Investigadores de la firma de seguridad electrónica F-Secure reportaron el descubrimiento de un malware denominado Qarallax (QRAT), un troyano de acceso remoto (RAT), que se distribuye a través de Skype. Actualmente los autores de este malware, que se hacen pasar por personal del gobierno que ofrece asesoría para solicitar visas de Estados Unidos, están atacando a ciudadanos suizos, y posiblemente a otros viajeros de todo el mundo.
De acuerdo con el reporte de F-Secure y una muestra que proporcionó el consultor de seguridad Hamid Kashfi, se enviaba a las víctimas un archivo llamado US Travel Docs Information.jar, que es una solicitud que puede ejecutarse en sistemas operativos instalados con el Java Runtime Environment. QRAT tiene capacidades para extraer datos y efectuar actividades de espionaje como son capturar las pulsaciones de las teclas, del ratón y el movimiento del cursor así como la capacidad de manejar remotamente la cámara web de la máquina para tomar fotos o grabar videos.
Frederic Vila de F-Secure informó que el archivo Java malicioso se descarga desde el dominio QARALLAX, en tanto que su dirección IP se utiliza también como el servidor de comando y control (C&C). Vila destacó que otras aplicaciones también están hospedadas en el C&C, entre las que se incluye una versión de LaZagne, una herramienta de código abierto que se utiliza para recuperar contraseñas almacenadas en los dispositivos locales, como las credenciales de Wi-Fi, de los navegadores web y de las aplicaciones de chat, así como de las bases de datos y de los programas de correo. LaZagne actualmente funciona en 22 programas de Microsoft Windows y 12 sistemas operativos Linux/Unix.
Al igual que otros RATs como Lost Door, BlackShades, Dendroid y RCSAndroid, QRAT también opera bajo un modelo de negocio de malware como servicio, a través del cual se renta el troyano a otros criminales. El precio se ubica entre los $22 y $900 dólares, dependiendo del tiempo que los compradores deseen rentar el malware. El “periodo de venta” va de cinco días a un año completo.
Debido a que QRAT se está rentando, aún se desconoce la identidad de los creadores de amenazas – la dirección IP está registrada en Holanda, pero el dominio tiene una historia QHOIS que lo vincula con Turquía. Se cree que el malware es árabe pues las palabras “allah” y “hemze” se encontraron ofuscadas en el código.
No es la primera vez que se usa a Skype como la plataforma para distribuir malware a los usuarios y empresas desprevenidos. Hace tres años, Skype y otras aplicaciones de mensajería instantánea similares se utilizaron como un vector para distribuir Liftoh (que Trend Micro identificó como BKDR_LIFTOH.DBT). Se le envió a los usuarios un enlace malicioso que se presenta como una imagen de alguien que se encuentra en la lista de contactos del usuario. Si los usuarios pulsan la imagen, son dirigidos a un sitio que descarga un archivo .ZIP que contiene el malware. El troyano Shylock (al cual Trend Micro detectó como WORM_BUBLIK-GX) que se especializa en robar información bancaria también se distribuyó de esta manera.
En junio de 2015, la compañía especializada en gestión del comportamiento la seguridad PhishMe ayudó a detener una campaña que utilizaba Skype para distribuir adware. Dicha campaña fue citada como parte de un programa afiliado en el que se pagaba a los atacantes cuando lograban instalar con éxito el adware.
En un reporte de la firma de seguridad Palo Alto Networks que se publicó el pasado 4 de febrero, los investigadores Josh Grunzweig y Jen Miller-Osborn descubrieron un troyano backdoor, que se hacía pasar por un archivo RTF (Rich Text Format) cargado con explotaciones, que registra y toma fotos de actividades de todo tipo de Skype – todo al tiempo de evitar las detección de 24 productos de seguridad. Sus principales objetivos eran organizaciones de Estados Unidos.
Las víctimas a las que se les ha enviado QRAT notaron que la cuenta de Skype que envía el archivo Java malicioso tenía errores ortográficos – la cuenta oficial de Skype es “ustraveldocs-switzerland”, mientras que la falsa que utilizan los defraudadores es “ustravelidocs- Switzerland” (la segunda tiene un “i” extra y un espacio).
Además, la búsqueda en Skype que hizo Vila de “ustravelidocs” reveló que los criminales pueden intentar atacar potencialmente a otros 20 países: Bulgaria, China, Camboya, República Dominicana, Finlandia, Alemania, Hungría, Indonesia, Kazakstán, Kuwait, Laos, Marruecos, Omán, Pakistán, Filipinas, Arabia Saudita, Taiwán, Tailandia y Vietnam.
La sugerencia que hizo Vila fue: “Si usted va a buscar información sobre visas de viaje, necesita comprobar el estado de Skkype y el documento que ha recibido. Tenga en cuenta que una “i” minúscula puede confundirse con una “I” mayúscula o con el número uno (1); o una “O” mayúscula puede confundirse con un cero (0). Hay varias maneras en que la gente puede convertirse en una víctima, pero con un análisis detallado puede prevenirse”.
Leave a Reply