“Love you”: campaña masiva de spam malicioso que ahora apunta a Japón

La última campaña de “Love you” fue lanzada el 29 de enero de 2019 y los registros sobre su detección han duplicado su tamaño en comparación con los movimientos iniciales.

Cuando terminábamos nuestro análisis sobre el reciente aumento de spam malicioso dirigido a Rusia, detectamos otra campaña (no relacionada con la anterior) basada en JavaScript que registró picos altos en nuestra telemetría. Aparentemente, la campaña de spam malicioso llamada “Love you” de mediados de enero de 2019 fue modificada y ahora apunta a Japón.
De acuerdo a los datos de nuestra telemetría, esta última campaña de “Love you” fue lanzada el 28 de enero de 2019 y ha duplicado su tamaño en comparación con los registros iniciales, tal como se puede apreciar en la Figura 1. Al igual que a mediados de enero, los correos spam distribuyen un conjunto de payloads maliciosos y presentan algunas actualizaciones: hemos visto intentos de descarga de criptomineros, un sistema modificador de configuración, un downloader malicioso, el gusano Phorpiex, y la versión 5.1 del ransomware GandCrab.
Figura 1 – Detecciones de adjuntos maliciosos en JavaScript distribuidos como parte de la campaña “Love you” y sus últimos registros

A partir del 29 de enero de 2019, la mayoría de las detecciones se registraron en Japón (95%), con miles de decenas de correos maliciosos detectados cada hora. En el mismo día, JS/Danger.ScriptAttachment (nombre de ESET para JavaScript maliciosos distribuidos como adjuntos a través del correo) fue la cuarta amenaza más detectada a nivel mundial y la amenaza número uno en Japón, como se puede ver en la Figura 2.
Figura 2 – JS/Danger.ScriptAttachment fue la amenaza número uno en Japón el 29 de enero de 2019

Escenario de la campaña dirigida a Japón

En esta última campaña, los atacantes han alterado el mensaje del correo malicioso, pasando del tema romántico inicial utilizado en la campaña “Love you” de mediados de enero a tópicos relevantes para Japón. Lo que se ha mantenido igual es la fuerte utilización de sonrisas, tanto en el asunto de los correos como en el cuerpo del texto.
Los correos que hemos visto durante nuestro análisis presentan los siguientes asuntos:
  • :D
  • Yui Aragaki ;)
  • Kyary Pamyu Pamyu ;)
  • Kyoko Fukada ;)
  • Yuriko Yoshitaka ;)
  • Sheena Ringo ;)
  • Misia ;)
(Nota: todos estos nombres corresponden a personalidades populares del entretenimiento en Japón)
Los adjuntos maliciosos en los correos analizados son archivos ZIP enmascarados como archivos de imágenes, cuyos nombres presentan el formato “PIC0-[9-números] 2019-jpg.zip”. En la Figura 3 se muestran ejemplos de tales correos.

Figura 3 – Ejemplos de correos spam utilizados en la campaña dirigida a Japón

Los archivos ZIP contienen un archivo JavaScript con el mismo formato de nombre, solo terminando en “.js”. Una vez extraído y ejecutado, el archivo JavaScript descarga el payload de primera fase del servidor C&C de los atacantes: un archivo EXE detectado por los productos de ESET como Win32/TrojanDownloader.Agent.EJN. Las URLs utilizadas para hospedar este payload han presentado rutas que terminan con “bl*wj*b.exe” y “krabler.exe” y estos payloads fueron descargados a “C:\Users\[username]\AppData\Local\Temp[random].exe”.

Este payload de primera fase descarga uno o más de los siguientes payloads finales del mismo servidor C&C:
  • El ransomware GandCrab, versión 5.1
  • Un criptominero
  • El gusano Phorpiex
  • Un downloader específico del idioma local (configurado para descargar futuros payloads solo si la configuración de idioma de la computadora afectada sugiere que la víctima está ubicada en China, Vietnam, Corea del Sur, Japón, Turquía, Alemania, Australia o Reino Unido)
  • Un sistema modificador de la configuración
La versión 5.1 del ransomware GandCrab cifra los archivos y añade a sus nombres una extensión compuesta por 5 caracteres aleatorios. Las notas de rescate que contienen esa extensión tanto en los nombres de archivo como en sus contenidos son creadas en cada carpeta afectada.

Figura 4 – GandCrab v5.1 nota de rescate

Los payloads en esta campaña actualizada son descargados de la dirección IP 92.63.197[.]153, la cual parece estar ubicada en Ucrania y ha sido utilizada en la campaña “Love You” desde su comienzo en enero.

Cómo estar protegido

Para evitar ser víctima de spam malicioso, siempre verifica la autenticidad de los correos antes de abrir cualquier adjunto o hacer clic en un enlace. Si es necesario, comunícate con la organización que aparenta ser y envía un correo utilizando los datos de contacto que aparecen en su sitio web.

Los usuarios de Gmail deben saber que, desde hace aproximadamente dos años, Gmail bloquea adjuntos en JavaScript que se envían y que se reciben.

Los usuarios de otros servicios de correo deben apoyarse en la prevención, a menos que utilicen alguna solución de seguridad que sea capaz de detectar y bloquear archivos JavaScript maliciosos.

Indicadores de Compromiso (IoCs)

Ejemplo de hashes adjuntos maliciosos en ZIP

ESET detection name: JS/Danger.ScriptAttachment
8551C5F6BCA1B34D8BE6F1D392A41E91EEA9158B
BAAA91F700587BEA6FC469FD68BD8DE08A65D5C7
9CE6131C0313F6DD7E3A56D30C74D9E8E426D831
83A0D471C6425DE421145424E60F9B90B201A3DF
57F94E450E2A504837F70D7B6E8E58CDDFA2B026

Ejemplo de hashes de downloaders JavaScript

ESET detection name: JS/TrojanDownloader.Agent.SYW aka JS/TrojanDownloader.Nemucod.EDK
cfe6331bdbd150a8cf9808f0b10e0fad4de5cda2
c50f080689d9fb2ff6e731f72e18b8fe605f35e8
750474ff726bdbd34ffc223f430b021e6a356dd7
1445ea29bd624527517bfd34a7b7c0f1cf1787f6
791a9770daaf8454782d01a9308f0709576f75f9

Ejemplo de hash del payload de primera fase

ESET detection name: Win32/TrojanDownloader.Agent.EJN
47C1F1B9DC715D6054772B028AD5C8DF00A73FFC

Ejemplo de hashes de los payloads finales

PayloadSHA-1ESET detection name
GandCrab ransomware885159F6F04133157871E1D9AA7D764BFF0F04A3Win32/Filecoder.GandCrab.E
Cryptominer14E8A0B57410B31A8A4195D34BED49829EBD47E9Win32/CoinMiner.BEX
Phorpiex wormD6DC8ED8B551C040869CD830B237320FD2E3434AWin32/Phorpiex.J
DownloaderAEC1D93E25B077896FF4A3001E7B3DA61DA21D7DWin32/TrojanDownloader.Agent.EEQ
System settings changer979CCEC1DF757DCF30576E56287FCAD606C7FD2CWin32/Agent.VQU

Servidor C&C utilizado en la campaña


Comentarios

Publicar un comentario

Entradas populares de este blog

Presuntos narcotraficantes liberados por un ransomware

Imagen
Los fiscales estadounidenses se vieron obligados a dejar caer 11 casos de narcotráfico contra seis presuntos delincuentes, después de que se perdieron archivos de casos cruciales en una infección de ransomware en un departamento de policía de Florida. Es al menos séptimo incidente conocido de este tipo: investigaciones policiales se ven afectadas por una infección de ransomware que elimina la evidencia de las fuerzas del orden. La evidencia en los 11 casos no se pudo recuperar después de un ataque de ransomware que golpeó al departamento de policía de Stuart en abril de 2019. Si bien la policía de Stuart recuperó algunos datos de las copias de seguridad, algunos archivos no se pudieron recuperar. Los archivos perdidos incluyeron evidencia en fotos y videos , dijo el sargento detective Mike Gerwan del Departamento de Policía de Stuart a WPTV en una entrevista la semana pasada. Gerwan dijo que los casos retirados incluyen cargos por posesión de metanfetamina, posesión de
Leer más

Metasploit y Windows 10: Creando un payload indetectable (Evadiendo software antivirus)

Imagen
Anteriormente escribimos un artículo donde mostramos la manera de acceder a un sistema operativo Windows 10 usando metasploit de manera local o remotamente, puedes leer el artículo aquí:  Accediendo remotamente a Windows 10 con Metasploit . Hoy les vamos a mostrar cómo ofuscar el código malicioso para que sea indetectable a los antivirus. Los entusiastas de seguridad siempre buscan exploits de día cero que pueden eludir con éxito las características de seguridad de sistemas cómo Windows 10. Se han llevado a cabo numerosas investigaciones para crear malware indetectable y proyectos completos de GitHub dedicados a automatizar la creación de payloads indetectables como WinPayloads , Veil v3 y TheFatRat . Todo lo que se explicará en esta guía se hace con fines explícitamente educativos y bajo un laboratorio propiedad de Security Hack Labs , los usos que se le puedan dar a este tutorial depende del usuario y es absolutamente responsabilidad del él los daños que
Leer más

Diferencias entre mapa de calor, mapa de riesgos y matriz de riesgos

Imagen
4.5 / 5 ( 6 votos ) El mapa de riesgos, el mapa de calor y la matriz de riesgos son herramientas útiles en Risk Management. Si bien, en ocasiones los profesionales en Risk Management confunden estos conceptos y lo tratan como si fueran una única herramienta. En este artículo vamos a aclarar las principales diferencias y similitudes entre mapa de calor y matriz de riesgos, así como con mapa de riesgos. ¿Qué son los mapas de riesgos? Un mapa de riesgos es una tabla de 2×2, normalmente una tabla cruzada, que se organiza en columnas. En la primera se colocan los posibles eventos que pueden aportar incertidumbre al objetivo de la empresa u organización. Y, en las siguientes columnas, se colocarán las probabilidades, consecuencias o variables que puedan explicar dichos eventos. Por lo tanto, esta tabla viene a considerarse un mapa de riesgos.
Leer más