Con información y análisis adicional de Chaoying Liu
Hemos descubierto un nuevo exploits kit que circula a través de una campaña de malvertising, o publicidad maliciosa, a la que hemos denominado “ProMediads”. Al nuevo exploits kit lo llamamos Sundown-Pirate, pues es, en efecto, una falsificación de sus versiones previas y fue bautizado así por su panel de control.
ProMediads ha estado activo desde principios de 2016 y ha utilizado los exploits kit Rig y Sundown para distribuir malware. Sus actividades disminuyeron a mediados de febrero de este año pero resurgió repentinamente el 16 de junio a través de Rig. Sin embargo, notamos que ProMediads evitó a Rig y se inclinó por Sundown-Pirate el 25 de junio.
Cabe mencionar que hasta ahora ProMediads utiliza únicamente Sundown-Pirate. Esto podría indicar que es otro exploits kit privado, como el kit de exploits similar GreenFlash Sundown que fue utilizado de manera exclusiva por la campaña ShadowGate.
Nuestro análisis y monitoreo reveló que Sundown-Pirate tomó prestado el código de los exploits kit anteriores; Hunter y Terror. Su ofuscación de JavaScript, sin embargo, es parecida a la de Sundown. Esta combinación de capacidades tomadas de otros exploits kit fue lo que nos hizo pensar que era nuevo.
El panel de control de ProMediads reafirma más su nombre. Junto con el investigador kafeine, observamos que el panel de ProMediads tiene un indicador de inicio de sesión con “PirateAds – Avalanche Group”
[image url=”http://blog.trendmicro.com/trendlabs-security-intelligence/files/2017/07/promediads-sundown-pirate-1.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″]
Figura 1: Panel de control de ProMediads
[image url=”http://blog.trendmicro.com/trendlabs-security-intelligence/files/2017/07/promediads-sundown-pirate-2.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″]
Figura 2: Ejemplo la publicidad maliciosa de ProMediads
Del robo de botnet/información y malware PoS al ransomware
ProMediads dirigía a las posibles víctimas a Sundown-Pirate, el cual liberaba varios malwares a la máquina afectada. El 25 de junio, por ejemplo, Dundown-Pirate descargó el Troyano SmokeLoader (TROJ_SMOKELOAD.A), que instalaba Zyklon (TSPY_ZYKLON.C), un programa de infección utilizado para robar información.
El 12 de julio, el payload del exploit kit cambió al malware de punto de venta (PoS) LockPOS. Es un conspirador conocido de las campañas de Flokibot, otra amenaza dirigida a atacar puntos de venta y los datos de las tarjetas de crédito.
Asimismo, descubrimos que LockPOS distribuido a través de Sundown-Pirate tenía el software CPUMiner-Multi para extraer criptomonedas como un payload adicional. No creemos que CPUMiner ataque específicamente a los puntos de venta; simplemente utiliza LockPOS como un vector de entrada para convertir en zombies los sistemas infectados y crear criptomonedas. LockPOS servirá como una puerta trasera oculta para recibir comandos adicionales de su servidor C&C desde el bot maestro.
El 13 de julio, Sundown-Pirate comenzó a descargar el ransomware Stampado (RANSOM_STAMPADO.K).
[image url=”http://blog.trendmicro.com/trendlabs-security-intelligence/files/2017/07/promediads-sundown-pirate-3.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″]
Figura 3: Sundown-Pirate distribuyó LockPOS el 12 de julio de 2017
[image url=”http://blog.trendmicro.com/trendlabs-security-intelligence/files/2017/07/promediads-sundown-pirate-4.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″]
Figura 4. LockPOS descarga CPUMiner y lo inyecta en un proceso del explorador
ProMediads, SmokeLoader y Flokibot/LockPOS: ¿Si no hay presa no hay pago?
Desde 2016, hemos observado que ProMediads distribuye un botnet SmokeLoader a través exploits kits, el último de los cuales tiene una relación cercana con los operadores de ProMediads. Aunque recientemente el botnet comenzó a desplegar la misma variante de LockPOS que descarga Sundown-Pirate.
kafeine compartió que en agosto de 2016 los operadores de ProMediads distribuyeron Flokitbot antes de que se vendiera en los foros clandestinos en septiembre de 2016. Ambas campañas, Flokibot y ProMediads distribuyen actualmente LockPOS. Estas conexiones parecen estar influenciadas por la relación que hay entre estos cibercriminales–por lo menos en lo que se refiere a su malware.
[image url=”http://blog.trendmicro.com/trendlabs-security-intelligence/files/2017/07/promediads-sundown-pirate-5.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″]
Figura 5. ProMediads distribuye SmokeLoader el 24 de enero de 2017
[image url=”http://blog.trendmicro.com/trendlabs-security-intelligence/files/2017/07/promediads-sundown-pirate-6.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″]
Figura 6. El botnet SmokeLoader instala LockPOS a mediados de julio de 2017
¿Vino viejo en una nueva botella?
Sundown-Pirate utiliza tres exploits de Internet Explorer y otra de Flash:
- CVE-2013-2551, se parchó en mayo de 2017 vía MS13-037
- CVE-2014-6332, se parchó en noviembre 2014 vía MS14-064
- CVE-2016-0189, se parchó en mayo de 2016 vía MS16-051
- CVE-2015-7645, fue parchado por Adobe en octubre de 2015 vía APSA15-05
Por suerte, hay una luz de esperanza. Cuantas más vulnerabilidades se revelen más rápido pueden ser parchadas. Y estos exploits van a ser menos exitosos a medida que los usuarios y empresas se vuelvan más proactivos y tengan mayores conocimientos de seguridad. Esto lo ha demostrado el reciente descenso de los exploits kits, especialmente el uso de vulnerabilidades nuevas y de día cero.
Además, estos exploits no funcionarán en los navegadores Chrome y Firefox. El contenido Flash de estos navegadores está desactivado de origen, pero incluso si Flash está habilitado, sus mecanismos de seguridad aún pueden detener el contenido malicioso –por ejemplo, las Interfaces de Programas de Aplicaciones Web (APIs) y el Modo Protegido de Firefox, y Sandbox de Chrome.
Sin embargo, el sinfín de malware que Sundown-Pirate descarga sigue haciéndolo una amenaza real. Hoy más que nunca, los exploits kits resaltan la importancia de mantener actualizados los sistemas. Las redes y sistemas que siguen siendo vulnerables a las fallas de seguridad (para las cuales ya hay parches disponibles) le dan a los cibercriminales una ventana de exposición más amplia para atacarlos.
También se recomienda a los administradores de la seguridad de la información y de TI incorporar niveles adicionales de seguridad a los sistemas y redes de su empresa. Firewalls, sistemas de detección y prevención de intrusiones, parcheo virtual, categorización de URLs y la aplicación de políticas robustas de gestión de parches son solo algunas de las mejores prácticas para evitar que los ataques se aprovechen de las vulnerabilidades.
Las Soluciones de Trend Micro
Los kits de exploits aprovechan las fallas de seguridad del sistema o software, de ahí la importancia de contar con una estrategia de seguridad de múltiples capas –incluyendo el gateway, los endpoints, las redes y servidores. Trend Micro™ OfficeScan™ con seguridad para endpoints XGen™ cuenta con Vulnerability Protection que protege los endpoints contra los exploits de vulnerabilidades identificadas y desconocidas, incluso antes de que se apliquen los parches. Las soluciones para endpoints de Trend Micro como Trend Micro™ Smart Protection Suites y Worry-Free™ Business Security protegen a los usuarios finales y empresas contra estas amenazas al detectar y bloquear archivos maliciosos y todos los URLs peligrosos relacionados.
Los Indicadores de Compromiso (IoCs):
El dominio/dirección IP relacionados con Sundown-Pirate:
- 7wu93ksh29qpl70nas0[.]win
- 178[.]159[.]36[.]91
Los dominios de SmokeLoader C&C:
- livespirit[.]at
- springhate[.]at
El dominio de LockPOS C&C:
- p00l[.]livespirit[.]at
El dominio relacionado con ProMediads:
- multiplus[.]site
Hashes relacionados (SHA-256):
- 4199d766cee6014fd7a9a987b4ccea3f8d0ed0fba808de08b76cda71e40886b5 (TROJ_SMOKELOAD.A)
- f569172166a19c06b3efa1f75d02b143539cd63a53d67bc066d28f8fd553ba8e (TSPY_ZYKLON.C)
- 3fa54156ae496a40298668911e243c3b7896e42fe2f83bc68e96ccf0c6d59e72 (BKDR_LOCKPOS.A)
- 931092a92ffaa492586495db9ab62dd011ce2b6286e31e322496f72687c2b4ef (HKTL_COINMINER)
- 109e89148945d792620f4fc4f75e6a1901ba96cc017ffd6b3b67429d84e29a3c (Ransom_STAMPADO.K)
Agradecemos a kafeine, quien colaboró con esta investigación y análisis.
Leave a Reply