploit de esta vulnerabilidad.


Investigaciones revelan que poco menos de un millón de máquinas visibles a internet son vulnerables a BlueKeep en el puerto 3389, sirviendo de punto de entrada a cualquier gusano que pueda infectarlos e iniciar un movimiento lateral dentro de su red interna. 

Cabe mencionar que Microsoft ha publicado parches para BlueKeep inclusive para algunos de sus sistemas operativos fuera de soporte (EOL).

BlueKeep impacta los servicios de escritorio remoto en Windows y puede ser explotado al enviar paquetes específicos al objetivo. Es posible utilizarla en un contexto de malware tipo gusano.

El sitio oficial de Microsoft relacionado con esta vulnerabilidad es https://support.microsoft.com/es-cl/help/4500705/customer-guidance-for-cve-2019-0708

Fuentes:

https://www.forbes.com/sites/daveywinder/2019/06/18/u-s-government-announces-critical-warning-for-microsoft-windows-users/#2dd952652d29

https://www.securityweek.com/dhs-issues-alert-windows-bluekeep-vulnerability

https://www.zdnet.com/article/homeland-security-weve-tested-windows-bluekeep-attack-and-it-works-so-patch-now/

NSA llama a los administradores y usuarios de Windows a instalar los parches contra la vulnerabilidad “BlueKeep”

La NSA (National Security Agency) hace un llamado con urgencia a los usuarios y administradores de windows para realizar la actualización de sistema que protege contra la vulnerabilidad “Blue Keep” CVE2019-0708, según la NSA este podría llegar a ser próximo “WannaCry” si no es tratado en este momento.
El parche para este CVE-2019-0708 fue lanzado en el mes de mayo por Microsoft, no obstante se estima que hay casi un millón de equipos vulnerables pendientes de actualización.
BlueKeep es una vulnerabilidad (CVE-2019-0708), que afecta al protocolo de escritorio remoto (RDP) utilizado para que máquinas con Windows se puedan operar a distancia a través de Internet. La vulnerabilidad es crítica y afecta a Windows 7, Windows Vista, Windows XP y a Windows Server 2008 y 2003.
La alerta de NSA es inusual y solo se produce ante casos de extrema gravedad. Hay constancia que un exploit ya está aprovechando la vulnerabilidad y se teme una campaña de ataques que resulten en una situación similar a WannaCry, un malware que también utilizó un fallo en el protocolo de escritorio remoto.
Los titulares de la institución a través de sus redes sociales oficiales han hablado sobre el delicado asunto los últimos días. Pero incluso ya publicaron una entrada en su sitio web oficial. Donde dimensionan con mayor precisión el peligro que representa:
Las advertencias recientes de Microsoft destacaron la importancia de instalar parches para solucionar una vulnerabilidad de protocolo en versiones anteriores de Windows .
Microsoft ha advertido que esta falla es potencialmente “wormable”, lo que significa que podría propagarse sin la interacción del usuario a través de Internet.
Hemos visto gusanos informáticos devastadores que causan daños en sistemas sin parches con un impacto de gran alcance, y estamos buscando motivar mayores protecciones contra esta falla.
Medidas contra BlueKeep
Junto con la instalación de los parches publicados por Microsoft, la agencia de seguridad también recomendó tomar las siguientes medidas adicionales:
Bloquear el puerto TCP 3389 en el cortafuegos, especialmente los perimetrales expuestos a Internet. Este puerto se usa en el protocolo RDP y bloqueará los intentos de establecer una conexión.Habilitar la autenticación de nivel de red. Esto mejora la seguridad, ya que requiere que los atacantes tengan credenciales válidas para realizar la autenticación de código remoto.Deshabilitar los servicios de escritorio remoto si no los necesitas. Esto ayuda a reducir la exposición a las vulnerabilidades de seguridad en general y es una buena práctica incluso sin la amenaza de BlueKeep.
Fuentes:

Hackeo de grupo Fxmsp afecta a 3 productores de antivirus

Hace un par de meses, un grupo de hackers denominado FXMSP realizó el anuncio de que invadieron las redes de 3 empresas de antivirus de Estados Unidos, aduciendo además de que tuvieron acceso al código fuente de sus productos. Estos datos se pusieron a la venta por entre USD$ 150.000 y USD$ 250.000, dependiendo de la cantidad de datos requeridos. Una empresa independiente especializada en prevención de fraudes, publicó un informe acerca de este ataque.
En un comienzo, los nombres de las víctimas de este ataque no fueron revelados al público, por la delicadeza de este dato. Pero luego de que esta noticia se esparciera, fueron las mismas empresas víctimas quienes reaccionaron. Independiente del tipo de reacción que tuvieron, las empresas de antivirus hackeadas fueron McAfee, Symantec y Trend Micro. De hecho los atacantes indicaron explícitamente que explotaron una falla en la seguridad de Trend Micro, y que con McAfee actuaron de forma similar, en ambos casos, indetectados.
Symantec ha negado ser víctima, aunque se encuentra trabajando directamente con AdvIntel para mitigar el riesgo, en lo declarado por la empresa para tranquilizar a sus clientes.
El contenido de los nada despreciables 30 Terabytes de datos robados, parecieran contener datos acerca del desarrollo de las empresas, seguridad web, modelo de inteligencia artificial y el código fuente de los antivirus.
El vector de ataque pareciera ser mediante el compromiso de un servidor de Active Directory, pieza clave en redes Windows para definición de políticas de seguridad, autenticación y autorización de usuarios.
FXMSP sería un grupo de hackers de habla rusa y sus principales objetivos siempre han sido redes corporativas y de gobierno.
En abril de 2018, FXMSP anunció que tenía acceso a información de una cadena hotelera que operaba en Europa, África y Sudamérica. Los hackers también atacaron al Ministerio de Finanzas de Ghana, al gobierno colombiano y a varias compañías de inversión en todo el mundo.
Fuentes:

Google v/s Huawei

Este fin de semana se conoció que la empresa estadounidense impedirá al mayor fabricante de equipos de telecomunicaciones del mundo el uso de algunas actualizaciones dentro del sistema operativo Android.
Los nuevos teléfonos inteligentes de Huawei también perderán el acceso a algunas de las más populares aplicaciones de Google.
La medida se da a conocer después de que la administración del presidente Donald Trump agregara a Huawei a una lista de compañías con las que las empresas estadounidenses no pueden negociar a menos que tengan una licencia especial.
En un comunicado, Google dijo que estaba “cumpliendo con la orden y revisando las implicaciones”.
Huawei, por su parte, dijo que continuará brindando actualizaciones de seguridad y servicios postventa a todos los teléfonos inteligentes y tabletas Huawei y Honor ya vendidos o que se encuentran en stock en todo el mundo.
“Continuaremos construyendo un ecosistema de software seguro y sostenible, con el fin de proporcionar la mejor experiencia para todos los usuarios a nivel mundial”, agregó la empresa.
En una rueda de prensa, el gobierno de China dijo que “apoya a la compañía relevante [Huawei] en la defensa sus derechos legítimos de acuerdo con la ley”.
Huawei todavía puede usar la versión del sistema operativo Android disponible a través de una licencia de código abierto.
Por su parte, los usuarios que hoy tienen un Huawei van a poder seguir usando Google Play (descargando apps). “Estamos cumpliendo con la medida del gobierno y analizando sus implicaciones. Para los usuarios de nuestros servicios, Google Play y las protecciones de seguridad de Google Play Protect siguen funcionando en dispositivos Huawei”, aseguró un vocero de Google a iProUP. Sin embargo, los nuevos teléfonos de Huawei, si la medida del gobierno de US se mantiene así, no van a salir con las apps del desarrollador de Android. Pero para los actuales no hay problema con usarlas o actualizarlas.
Intel, Qualcomm y Broadcom son otras de la empresas norteamericanas que obedecieron la prohibición del gobierno norteamericano de hacer negocios con el gigante chino. Si bien Huawei posee sus propios módems y procesadores, la ruptura con los tres fabricantes de chips más grandes a nivel mundial sin duda afectará a sus dispositivos.
El analista de Rosenblatt Securities Ryan Koontz dijo que Huawei podría quedar “gravemente paralizado” si no cuenta con estos “componentes clave de Estados Unidos”, aunque se cree que la firma china tiene algunas reservas.
Fuentes:

Actualización critica de Microsoft, alarmas de un nuevo WannaCry (CVE-2019-0708)

Hoy Microsoft liberó parches para una vulnerabilidad crítica de ejecución de código remoto, CVE-2019-0708, presente en Remote Desktop Services (antes conocida como Terminal Services) que afecta algunas versiones antiguas de Windows. El protocolo RDP en sí no es vulnerable. Esta vulnerabilidad es pre-autenticación y no requiere interacción del usuario. En otras palabras, la vulnerabilidad es “gusaneable”, lo que significa que cualquier malware a futuro que explote esta vulnerabilidad podría propagarse desde un equipo vulnerable a otro de forma similar a la en la que el malware WannaCry se esparció a través del mundo en 2017. Mientras tanto no se ha observado explotación de esta vulnerabilidad, es altamente posible que algunos ciberdelincuentes escriban un exploit para esta vulnerabilidad y la incorporen en su malware.
Es importante mencionar que recomendamos el parchado de los sistemas afectados a la brevedad de lo posible para prevenir que esta explotación suceda. Como respuesta, Microsoft está tomando la acción de entregar parches de seguridad para todos los clientes con tal de proteger las plataformas de Windows, incluyendo algunas versiones de Windows que se encuentran fuera de soporte.
Entre los sistemas vulnerables se encuentran Windows 7, Windows Server 2008 y 2008 R2. La descarga para versiones de Windows con soporte pueden ser encontradas en Microsoft Security Update Guide. Los clientes de estas versiones con soporte vigente también pueden beneficiarse de la actualización automática ya que este parche se encuentra en despliegue con este método también.
Las versiones de Windows fuera de soporte incluyen a Windows 2003 y Windows XP. Si es usuario de una versión fuera de soporte, el mejor método de mitigar esta vulnerabilidad es actualizar hacia una versión de Windows con soporte vigente. Aún así, Microsoft dispuso de parches disponibles para estas versiones en su KB4500705.
Existe una mitigación parcial en sistemas afectados que tienen habilitada la autenticación a nivel de red (NLA) . Los sistemas afectados son mitigados para evitar infecciones de malware “gusaneable” o malware avanzado que podría explotar esta vulnerabilidad, como NLA requiere autenticación antes de que la vulnerabilidad pueda ser explotada. De todas maneras, los sistemas afectados aún serían vulnerables a explotación por ejecución de código remoto (RCE) si es que el atacante tiene credenciales válidas que puedan ser utilizadas exitosamente.
Debido a lo anteriormente expuesto, se recomienda firmemente que este parche sea aplicado a la brevedad.
Fuentes:

El ransomware “MegaCortex” quiere ser El Único

La súbita aparición de este nuevo ransomware en un gran número de redes empresariales no era el regalo del Día del Trabajo que todos esperaban.
Un nuevo ransomware que se hace llamar MegaCortex tuvo una explosión de vida el miércoles pasado, cuando fueron detectados un gran número de ataques en contra de clientes Sophos al rededor del mundo. Los atacantes que entregaban este nuevo malware emplearon sofisticadas técnicas en sus intentos de infectar a las víctimas.
El intrincado método de infección que MegaCortex emplea, apalanca componentes automáticos y manuales, pareciera que incluye una gran cantidad de automatización para infectar un gran numero de víctimas. En los ataques investigados, los atacantes utilizaron un script de ataque bien común en los red-team para invocar en el ambiente de la víctima un reverse shell de meterpeter. Desde el shell inverso, la cadena de infección utiliza scripts de PowerShell, archivos por lotes desde servidores remotos, y comandos que solamente se ejecutan en algunas máquinas específicas para que el malware descargue ejecutables encriptados, que inicialmente han sido empotrados en el malware primario.
El ataque es iniciado desde un controlador de dominio interno en la red corporativa, cuyas credenciales parecieran estar comprometidas, en lo que sugiere una intrusión e infección manual.
El nombre del malware es un homenaje mal escrito a la corporación burocrática en la cual trabaja el personaje “Thomas A. Anderson” (Neo) en la primera película de The Matrix. La nota de rescate pareciera ser uno de los diálogos del personaje de Lawrence Fishbourne en esta película, Morpheus.

La referencia cinematográfica de la nota de rescate no es sólo eso. La carga ejecutable firmada digitalmente que utiliza para realizar la encriptación tiene un certificado con un CN idéntico al encontrado en ejecutables de noviembre de 2018 mientras aún se buscan las similitudes con muestras más recientes. Al buscar en este CN, los investigadores de Sophos hallaron aún más muestras en su repositorio, las cuales parecieran estar relacionadas con el mismo atacante.
La muestra más antigua hallada de este malware corresponde a una subida a VirusTotal desde República Checa el 22 de enero de este año. Los primeros reportes de usuarios afectados se remontan a febrero, aunque sin infecciones muy extensas, sólo desde el peak del 1 de mayo es cuando se han presentado la mayor cantidad de alertas.

Mientras que la nota de rescate no menciona un precio que estos criminales demanden, ellos sí ofrecen a sus víctimas “una consultoría acerca de cómo mejorar la ciberseguridad de su compañía” y además “garantizan que su compañía jamas será nuevamente incomodada por ellos”.
Mientras que los números de infecciones van al alza, Sophos reunió un equipo de analistas de malware y staff de soporte para apoyar el análisis inicial del ataque y sus repercusiones.
Como funciona MegaCortex
Ahora mismo, no podemos indicar certeramente si los ataques de MegaCortex son apoyados u orquestados por el malware Emotet, pero hasta ahora en la investigación (aún en curso) pareciera existir una correlación entre los ataques con MegaCortex y la presencia de Emotet en la misma red, además del malware Qbot.
En ambas familias de malware existe la habilidad de servir como punto de entrada para otras cargas útiles de malware, con Emotet asociado con el malware de robo de credenciales Trickbot, el cual puede descargar e instalar malware adicional en los equipos infectados, auqnue aún no se encuentra evidencia directa de que estos otros malware sean la fuente de la infección.
En vez de esto, las víctimas reportan que el ataque fue iniciado desde algún controlador de dominio comprometido.
El atacante, utilizando credenciales robadas, ejecutó un script de PowerShell el cual estaba fuertemente ofuscado:

Retirando tres capas de ofuscamiento se revela una serie de comandos que descodifica un bloque codificado en base64. Este bloque pareciera ser un script de Cobalt Strike, el cual abre un shell reverso de Meterpreter en la red de la víctima.

El atacante entonces envía comandos mediante el controlador de dominio en el cual tiene acceso remoto.
Este DC utiliza WMI para enviar el malware en forma de una copia de PsExec renombrada como rstwg.exe, el malware principal ejecutable y archivo por lotes, al resto de los computadores en la red que estén a su alcance, posteriormente ejecutará el batch remotamente mediante PsExec.
El batch pareciera ser sólo una larga lista de comandos para matar 44 procesos, detener 189 servicios distintos, y modificar el Startup Type hacia Disabled en 194 servicios distintos, lo que previene que se vuelvan a ejecutar.

Los atacantes apuntan a una gran cantidad de software de seguridad, incluyendo algunos servicios de Sophos, para de esta forma detenerlos y modificar su estado a deshabilitado, de todas maneras una instalación configurada apropiadamente no permite que se realicen estas acciones.

Finalmente este batch llama al ejecutable descargado previamente winnit.exe, el cual es ejecutado con flags de ejecución que son un trozo de datos codificados en base64.

Este comando llama a winnit.exe para descargar y ejecutar una carga DLL que tiene 8 caracteres alfanuméricos aleatorios como nombre, el cual realiza la encriptación hostil. Esto indica que los atacantes utilizan otros archivos por lotes, llamados 1.bat hasta 6.bat, los cuales contienen los comandos para distribuir el winnit.exe y ejecutar el batch por la red de la víctima.

La demanda de rescate
Típicamente la nota de rescate aparece en la raíz del disco duro de la víctima, en forma de un archivo de texto. En este caso aparece con colores invertidos en una tónica alusiva a las referencias con la película The Matrix, incluyendo una cita textual de un diálogo:

Este ransomware genera un archivo con la extensión .tsv y con el mismo nombre de los 8 caracteres alfanuméricos aleatorios que el DLL malicioso. La nota de rescate solicita que la víctima envíe este archivo con su requerimiento para pagar el rescate, a cualquiera de los 2 emails gratuitos que indica cómo contacto.
Protección recomendada para MegaCortex
Aún se encuentra en desarrollo una perspectiva mas clara del proceso de infección, pero de momento, parece ser que existe una fuerte correlación entre la presencia de MegaCortex, y la preexistencia de Emotet y Qbot en las redes infectadas. Si recibe alertas de Emotet o Qbot, podrían ser prioritarias. Ambos malware pueden ser utilizados para distribuir otro malware, y es posible de que así sea el proceso de inicio de infección con MegaCortex.
No se han observado indicios de que exista abuso o explotación de RDP para ingresar a las redes de las víctimas, pero sí es sabido de agujeros en los firewalls corporativos que permitirían que personas se conecten mediante RDP frecuentemente. Se recomienda fuertemente la no utilización de esta práctica y en caso de ser necesario el acceso por RDP utilizar VPN.
Como este ataque pareciera indicar de que existe abuso de contraseñas administrativas, también se recomienda la adopción de un segundo factor de autenticación para todo lo que actualmente requiere sólo una contraseña y tiene la capacidad de utilizar 2FA.
Mantener respaldos de la data más importante y actualizada en un servicio de almacenamiento offline es la mejor forma de evitar el tener que pagar un rescate por ransomware.
Recuerde que los criminales que ya han entrado a una red y encriptan cientos de endpoints, prometen que al pagarles el rescate ellos no lo harán nuevamente, algo de lo que no es posible estar muy seguros.
Sophos Antivirus detecta estas muestras como Bat/Agent-BBIY, Troj/Agent-BBIZ, Troj/Agent.BAWS, y Troj/Ransom-FJQ. Sophos InterceptX además protege a los usuarios del ataque.
IOC
IP del C2 shell reverso de Meterpreter:
89.105.198.28
Hashes:
Batch: 37b4496e650b3994312c838435013560b3ca8571
PE EXE: 478dc5a5f934c62a9246f7d1fc275868f568bc07
Inyector de DLL secundario: 2f40abbb4f78e77745f0e657a19903fc953cc664
Fuente:
https://news.sophos.com/en-us/2019/05/03/megacortex-ransomware-wants-to-be-the-one/

Vulnerabilidad de WinRAR explotada en varias campañas

WinRAR es un gestor de archivos comprimidos lanzado en 1995, utilizado por más de 500 millones de usuarios a nivel global. Recientemente fue hallada una vulnerabilidad en este aplicación que permite especificar el destino de los archivos extraídos al utilizar el formato ACE, independiente de la ubicación que defina el usuario.
Los atacantes pueden obtener fácilmente persistencia y ejecución remota de código al implantar cargas maliciosas y extraerlas en ubicaciones críticas como “Inicio” de Windows.
Esta vulnerabilidad ya se encuentra solucionada en la última actualización de WinRAR (5.70), pero debido a que este aplicación no cuenta con actualizaciones automáticas, aún existe una gran cantidad de usuarios expuestos a esta vulnerabilidad.
Según FireEye, se han detectado una variedad de campañas con malware escondido en archivos RAR que explotan esta vulnerabilidad. También los métodos de engaño al usuario e infección.
Aclaración: Estos casos son los detallados por FireEye, existe evidencia de la utilización de este método en al menos una campaña que apunta a la banca chilena, lo cual se encuentra detallado en este link: https://www.makros.cl/single-post/2018/11/29/Aumento-de-SPAM-relacionado-al-malware-EMOTET
Caso 1: Suplantación de identidad de Consejo de Acreditación Educacional (USA)
El vector consuste en una carta de aprobación que contiene un ACE dentro de un archivo RAR (Scan_Letter_of_Approval.rar), crea un script de VB en la carpeta de inicio de Windows para que se autoejecute la próxima vez que se inicie este sistema operativo.
Para evitar las sospechas del usuario, el archivo ACE contiene un documento que sirve como señuelo, llamado “Letter of Approval.pdf”, el cual aduce provenir de una organización de educación establecida.
Luego el archivo VBS que viene en el .ACE se instala en el inicio de Windows para ser ejecutado por wscript.exe. Este script define un ID para la víctima basándose en las variables de entorno de Windows. Luego este backdoor se comunica con un servidor de comando y control, en el cual ingresa los datos recopilados de la víctima. La comunicación con este C2 se efectúa mediante cabeceras de autorización HTTP. De esta forma los atacantes pueden ejecutar diversas acciones en el activo infectado como eliminarse, descargar archivos, obtener información del hardware y revisar la presencia de antivirus.

Caso 2: Ataque a la industria militar israelí
De acuerdo a un email enviado a proceso en Virus Total, el atacante aparentemente envía un correo simulado a la víctima, el cual contiene adjunto un archivo ACE dentro de un RAR llamado SysAid-Documentation.rar, Según Virus Total y luego de analizar los encabezados del correo esto se trataría de un ataque a una empresa militar israelí.
La supuesta documentación del adjunto es para un sistema de help desk llamado SysAid, de Israel. En la carpeta descomprimida se encuentra un archivo llamado Thumbs.db.lnk, el cual sirve para las vistas previas de los archivos, sin embargo éste apunta a otro archivo con extensión .BAT el cual descarga su carga útil maliciosa, con la cual puede obtener los hashes NTLM.
Después el malware adjunto utiliza diversos métodos para descargar otra carga útil más, la cual se presume que contiene código específico para extracción de datos.

Caso 3: Ataque potencial en Ucrania con backdoor Empire
En este escenario, el archivo ACE dentro del RAR contiene un PDF que simula ser un mensaje del ex presidente ucraniano, el cual contiene supuesta información de alianzas público-privadas.
Cuando el archivo es extraído, un .BAT es ubicado en la carpeta de inicio, esta contiene los comandos que llaman comandos de PowerShell, los cuales a su vez constituyen el backdoor conocido como Empire, el cual es conocido por su baja detección y altos mecanismos de persistencia.

Caso 4: Más señuelos
Estas campañas ocupan distintos señuelos para distribuir varios tipos de RAT y spyware, uno de estos señuelos aduce ser archivos “filtrados” con números de tarjetas de crédito y contraseñas. Una vez abierto efectivamente muestra un listado de documentos de texto supuestamente con estos datos. A la vez que descarga e instala QuasarRAT, utilizado por sus capacidades como keylogger.
Recomendaciones
Debido a la amplia explotación de esta vulnerabilidad, por los factores indicados al comienzo de este artículo, la primera recomendación y más urgente es actualizar WinRAR a la última versión disponible (5.70 o superior). Esta recomendación de mantener nuestras aplicaciones actualizadas es válida para todo programa que utilicemos.
Además es conveniente contar con un antivirus NextGen como Sophos InterceptX, ya que éste analiza el comportamiento de los procesos en curso para detectar patrones inusualmente maliciosos.
IoC: