Actualmente las campañas de malware constituyen una amenaza significativa a nivel regional e internacional, ya que los ciberdelincuentes están adaptando sus tácticas para aprovechar las vulnerabilidades existentes, causando un gran impacto sobre la seguridad de los sistemas e infraestructuras con el desarrollo de nuevas variantes de malware, tales como AgentTesla, NanoCore, RemcosRAT, SnakeKeylogger, etc.
El panorama de la ciberseguridad está evolucionando exponencialmente, y el malware se ha convertido en una de las mayores amenazas para las organizaciones en todo el mundo. Los ciberdelincuentes continúan mejorando sus técnicas y herramientas para comprometer sistemas, robar información confidencial y causar daños significativos.
La infección por malware se ha convertido en la primera inquietud para las organizaciones en Latinoamérica, por delante del robo de información (60%) y el acceso indebido a los sistemas (56%). Así lo pone de manifiesto el ESET Security Report 2022, el informe anual que analiza el panorama de ciberseguridad en Latinoamérica.
En lo relativo al malware, la preocupación es justificada: en 2022, el 34% de los ciberincidentes que sufrieron las empresas latinoamericanas tuvo que ver con códigos maliciosos. A tenor de los datos de ESET, las organizaciones de Perú (18%) fueron las más afectadas, situándose a continuación las de México (17%), Colombia (12%), Argentina (11%) y Ecuador (9%).
A continuación, se presenta una lista de malware que se encuentra operando activamente a nivel mundial y que dispone de la capacidad de extenderse a América Latina:
AgentTesla
Agent Tesla es un malware del tipo remote access trojan (RAT) que está activo desde 2014 y que es distribuido como un Malware-as-a-Service (MaaS) en campañas a nivel global.
Este malware está desarrollado con el framework .NET y es utilizado para espiar y robar información de los equipos comprometidos, ya que cuenta con la capacidad de extraer credenciales de distintos softwares, obtener cookies de navegadores de Internet, registrar las pulsaciones del teclado de la máquina (Keylogging), así como realizar capturas de pantalla y del clipboard (portapapeles). Este código malicioso utiliza distintos métodos para el envío de la información recopilada hacia el atacante.
A su vez, se ha visto que esta amenaza puede venir incluida dentro de un empaquetador (packer) con distintas capas de ofuscación. Esto es utilizado para tratar de evadir las soluciones de seguridad y dificultar el proceso de investigación y análisis del malware. Estos empaquetadores pueden implementar distintas técnicas para obtener información de la máquina sobre la que se está ejecutando, para, por ejemplo, averiguar si es una máquina virtual o una máquina sandbox, y en caso de ser así, evitar su ejecución.
Métodos de propagación e infección
Esta amenaza suele propagarse por medio de correos electrónicos de phishing que incluyen un archivo adjunto malicioso con el cual buscan engañar al usuario que recibe el correo para hacer que descargue y ejecute este contenido. Por ejemplo, se utilizan correos de la empresa de reparto DHL, tal como se puede observar a continuación:
La informalidad con la que está redactado el correo debe crear una firme sospecha. Por otro lado, es importante señalar que el archivo adjunto tiene doble extensión, .jpg.xxe, que revela que el archivo se encuentra comprimido.
Con respecto a los archivos maliciosos adjuntos, los mismos pueden variar, ya sea para engañar al usuario como también para evadir las soluciones de seguridad. Por ejemplo, pueden ser archivos comprimidos, documentos del paquete Office o un archivo ejecutable, etc.
IoC de AgentTesla
| Hash | Descripción |
| 80F43EA09F4918F80D4F7D84FDB6973CCAADDE05 | PowerShell/TrojanDownloader.Agent.GNZ |
| 75ADD0E232AB4164285E7804EC5379BFA84C0714 | PowerShell/TrojanDownloader.Agent.GNZ |
| 64F199EDAC6B3A8B1D994B63723555B162563B32 | PowerShell/TrojanDownloader.Agent.GNZ |
| 1652619B5095EEA2AFEC3A03B920BF63230C8C8A | PowerShell/TrojanDownloader.Agent.GNZ |
| D86960DD7B093DD0F3EF1DC3BC956D57217BD4EC | PowerShell/TrojanDownloader.Agent.GNZ |
| 9754596E9E8B0A6E053A4988CF85099C2617A98B | MSIL/TrojanDownloader.Agent.NEN |
| 1ECA09DC9001A0B6D146C01F5B549DD96A0BFE5D | MSIL/Spy.AgentTesla.F |
| Dominios e IPs detectados en muestras |
| https[:]//firebase[.]ngrok[.]io |
| ftp[.]sisoempresarialsas.com |
| 195[.]178.120.24 |
| 3[.]22.30.40 |
| 51[.]161.116.202 |
NanoCore
El troyano de acceso remoto (RAT) NanoCore se descubrió por primera vez en 2013, teniendo una amplia variedad de funciones como keylogger. Además, tiene la capacidad de manipular y observar a través de cámaras web, bloqueo de pantalla, descarga y robo de archivos, etc.
El actual NanoCore RAT se está propagando a través de una campaña de malware que utiliza ingeniería social en la que el correo electrónico contiene un recibo de pago bancario falso y una solicitud de presupuesto. Los correos electrónicos también contienen archivos adjuntos maliciosos con extensión .img o .iso, los cuales son utilizados para almacenar volcados sin procesar de discos magnéticos o discos ópticos.
Otra versión de NanoCore también se distribuye en campañas de phishing mediante un archivo ZIP especialmente diseñado para eludir las herramientas de correo electrónico seguras. El archivo ZIP malicioso puede ser extraído por ciertas versiones de PowerArchiver, WinRar y el antiguo 7-Zip. La información robada se envía a los servidores de comando y control (C&C) del atacante del malware.
Esta RAT recopila los siguientes datos y los envía a sus servidores:
- Credenciales de correo electrónico de clientes de correo populares.
- Nombres de usuario y contraseñas del navegador.
- Información de cuentas almacenadas de clientes de protocolo de transferencia de archivos (FTP) o software de gestión de archivos.
Impacto:
- Comprometer la seguridad del sistema utilizando sus capacidades de puerta trasera para ejecutar comandos maliciosos.
- Violación de la privacidad del usuario mediante la recopilación de credenciales de usuario, registrando pulsaciones de teclas y robando información sensible.
IoC de NanoCore
| Tipo | IoC |
| FileHash | 14e0cf11ec1913e7474c170ca9bfc3b7c739dfb4 |
| FileHash | 8ab96a03abd7f1de37ad67e7d7336ad3f4ac2433 |
| FileHash | df91988bd511978777677d476736682f |
| FileHash | bfb464624e77cd6469df2eda0a2962a6 |
| FileHash | b0a39fb6cf64eb83c6b7055d7f645c9a |
| FileHash | aee72977f81a3be62e3039cc79c688b9 |
| FileHash | f34d5f2d4577ed6d9ceec516c1f5a744 |
| FileHash | 4b6fb5ab17ca6ffa768c4ad63571f547 |
| URL | http://93.184.220.29:80 |
| Dominio | cobind.com |
| FileHash | 2a2e1ab68249e6152a30c3dbaa6e4d56996aadef455a796aae5fc202c1831936 |
| FileHash | 3f611c21ac35512e1fb39d244a9f2b274258fb28a06e4cab93f9af15df0433d8 |
| URL | https://hydramecs.com/NA.exe |
| URL | ttps://45.12.253.105/NA.exe |
| IP | 168.119.0.173 |
| IP | 152.89.218.40 |
| IP | 104.168.65.245 |
RemcosRAT
El software Remcos, comercializado como un software legítimo por la empresa alemana Breaking Security para gestionar remotamente sistemas Windows, es ahora ampliamente utilizado en múltiples campañas maliciosas por parte de actores de amenazas. Remcos es un sofisticado troyano de acceso remoto (RAT) que puede utilizarse para controlar y vigilar por completo cualquier ordenador con Windows a partir de XP.
La campaña actual utiliza una técnica de ingeniería social en la que las amenazas aprovechan las novedades y tendencias mundiales. Por ejemplo, el correo electrónico de phishing contiene un PDF que ofrece medidas de seguridad contra el CoronaVirus, pero en realidad este PDF incluye un ejecutable para un dropper REMCOS RAT que se ejecuta junto con un archivo VBS que ejecuta el malware. El malware también añade una clave de registro de inicio en «HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce» para que sea persistente mientras se reinicia el dispositivo afectado.
Este Backdoor recopila la siguiente información y la envía a sus servidores:
- Información del ordenador (versión del SO, nombre del ordenador, tipo de sistema, nombre del producto, adaptador principal).
- Información del usuario (acceso del usuario, perfil del usuario, nombre del usuario, dominio del usuario).
- Información del procesador (número de revisión del procesador, nivel del procesador, identificador del procesador, arquitectura del procesador).
A continuación, se presenta un ejemplo de un intento de phishing con un documento adjunto que en realidad esconde archivos ejecutables:
Aunque Breaking Security promete que el programa solo está disponible para aquellos que pretendan utilizarlo con fines legales, en realidad, Remcos RAT ofrece a los clientes todas las funciones necesarias para lanzar ataques potencialmente destructivos. El malware se puede adquirir con diferentes criptodivisas.
IoC de RemcosRAT
| Tipo | IoC |
| HASH | 6d25e04e66cccb61648f34728af7c2f2 |
| HASH | F331c18c3f685d245d40911d3bd20519 |
| HASH | 8cea687c5c02c9b71303c53dc2641f03 |
| DOMINIO | http[:]//geoplugin.net/json.gp |
| DOMINIO | falimore001[.]hopto.org |
| IP | 178[.]237.33.50 |
| IP | 194[.]147.140.29 |
SnakeKeylogger
Snake Keylogger es una variante de malware peligrosa que puede dar lugar a una violación de datos u otro incidente de ciberseguridad importante en una organización. Este malware es actualmente una de las principales variantes, convirtiendose, según la entidad de ciberseguridad Checkpoint, en la segunda más común en 2022. Sin embargo, es solo una de las ciberamenazas a las que se enfrentan las organizaciones. Como sucede con esta familia de herramientas utilizada por la ciberdelincuencia, su función es registrar las pulsaciones en los teclados de los usuarios y transmitir los datos recogidos a los ciberdelincuentes.
Mediante un análisis desarrollado por la misma entidad, se ha observado que Snake Keylogger reúne varias tácticas de evasión escurridizas. Hace ingeniería social con sus víctimas, se dirige a organizaciones/usuarios que no han parcheado un exploit conocido, y utiliza una variedad de giros y vueltas en un esfuerzo por evadir los productos antivirus (AV) tradicionales.
En una reciente campaña de amenazas, Snake Keylogger se distribuyó mediante un downloader que utiliza un tipo de archivo poco convencional como señuelo, además de utilizar archivos incrustados dentro de ese señuelo, shellcode cifrado y exploits de ejecución remota de código. Debido a la familiaridad del público con los formatos de Microsoft Office, los archivos DOC y XLS tienden a ser los documentos señuelo elegidos por los actores de amenazas. Por ello, es mucho menos frecuente ver un archivo PDF como el utilizado por esta amenaza como vector inicial de un ataque.
Mecanismo de infección y operación
HP Wolf Security descubrió recientemente esta amenaza al encontrarse con un archivo PDF adjunto llamado «REMMITANCE INVOICE.pdf». Al ejecutar este archivo, se solicita al usuario que abra un archivo DOCX, cuyo nombre engañoso es «ha sido verificado. Sin embargo, PDF, Jpeg, xlsx, .docx». Esta extraña elección del nombre del archivo fue elegida por una razón específica; a simple vista, el nombre del archivo hace que parezca como si el archivo hubiera sido examinado y verificado automáticamente por la máquina de la víctima, como se muestra en la siguiente infección.
Se trata de un tipo de ingeniería social que depende en gran medida de que la víctima sólo observe superficialmente a la ventana emergente. El autor de la amenaza espera que la víctima esté demasiado ocupada o distraída para leer correctamente el cuadro de diálogo «Abrir archivo», lo que significa que muchas personas que trabajan en un entorno de oficina de ritmo rápido pueden ser víctimas de esta amenaza.
Si se abre este archivo DOCX y la víctima activa las macros, se desencadena la descarga de un archivo RTF mientras se muestra el documento con nombre extraño en Microsoft Word. Los usuarios que se fijen bien también verán que Word llega a una determinada URL mientras se carga, como se muestra en la Figura 5, coincidiendo con peticiones DNS a la misma URL.
Una vez que el shellcode del archivo RTF descarga el keylogger, Snake Downloader ha hecho su trabajo, y ahora le toca a Snake Keylogger continuar a partir de aquí. Keyloggers como Snake acechan en segundo plano en una máquina infectada y esperan a que el usuario introduzca cualquier información jugosa a través del teclado, en particular los inicios de sesión de sitios web, como los utilizados para la banca o una billetera de criptomoneda. Esa información se filtra de vuelta a los actores de la amenaza y se utiliza para su propio beneficio financiero.
Por lo tanto, aunque puede ser menos común ver PDFs utilizados como archivos adjuntos maliciosos, todavía deben ser tomados con la misma seriedad y manejados con las mismas precauciones que cualquier otro archivo adjunto potencialmente infectado. En el caso de Snake Downloader, el documento señuelo es sólo el primer paso de una serie de tácticas utilizadas para ocultar la instalación de la carga útil de Snake Keylogger.
IoC de SnakeKeyLogger
| Tipo | IoC |
| rafaitul.islam@itl-group.com.bd | |
| bosstle@rfebatics.xyz | |
| domain | gbtak.ir |
| URL | http://gbtak.ir/wp-content/Ygjklu.log |
| IPv4 | 23.105.140.58 |
| Hash | ec9d7e5d8e7911dc4dce591020dfa8ae |
| Hash | 7fdb6c28e795b5b8f6be839cd7e848c5 |
| Hash | 3c4a7e9190b1a50443d7c54f6b1ca19c |
| Hash | 05dc0792a89e18f5485d9127d2063b343cfd2a5d497c9b5df91dc687f9a1341d |
| Hash | 250d2cd13474133227c3199467a30f4e1e17de7c7c4190c4784e46ecf77e51fe |
| Hash | 165305d6744591b745661e93dc9feaea73ee0a8ce4dbe93fde8f76d0fc2f8c3f |
| Hash | f1794bfabeae40abc925a14f4e9158b92616269ed9bcf9aff95d1c19fa79352e |
| Hash | 20a3e59a047b8a05c7fd31b62ee57ed3510787a979a23ce1fde4996514fae803 |
Lokibot
Lokibot, también conocido como Loki PWS o Loki-bot, es un malware perteneciente a la familia de troyanos que está activo desde 2015 y es utilizado desde entonces en campañas a nivel global. Fue diseñado con el objetivo de robar credenciales de navegadores, clientes FTP/ SSH, sistemas de mensajería, y hasta incluso de billeteras de criptomonedas.
Originalmente fue desarrollado en lenguaje C y promocionado en foros clandestinos y mercados en la dark web. Las primeras versiones apuntaban simplemente al robo de billeteras de criptomonedas y contraseñas de aplicaciones utilizadas por la víctima, así como las almacenadas en Windows. Se puede definir a Lokibot también como un Malware-as-a-Service (MaaS); es decir, un malware que se ofrece como servicio para que terceros lo puedan utilizar. Por esta razón es que sigue representando una herramienta atractiva para los cibercriminales, ya que permite a los ciberdelincuentes desarrollar sus propias versiones de Lokibot.
Métodos de distribución
Lokibot se propaga por medio de campañas de phishing que incluyen archivos adjuntos maliciosos o URL embebidas. Estos adjuntos pueden ser archivos Word, Excel o PDF, u otro tipo de extensiones, como .gz o .zip que simulan ser archivos PDF o .txt.
A lo largo de los años, estas campañas fueron variando la temática que utilizaban como señuelo para enviar sus archivos adjuntos, desde una factura, una cotización o la confirmación de un supuesto pedido. Además, los atacantes comenzaron a enviar archivos adjuntos maliciosos con algún tema referido al COVID-19 para intentar atraer a los usuarios desprevenidos y convencerlos para que abran un archivo adjunto en sus correos:
Características esenciales
Lokibot es un malware con características de troyano que roba información confidencial de los equipos comprometidos, como nombres de usuario, contraseñas, billeteras de criptomonedas y otro tipo de información. También se ha visto la distribución del payload de Lokibot para Windows mediante la explotación de viejas vulnerabilidades, como la CVE-2017-11882 en Microsoft Office.
Entre las principales características de este malware se destaca su capacidad de eliminar archivos, desactivar procesos del sistema, y el bloqueo de soluciones de seguridad instaladas en el dispositivo de la víctima.
Lokibot es implementado a través de una botnet conformada por equipos comprometidos que se conectan a servidores de C&C (Command and Control) para enviar los datos recopilados de la víctima. Una vez que el malware accede a la información sensible de la víctima exfiltra la información, comúnmente a través del protocolo HTTP. Por otra parte, una vez que logra infectar el dispositivo víctima crea un backdoor que permite a los cibercriminales descargar e instalar otras piezas de malware.
Para ganar persistencia en el equipo comprometido y continuar exfiltrando información, en primera instancia, y en el caso de que la víctima tenga privilegios de administrador, Lokibot modifica la clave de registro agregando una nueva entrada que será almacenada en HKEY_LOCAL_MACHINE. De lo contrario, se almacena hace dentro de HKEY_CURRENT_USER.
IoC de Lokibot
| Tipo | IoC |
| URL | http://161.35.102.56/~nikol/?p=7554 |
| URL | http://171.22.30.147/davinci/five/fre.php |
| URL | http://137.74.157.83/bul0/1/pin.php |
| URL | http://161.35.102.56/~nikol/?p=882166721559 |
| URL | http://185.246.220.60/sirR/five/fre.php |
| domain | kbfvzoboss.bid |
| domain | alphastand.win |
| domain | alphastand.trade |
| domain | alphastand.top |
| URL | http://161.35.102.56/~nikol/?p=27226656008 |
| URL | http://161.35.102.56/~nikol/?p=7398172063 |
| URL | http://23.95.85.181/0789/vbc.exe |
| URL | http://136.243.159.53/~element/page.php?id=172 |
FormBook
Formbook es un malware del tipo infostealer que recolecta y roba información sensible de la máquina de una víctima, como credenciales de acceso, capturas de pantalla, y otro tipo de información, y luego envía estos datos a un servidor controlado por los cibercriminales. Está en actividad desde el 2016 y funciona bajo el modelo de Malware-as-a-Service (MaaS), por lo que suele ser comercializado en foros clandestinos.
Bajo este servicio conocido como MaaS los cibercriminales obtienen, por un lado, acceso al código malicioso para propagarlo sobre las víctimas, y por otro lado tienen acceso a un panel de administración donde pueden monitorear los equipos infectados. Con respecto a la propagación del código malicioso, la misma va por cuenta de los cibercriminales, que lo distribuyen a través de sus propios medios o contratando algún servicio que lo haga por ellos.
Por último, Formbook posee un comportamiento que lo destaca, que es el de formgrabber. Un formgrabber es un tipo de malware que recolecta la información que la víctima inserta dentro de un navegador de Internet, por ejemplo, las credenciales de acceso en una pantalla de Inicio de Sesión, antes de que esa información sea enviada. Esto lo logran interceptando las llamadas a las funciones de la API HTTP que son utilizadas por los navegadores de Internet para enviar la información hacia las páginas que un usuario consume mientras usa el navegador en cuestión.
Método de propagación
Este malware suele propagarse por medio de correos electrónicos de phishing que incluyen un archivo adjunto o una URL que lleve a la víctima a la descarga de este código malicioso. Estos correos pueden hacer referencia a distintas temáticas, como falsas órdenes de compra, pago de impuestos, transferencias, u otro tipo de ingeniería social que buscan hacer creer a las potenciales víctimas que es un correo legítimo para que abran enlace o el archivo adjunto.
A continuación, se ilutra un ejemplo de correos de phishing que distribuyen el malware Formbook.
Los últimos reportes provistos por el organismo Check Point Research (CPR), un proveedor líder de soluciones de ciberseguridad a nivel internacional, marcan que este malware se encuentra en el primer puesto en su último Índice de amenazas en globales de septiembre de 2022. Formbook afecta aproximadamente al 3% de las organizaciones en todo el mundo.
Vale la pena destacar que en algunos casos se ha observado que Formbook puede venir dentro de un Loader que posee distintas capas de ofuscación. Esta suele ser una práctica común que realizan los cibercriminales para intentar evadir soluciones de seguridad y también para hacer más complicado el proceso de investigación y análisis. A su vez, estos Loader utilizan distintas técnicas para determinar si se está ejecutando en una máquina virtual y también para persistir en la máquina de la víctima. Por último, se ha observado que pueden llegar a modificar los permisos de accesos sobre el archivo persistido para dificultar su eliminación del equipo infectado.
| Tipo | IoC |
| Hash | 5bec1fc847c595a94fbe7efb0695c640 |
| URL | http://180.214.236.4/spaceX/vbc.exe |
| Hash | 3d7958ca651c77eb1f3493bbdac0a04f |
| Domain | pokerdominogame[.]com |
| Domain | perabett463[.]com |
| Domain | orderjoessteaks[.]com |
| Domain | christensonbrothers[.]com |
| Domain | skateboardlovers[.]com |
| Domain | sinergiberkaryabersama[.]com |
| Domain | sjsteinhardt[.]com |
| Domain | cabanatvs[.]com |
| Domain | jenaeeaginshair[.]com |
| Domain | https://urlhaus.abuse.ch/url/2245751/ |
Mecanismos para mitigar vulnerabilidades asociadas a cualquier tipo de malware
- En caso de que no haya ningún indicio de que el correo sea malicioso revisar que ese destinatario sea válido.
- No abrir ningún correo si hay motivos para sospechar, ya sea del contenido o de la persona que lo envió.
- No descargar archivos adjuntos de correos si duda de su recepción o de cualquier otra cosa.
- Revisar las extensiones de los archivos. Por ejemplo, si un archivo termina con “.pdf.exe” la última extensión es la que determina el tipo de archivo, en este caso sería “.exe”; es decir, un ejecutable.
- Si un correo incluye un enlace que nos lleva a una página que nos pide nuestras credenciales para acceder, no ingresarlas, abrir la página oficial desde otro navegador u otra pestaña y acceder desde ese lugar.
- Tener una política de cambio de contraseñas periódico.
- Mantener actualizadas las soluciones de seguridad instaladas en el dispositivo.
Referencia:
