Venezuela atacada por “El Machete”

Introducción

Hace un tiempo, un cliente nuestro en Latinoamérica nos comentó que estuvo de visita en China y que creía que su equipo se infectó con un virus todavía no detectado, no conocido. Mientras le ayudábamos con el análisis de la máquina, encontramos un archivo muy interesante que no tenía nada que ver con China pues no contenía ningún rastro de códigos chinos. En principio, aparentaba ser una aplicación relacionada con Java, pero tras un rápido análisis, quedó claro que era algo más que un simple archivo de Java. šEra parte de un ataque dirigido al que bautizamos como “Machete”.

¿Qué es “Machete”?

“Machete” es una campaña de ataques dirigidos con orígenes en idioma español. Creemos que esta campaña empezó en 2010 y se renovó con una infraestructura mejorada en 2012. Es posible que la operación siga “activa”.

El programa malicioso es capaz de realizar las siguientes operaciones de ciberespionaje:

  • Captura de actividad en el teclado
  • Captura de la entrada de audio en el micrófono del equipo
  • Captura de imágenes de la pantalla
  • Captura de datos de localización geográfica
  • Captura de fotos con la cámara web del equipo
  • Envío de copias de archivos a un servidor remoto
  • Copias de archivos a un dispositivo USB especial cuando se lo inserta
  • Captura del contenido del portapapeles y la información en el equipo atacado

Objetivos de “Machete”

El_Machete_1

La mayoría de sus víctimas se encuentra en Ecuador, Venezuela, Colombia, Perú, Rusia, Cuba y España, entre otros. En algunos casos, como el de Rusia, los blancos parecen ser embajadas de los países mencionados.

Sus objetivos incluyen servicios de inteligencia, fuerzas armadas, embajadas e instituciones gubernamentales.

¿Cómo funciona “Machete”?

Este programa malicioso se propaga mediante técnicas de ingeniería social, incluyendo mensajes de correo tipo spear-phishing e infecciones vía web, mediante un sitio web especialmente preparado y fraudulento. No tenemos evidencias de exploits para vulnerabilidades día-cero. Tanto los atacantes como sus víctimas parecen ser hispanoparlantes.

Durante nuestra investigación, también descubrimos otros archivos que instalan esta herramienta de ciberespionaje, en lo que parece ser una campaña dedicada tipo spear-phishing. Estos archivos se muestran como una presentación de PowerPoint que instala programas maliciosos en el sistema atacado cuando el archivo se abre.š Estos son los nombres de los adjuntos de PowerPoint:

  • Hermosa XXX.pps.rar
  • Suntzu.rar
  • El arte de la guerra.rar
  • Hot brazilian XXX.rar

En realidad, estos archivos son archivos comprimidos de Nullsoft Installer que se autodescomprimen y tienen fechas de compilación que datan de hasta 2008.

Una particularidad del código es el lenguaje Python incrustado en los ejecutables es que estos instaladores lo incluyen y también todas sus librerías necesarias para la ejecución, así como el archivo PowerPoint que se le muestra a la víctima durante la instalación. El resultado son archivos muy grandes, de más de 3MB.

Estos son algunos ejemplos de capturas de pantalla de los archivos mencionados:

El_Machete_2

El_Machete_3

El_Machete_4

Un punto técnico relevante en esta campaña es el uso de Python incrustado en los ejecutables de Windows del programa malicioso. Esto es muy inusual y no representa ninguna ventaja para los atacantes, salvo la facilidad de escribir códigos. No cuenta con soporte para múltiples plataformas ya que el código está muy dirigido a Windows (uso de librerías). Sin embargo, varias pistas que detectamos nos indicaron que los atacantes estaban preparando la infraestructura para usuarios de Mac OS X y Linux. Además de los componentes para Windows, también descubrimos un componente móvil (Android).

Tanto los atacantes como las víctimas son hispanohablantes nativos, como pudimos constar de manera consistente en el código fuente del lado del cliente y en el código Python.

Indicadores de la infección

Infecciones web

Encontramos los siguientes fragmentos de código en el HTML de los sitios web utilizados para infectar a las víctimas:

El_Machete_5

También encontramos el siguiente enlace a un artefacto de infección conocido:

hxxp://name.domain.org/nickname/set/Signed_Update.jar

Dominios

Estos son los dominios que encontramos durante la campaña de infección. Cualquier intento de comunicación con ellos debe considerarse de extremo riesgo:

java.serveblog.net
agaliarept.com
frejabe.com
grannegral.com
plushbr.com
xmailliwx.com
blogwhereyou.com (sinkholed by Kaspersky Lab)
grannegral.com (sinkholed by Kaspersky Lab)

Artefactos de infección

MD5 Nombre de archivo
61d33dc5b257a18eb6514e473c1495fe AwgXuBV31pGV.eXe
b5ada760476ba9a815ca56f12a11d557 EL ARTE DE LA GUERRA.exe
d6c112d951cb48cab37e5d7ebed2420b Hermosa XXX.rar
df2889df7ac209e7b696733aa6b52af5 Hermosa XXX.pps.rar
e486eddffd13bed33e68d6d8d4052270 Hermosa XXX.pps.rar
e9b2499b92279669a09fef798af7f45b Suntzu.rar
f7e23b876fc887052ac8e2558f0d6c38 Hot Brazilian XXX.rar
b26d1aec219ce45b2e80769368310471 Signed_Update.jar

Rastros en el equipo infectado

Se crea el archivo Java Update.lnk que conduce a appdata/Jre6/java.exe

El programa malicioso se instala en appdata/ MicroDes/

Procesos en ejecución Creates Task Microsoft_up

El lado humano de “Machete”

Idioma

La primera evidencia es el idioma utilizado, tanto para las víctimas como por los atacantes, español.

Todas las víctimas son hispanoparlantes, por los nombres de archivos de los documentos robados.

El idioma que utilizan los operadores de la campaña también es el español, ya que el código del lado del servidor está escrito en este idioma: informes, ingresar, peso, etc.

Conclusión

El descubrimiento de “Machete” revela que existen muchos actores regionales en el mundo de los ataques dirigidos. Por desgracia, estos ataques conforman el ciberarsenal de muchos países hoy. Con seguridad en este mismo momento hay otros ataques dirigidos que operan paralelamente y otros que están por nacer.

Fuente: Karspersky Labs

 

Leave a Reply

a2 Softway
Siguenos en la Web!