El malware aparece
disfrazado como una actualización de Flash y, a partir de la descarga drive-by,
autorizada por el propio usuario sin comprender las consecuencias, el invasor
hospeda un código malicioso en el sitio de la víctima.
Desde mayo, cuando
fue divulgada la campaña que diseminó el ransomware WannaCry, las
organizaciones de todo el mundo están en alerta. En este periodo el último
registro que se ganó los reflectores fue el EternalPetya en junio, el cual
afectó a numerosas organizaciones ucranianas, incluyendo empresas, aeropuertos
y departamentos gubernamentales, así como interrumpió las actividades de
empresas multinacionales con operaciones en el país. El pasado martes, Ucrania
volvió a ser uno de los blancos de los ciber atacantes que buscan
organizaciones de infraestructura de los países localizados en Europa del este.
Existe la posibilidad
de que estos ataques sean patrocinados por un grupo con intereses regionales
específicos o que tiene motivaciones más allá de las ganancias financieras, de
acuerdo a lo que muestra el material divulgado por FireEye. Esto es posible por
el patrón de implementación utilizado durante el ataque, o BACKSWING. Este
posee dos versiones las cuales tuvieron un aumento significativo desde mayo,
viendo el compromiso de sitios ucranianos. Dado que muchos dominios de sitios
todavía están comprometidos con esta estructura, los investigadores de FireEye
alertan por el riesgo de ser usados en futuros ataques.
Paso a paso del
BADRABBIT
Aparece disfrazado
como una actualización de Flash y, a partir de la descarga drive-by, autorizada
por el propio usuario sin comprender las consecuencias, el invasor hospeda un
código malicioso en el sitio de la víctima. En el caso de BADRABBIT, la mayor
parte de estos sitios eran de viajes y medios, con la finalidad de trazar el
perfil de los visitantes a entregar – o no – el payload (carga útil del
malware).
Se identificaron 51
sitios con el BACKSWING y cuatro autorizados a soltar el BADRABBIT. Esta
estructura presenta dos versiones con la misma funcionalidad y que difieren
apenas en el estilo de su código.
Los investigadores de
FireEye iSIGHT Intelligence consideran el BACKSWING como un recipiente genérico
que selecciona la sesión de navegación actual del usuario y envía la
información al receptor. Si está conectado, el servidor analiza y reenvía dos
opciones “InjectionType” (para la totalidad) o “InjectionString” (para
contenido HTML).
La primera, el
“InjectionType” actúa en dos frentes: redirecciona el navegador al URL o
compila el HTML para el DOM (Modelo de Documento Objeto). Esta fue observada
por FireEye al final de 2016 en sitios de turismo de la República Checa y de
turismo turco, además de un sitio de gobierno de Montenegro. A partir de mayo
de 2017 surgió una serie de sitios ucranianos comprometidos con esta versión de
BACKSWING y, en junio, el contenido malicioso comenzó a ser disparado por los
receptores. La segunda, “InjectionString”, procesa la respuesta de DOM, el
primer registro de esta versión se hizo el 5 de octubre por FireEye. Este fue
inyectando recursos legítimos de JavaScript en los sitios afectados.
FireEye también ha
observado el uso de este cuadro de JavaScript mal intencionado desde febrero de
2017, incluyendo muchos de los sitios registrados en este reciente ataque de
Europa del este. La estructura actúa como un perfilador que reúne informaciones
de aquellos que ven las páginas comprometidas, como host y dirección IP,
navegador, sitio de referencia y cookie del sitio de referencia, o que permite
a los invasores obtener más datos sobre las víctimas potenciales antes de
implantar las cargas útiles (es este caso, la actualización de Flash por medio
del ransomware, BADRABBIT).
Fuente: Diarioti.com