Malware en Libia: ataques dirigidos y sitios gubernamentales comprometidos

Share this…

Este artículo describe los detalles que descubrimos durante el análisis de un malware que se centra en un país específico: Libia. La amenaza existe al menos desde 2012, y es usada en campañas maliciosas masivas y para realizar ataques dirigidos.

A pesar de la falta de sofisiticación en los aspectos técnicos del malware y sus mecanismos de propagación, los cibercriminales detrás han demostrado la habilidad de comprometer sitios gubernamentales con éxito. Esto, combinado con el foco en una región específica, hace a esta amenaza interesante desde la perspectiva de la investigación.

Mecanismo de propagación

Durante nuestra investigación observamos que, para campañas de propagación masiva, estos atacantes tienden a comprometer perfiles en redes sociales como Facebook o Twitter y publicar enlaces que dirigen a descargas de malware. La figura 1 muestra un ejemplo de una publicación de 2013 escrita en árabe libio, que indica que el primer ministro ha sido capturado dos veces, esta vez en una biblioteca. A este mensaje corto le sigue un enlace a un sitio gubernamental comprometido que, en ese entonces, propagaba malware:

publicación en Facebook con enlace a descarga de malware

Figura 1: Publicación en Facebook con enlace a descarga de malware

La figura 2 ilustra un ejemplo de una publicación con un enlace malicioso, hecha desde una cuenta de Twitter que simula ser de Saif Gaddafi:

twitter-malware-libya

Figura 2: Publicación en Twitter con enlace a descarga de malware

Además de campañas de propagación masiva, los atacantes están realizando ataques dirigidosmediante el envío de correos de spear phishing (phishing dirigido) con adjuntos maliciosos. Para convencer a las víctimas elegidas de que ejecuten el binario malicioso, se implementan técnicas clásicas de Ingeniería Social, como íconos de ejecutables de MS Word y documentos PDF, y extensiones dobles como .pdf.exe ocultadas en el nombre de archivo. En algunos casos, el malware puede mostrar un documento señuelo.

Para ayudar a los atacantes a identificar infecciones específicas o intentos de infección, el malware contiene una cadena de texto especial que llamamos ID de Campaña. Aquí hay un listado de IDs de Campaña que identificamos durante nuestra investigación:

  • book of eli – اختراق كلمات سر موزيلا
  • OP_SYSTEM_
  • OP_NEW_WORLD
  • OP_TRAV_L
  • ahmed
  • op_travel
  • op_ ahha
  • op_russia
  • op_russia_new
  • op_russia_old
  • karama

Detalles técnicos

El malware está escrito usando el framework .NET; el código fuente no está ofuscado. Algunas muestras contienen rutas de símbolos PDB que revelan el nombre original del malware usado por sus autores y posibles blancos.

libya malware pdb path

Figura 3: Ruta de símbolos PDB descubierta dentro del malware

El malware es un clásico troyano que roba información y puede ser desplegado en diversas configuraciones. Su versión completa puede registrar pulsaciones del teclado (capacidad de keylogger), recolectar archivos de perfiles de los navegadores Mozilla Firefox y Google Chrome, grabar sonido del micrófono, tomar capturas de pantalla, capturar fotografías desde la cámara web y recolectar información sobre la versión del sistema operativo y el software antivirus instalado. En algunos casos, puede descargar y ejecutar herramientas de recuperación de contraseñas de terceros, para tratar de obtener contraseñas guardadas en aplicaciones instaladas.

La mayoría de las muestras analizadas usan el protocolo SMTP para exfiltrar información a direcciones de correo electrónico específicas. La figura 4 muestra la función decompiladamake_email_mozela, usada por el malware para recolectar y enviar archivos de perfil de Mozilla Firefox.

decompiled-malware-code-libya-malware

Figura 4: Código decompilado del malware que contiene credenciales SMTP credentials

El hecho de que el código en la mayoría de las muestras contiene la misma dirección de destinosugiere que el malware es usado exclusivamente por un mismo individuo o grupo de personas.

De manera alternativa, el malware puede subir la información robada directamente a su servidor deC&C usando comunicación HTTP.

Decompiled malware code that is used to upload stolen data

Figura 5: Código decompilado del malware que es usado para subir información robada

Como es evidente en la figura 5, el malware se conecta al servidor worldconnection[.]ly y carga datos usando un script PHP. El nombre de dominio se registró en junio de 2016; el servidor usado por el malware está ubicado en Libia.

Conclusión

Analizamos un malware que estaba activo al menos desde 2012 en una región específica. Los cibercriminales detrás lo propagaban en forma masiva y cabe destacar que todavía se usa en ataques de spear phishing.

Fuente:https://www.welivesecurity.com/