21 de agosto de 2014

“MACHETE”. Malware en español

“Machete” es una campaña de ataques dirigidos con orígenes en idioma español. Creemos que esta campaña empezó en 2010 y se renovó con una infraestructura mejorada en 2012 aunque es posible que la operación siga "activa”.
El programa malicioso es capaz estas operaciones de ciberespionaje:
  1. Captura de actividad en el teclado
  2. Captura de la entrada de audio en el micrófono del equipo
  3. Captura de imágenes de la pantalla
  4. Captura de datos de localización geográfica
  5. Captura de fotos con la cámara web del equipo
  6. Envío de copias de archivos a un servidor remoto
  7. Copias de archivos a un dispositivo USB especial cuando se lo inserta
  8. Captura del contenido del portapapeles y la información en el equipo atacado
Objetivos de “Machete”
  • La mayoría de sus víctimas se encuentra en Ecuador, Venezuela, Colombia, Perú, Rusia, Cuba y España, entre otros. En algunos casos, como el de Rusia, los blancos parecen ser embajadas de los países mencionados.
  • Sus objetivos incluyen servicios de inteligencia, fuerzas armadas, embajadas e instituciones gubernamentales.
Funcionamiento del malware  “Machete
  • Este programa malicioso se propaga mediante técnicas de ingeniería social, incluyendo mensajes de correo tipo spear-phishing e infecciones vía web, mediante un sitio web especialmente preparado y fraudulento. No tenemos evidencias de exploits para vulnerabilidades día-cero. Tanto los atacantes como sus víctimas parecen ser hispanoparlantes.
  • Durante nuestra investigación, también descubrimos otros archivos que instalan esta herramienta de ciberespionaje, en lo que parece ser una campaña dedicada tipo spear-phishing. Estos archivos se muestran como una presentación de PowerPoint que instala programas maliciosos en el sistema atacado cuando el archivo se abre.š Estos son los nombres de los adjuntos de PowerPoint:
  1. Hermosa XXX.pps.rar
  2. Suntzu.rar
  3. El arte de la guerra.rar
  4. Hot brazilian XXX.rar

  • En realidad, estos archivos son archivos comprimidos de Nullsoft Installer que se autodescomprimen y tienen fechas de compilación que datan de hasta 2008.
  • Una particularidad del código es el lenguaje Python incrustado en los ejecutables es que estos instaladores lo incluyen y también todas sus librerías necesarias para la ejecución, así como el archivo PowerPoint que se le muestra a la víctima durante la instalación. El resultado son archivos muy grandes, de más de 3MB.
  • Un punto técnico relevante en esta campaña es el uso de Python incrustado en los ejecutables de Windows del programa malicioso. Esto es muy inusual y no representa ninguna ventaja para los atacantes, salvo la facilidad de escribir códigos. No cuenta con soporte para múltiples plataformas ya que el código está muy dirigido a Windows (uso de librerías). Sin embargo, varias pistas que detectamos nos indicaron que los atacantes estaban preparando la infraestructura para usuarios de Mac OS X y Linux. Además de los componentes para Windows, también descubrimos un componente móvil (Android).
  • Tanto los atacantes como las víctimas son hispanohablantes nativos, como pudimos constar de manera consistente en el código fuente del lado del cliente y en el código Python.
OTRAS CARACTERÍSTICAS DE “MACHETE” ( idioma)
  • La primera evidencia es el idioma utilizado, tanto para las víctimas como por los atacantes, español.
  • Todas las víctimas son hispanoparlantes, por los nombres de archivos de los documentos robados.
  • El idioma que utilizan los operadores de la campaña también es el español, ya que el código del lado del servidor está escrito en este idioma: informes, ingresar, peso, etc.
Conclusión
  • El descubrimiento de “Machete” revela que existen muchos actores regionales en el mundo de los ataques dirigidos. Por desgracia, estos ataques conforman el ciberarsenal de muchos países hoy. Con seguridad en este mismo momento hay otros ataques dirigidos que operan paralelamente y otros que están por nacer.
NOTA.- Si está interesado en el reporte técnico completo de esta APT, pueden solicitarlo escribiéndonos a: intelreports@kaspersky.com
Fuente: Kaspersky Lab