Convierta un $1 dólar en $100 dólares inmediatamente… ¡Sus archivos personales están cifrados!

Esas son las cinco palabras que nadie quiere ver aparecer en su pantalla. De hecho, los investigadores de Websense® Security Labs™ han identificado una táctica que resulta interesante en la proliferación del ransomware Crypto.

Uno de los ejemplos más conocidos es aquel que se aprovecha de la vulnerabilidad muy humana relativa al temor a recibir una multa de tránsito.  En los casos más recientes, los atacantes decidieron utilizar el sofisticado kit de explotación Angler con el fin de aprovechar las vulnerabilidades del software. Y si se le ofreciera la oportunidad de convertir un dólar en cien dólares inmediatamente” o “Invertir $1 dólar hoy y ganar $1000 dólares mañana”, o si se le preguntara “¿Necesita dinero ahora?” ¿Eso despertaría su interés? Por supuesto que los atacantes esperaban que las víctimas polacas a las que estaban dirigiéndose específicamente cayeran en la tentación.

En un principio se identificó esta variante cuando se monitorearon las campañas de correo electrónico que alentaban a los destinatarios a dar clic en los URLs hospedados en páginas comprometidas. Los spammers utilizan URLs de sitios comprometidos para asegurar un índice de clics más alto en sus mensajes. Los sitios comprometidos resultan mucho menos sospechosos para una víctima perspicaz que los sitios que se han registrado recientemente. Lo que es interesante es que los atacantes están haciendo que los sitios comprometidos entreguen spam en la mayoría de los casos, pero cuando una víctima potencial llega al sitio comprometido es redirigida al malware. En este caso, el malware es Teslacrypt el cual se entrega a través del kit de explotación Angler. Cabe señalar que también se ha entregado Teslacrypt a través de varios otros kits en el pasado.

Al emular el URL señuelo en el Websense File Sandbox, pudimos seguir  la cadena de infección desde el señuelo de correo electrónico a través del kit de explotación Angler, hasta la eventual ejecución de Teslacrypt en el sistema. El atacante trató de ser lo más sigiloso posible para evadir la detección en varias etapas de la cadena de ataque.

El atacante puede beneficiarse de tres maneras al utilizar el kit de explotación Angler:

1. Angler es capaz de infectar con “un clic”. Las víctimas tienen posibilidades considerablemente bajas de darse cuenta de que lo que se les está pidiendo hacer no es legítimo.
2. Angler hace una entrega “sin archivos”. La aplicación sospechosa nunca se graba en el disco duro de la víctima, reduciendo considerablemente así la posibilidad de que el software antivirus (AV) la detecte. Se ha demostrado que Angler identifica el antivirus antes de decidir si grabar el malware en el sistema o almacenarlo en la memoria.
3. Angler permite entregar malware cifrado. El malware que se descarga no luce como un ejecutable. Esto disminuye la posibilidad de detectarlo a nivel de la red.

El siguiente reporte muestra el análisis de Websense File Sandbox para la entrega basada en archivos de TeslaCrypt:

La comunicación de comando y control se muestra a continuación:

El conjunto de comportamientos sospechosos permite que la entrega basada en archivos se identifique más fácilmente como un archivo ejecutable malicioso. El método de entrega sin archivos hace que el proceso de infección se realice con más sigilo.

La detección estática fue considerablemente menos efectiva que el análisis de sandbox con únicamente 20 por ciento de detección Total de Virus al momento de redactar este blog.

 

Este bajo índice de detección sólo empeorará con el mecanismo de entrega sin archivos, ya que el software antivirus ni siquiera podría tener la oportunidad de analizar el archivo.