Posteado por: Guaiqueri | Miércoles, agosto 15th, 2012

XDocCrypt/Dorifel. ¿Hacia la unión del troyano bancario y ransomware?

Se ha descubierto Dorifel, un malware con dos características concretas que lo hacen interesante. Infecta ejecutables y documentos de Microsoft Word y Excel. Con estos últimos, se comporta como un “virus de los de antes“, replicándose por todos los ficheros de este tipo. Vuelve a poner de moda una técnica para pasar desapercibido de la que ya hablamos el año pasado… y puede significar un cambio de modelo en el malware.

XdocCrypt/Dorifel está escrito en Delphi. Delphi es el lenguaje preferido de los creadores de malware brasileños, aunque este no parece el origen de Dorifel. Lo que caracteriza a este malware técnicamente es interesante.
Qué hace en el sistema
 
Inyecta su código en ficheros Word y Excel. Los cifra y los convierte en ejecutables. Simplemente crea un nuevo fichero que contiene una primera parte que es el malware en sí. Luego el delimitador [+++scarface+++] y a continuación el fichero Word o Excel cifrado con RC4, y con la clave (hasta ahora) \x0d\x0a\x05\x0f\x59\x7b\x38\x5a\x5b\x36\x31\x69\x7e\x0d\x0d\x09.
Todo esto (código más el contenido cifrado del documento) lo guarda como un ejecutable con extensión .scr. Pero con una salvedad, y es que usa un “viejo truco“. Se ayuda de un carácter especial de la codificación Unicode. Unicode implementa una serie de códigos especiales llamados “Right to Left” (RTL). A todo lo escrito a partir de ese código Unicode, se le “dará la vuelta” cuando es representado, además de que el código en sí es invisible. Por ejemplo el malware crea un archivo “Presupuesto[U+202E]sxl.scr” (con extensión real .scr, o sea, ejecutable y carácter Unicode 202E insertado) que en el explorador aparecerá como “Presupuestoscr.xls“.
Además busca documentos en todas las unidades de red y fijas conectadas al sistema. Evita la unidad de sistema c:\, mirando que exista “System Volume Information“. Esto quiere decir que en las unidades donde exista ese directorio, no buscará documentos (lo que puede suponer un truco para evitar su expansión).
Se asegura su supervivencia creando en la rama del registro:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\
Un enlace al programa en la clave “Load“. (WinLockLess lo hubiera impedido).
Contacta con un centro de control remoto, pero por ahora no devuelve comandos. Esto da un indicio (veremos otro más) de que puede tratarse de una especie de ensayo.
Para recuperar los documentos, se pueden emplear multitud de herramientas que han creado las casas antivirus.
Cómo llega al sistema
Esta es la parte más curiosa. Parece que el malware no ha aparecido principalmente como habitualmente ocurre: aprovechando alguna vulnerabilidad o a través de una campaña de spam en la que se le pide al usuario ejecutar un fichero (que también). Parece que ha sido otro malware el que lo ha descargado y lanzado en el sistema. En un principio solo los infectados por una variante de Citadel se han visto afectados por Dorifel.
Por tanto, la empresa (ha afectado principalmente a empresas) o usuario que haya visto sus documentos cifrarse mágicamente, probablemente tenga un problema más serio aún del que aparenta… podría haber estado infectado previamente por Citadel, un malware de la categoría de Zeus que le ha podido robar datos bancarios y que, obviamente (ha instalado otro malware) controla su equipo.
Cuál es su propósito
Se han visto otras conexiones con Zeus/Citadel, por ejemplo, comunicarse con servidores donde se alojan todo tipo de exploits, malware y componentes usados habitualmente por esta familia.
Ha afectado principalmente a las empresas de Holanda. No se sabe bien por qué, pero la historia encaja: si los atacantes han decidido la descarga en máquinas que ya controlan, por alguna razón han elegido un país concreto. Aunque nos consta que en España se han dado varios casos de infección.
El propósito de Dorifel es un pequeño misterio. Normalmente, el malware que cifra documentos pide un rescate por ellos, pero no es el caso. Podríamos pensar que por el hecho de estar programado en Delphi y no en otros lenguajes más comunes para este tipo de malware, como C o C++, se trata de un “entretenimiento” cuyo fin es el de “molestar“. Pero, teniendo conexiones con creadores de troyanos tan sofisticados y que manejan un volumen de negocio como Zeus/Citadel… podríamos descartar esta hipótesis: debe haber lucro. Desde luego, tampoco pretende demostrar habilidades técnicas porque no es especialmente sofisticado.
Quizás se trate de un ensayo, o un paso más en una estrategia que puede llegar a consolidarse en el futuro.
Unir troyanos bancarios y ransomware
En mayo aparecieron varias noticias al respecto que pasaron un poco desapercibidas. F-Secure avisó de que había encontrado una variante de Zeus que bloqueaba el sistema, enseñando una página en un Internet Explorer que ocupaba toda la pantalla, mostrando un mensaje probablemente de extorsión. Exactamente igual que muchas variantes del virus de la policía.
También Trusteer avisó en mayo de que una variante de Citadel directamente descargaba una DLL con el famoso (y exitoso) malware de la policía. No olvidemos que otras variantes de este mismo malware, no solo bloqueaban el sistema sino que cifraban los documentos que encontraba en el disco duro.
Dado el éxito del ransomware últimamente (Briank Krebs acaba de escribir un artículo donde habla de beneficios de entre 30.000 y 40.000 euros diarios de algunas organizaciones con Reveton o virus de la policía) no resulta descabellado unir los dos conceptos: malware que intenta robar claves y credenciales bancarias pero que, en un momento dado, bloquea el sistema o cifra los documentos y pide un rescate.
Y ese “momento” dado puede ser cuando el atacante compruebe que, por ejemplo, la víctima infectada no accede durante días a su banca online, se impaciente o simplemente su banco implemente medidas de seguridad que impidan completar la estafa. Está demostrado que los bancos que analizan y persiguen el malware que les ataca, pueden impedir que se activen, añadiendo cambios en las páginas de banca online o incluyendo otras medidas de seguridad como tokens y otros factores de autenticación, etc.
Así es que, puesto que está comprobado que buena parte de este malware permanece días y semanas en el sistema antes de ser detectado, no es descabellado pensar en un “umbral de paciencia” del atacante donde pase a tomar medidas más drásticas: si no puede robar la cuenta bancaria de la víctima, la extorsionará bloqueando el sistema o cifrando sus documentos importantes. Quién sabe. Todo por el beneficio rápido e inmediato.
Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Categorías

A %d blogueros les gusta esto: