Websense Security Labs descubrió un nuevo y emergente descargador de malware que emplea técnicas de evasión y descarga un minero del tipo cryptocurrency. El nuevo malware que hemos llamado ‘f0xy’ es capaz de cambiar dinámicamente su comando y control (C&C), así como descargar y ejecutar archivos arbitrarios. Más interesante aún es que utiliza tácticas de evasión que incluyen el aprovechamiento de la popular red social rusa VKontakte, y emplea el servicio Background Intelligent Transfer Service de Microsoft para descargar archivos.
El comportamiento de f0xy respalda nuestras predicciones de seguridad para 2015 en las cuales los criminales cibernéticos seguirán ocultando su infraestructura C2 en sitios web legítimos. Creemos que ésta será una tendencia creciente en 2015 debido a que los autores de malware reconocen que los intentos de detección maliciosos en sitios web legítimos puede ser difícil para los proveedores de seguridad.
Los clientes de Websense están protegidos contra esta amenaza con ACE, nuestro Motor de Clasificación Avanzada, en las diferentes etapas de ataque, las cuales se detallan a continuación:
- Etapa 5 (Dropper) – ACE tiene la detección de archivos maliciosos utilizados en esta campaña incluyendo la detección del comportamiento malicioso utilizado por f0xy.
- Etapa 6 (Call Home) – ACE detecta la comunicación con los puntos de C&C asociados al programa de descarga f0xy.
Archivo con el reporte Sandbox para el descargador f0xy ‘dropper:
http://csi.websense.com/ThreatScope/FileAnalysis?requestId=ddf3d016-d8ac-4220-969e-a42f002a0039
“El malware emergente f0xy emplea técnicas de evasión particularmente avanzadas y utiliza la astucia y el engaño al intentar ocultarse entre el ruido del tráfico legítimo. Nuestro descubrimiento destaca las sofisticadas técnicas que los cibercriminales están implementando para descargar y ejecutar archivos arbitrarios con ánimo de lucro.
La función principal de f0xy es actuar como un descargador y potencialmente cualquier virus podría estar infiltrado por el código malicioso. En este momento el malware está engañando, explorando su entorno y probando las barreras débiles, lo cual conlleva a una amenaza maliciosa grave. La naturaleza de f0xy se ajusta a la predicción de Websense Security Labs de que este año veremos más malware dentro del ruido de tráfico legítimo, con autores de malware migrando cada vez más hacia sitios web legítimos para ocultar su actividad maliciosa y evitar su detección.
Aún no tenemos ninguna evidencia en nuestra base de clientes de un intento de infectar equipos pero estamos monitoreando de cerca a f0xy”, dijo Carl Leonard, Analista Principal de Seguridad de Websense.
A la Caza de f0xy
Al mirar de cerca el malware, vemos que sólo hay 5/57 detecciones por parte de los proveedores de seguridad para el archivo dropper f522e0893ec97438c6184e13adc48219f08b67d8.
Luego de investigar la infraestructura de C&C se encontraron más muestras que se remontan al 13 de enero de 2015. El análisis sugiere que el autor del malware ha ido cambiando y mejorando el código para obtener mayor confiabilidad y eficiencia, y para llegar a una versión que funcione en la mayoría de los sistemas operativos. Las primeras versiones del malware se ejecutan sólo en Windows 6.0 (Vista) y superiores, mientras que las versiones más recientes también pueden ejecutarse en Windows XP.
Decidimos llamarlo ‘f0xy’ debido a las cadenas que están en los ejecutables y a la clave de registro que crea para la persistencia.
Hasta la fecha no hemos visto ninguna evidencia en nuestra base de clientes de un intento de infectar una máquina con f0xy. Websense Security Labs seguirá supervisando la campaña, ya que los usuarios podrían ser blancos en el futuro.
Tácticas de Sigilo y Evasión
Así como el zorro es conocido en muchas culturas por su astucia y engaño, así es este código malicioso. Existen tres características distintivas que permiten que el software malicioso no sea detectado:
- El malware utiliza muy poco código y ofuscación con el fin de parecer más legítimo y esconderse a plena vista.
- La solicitud se hace a la red social rusa VKontakte, donde la dirección real C&C está oculta.
- Por último el malware utiliza el servicio de transferencia inteligente en segundo plano de Microsoft para externalizar su tráfico de red y evitar la detección por parte de productos de seguridad.
Está claro que las motivaciones financieras se mantienen a la vanguardia en las mentes de los delincuentes cibernéticos con el anonimato de cryptocurrency que proporciona un camino un poco más seguro para recoger el botín. También esperamos ver que los autores de malware migren a sitios web legítimos y de buena reputación para ocultar sus actividades maliciosas y esperamos que muchas más tácticas de evasión adoptadas por los autores, continúen evitando los productos de seguridad. Hemos configurado nuestro servicio ThreatSeeker® Intelligence Cloud para buscar más indicadores de compromiso y podemos usar herramientas como Yara para complementar nuestros propios análisis.
Detrás de Vida y Éxito se encuentra un equipo de profesionales con reconocida trayectoria en el mundo empresarial y el periodístico.
