Técnicas de ocultación, Ransomware y Tor: el cocktail para secuestrar tu ordenador

El otro día, en una ponencia me preguntaban cómo podríamos librarnos de la infección y la contestación ya os la podéis imaginar. Es prácticamente imposible. Otra cosa es que minimicemos riesgos. Tanto distribuidores de soluciones antivirus como los propios desarrolladores de sistemas operativos y navegadores web trabajan sin descanso para detectar las numerosas variantes conocidas de este malware. Con una buena solución de antimalware, sistemas operativos y aplicaciones actualizadas, se pueden evitar un elevado porcentaje de ataques indiscriminados. Los malos van, generalmente, a por los más expuestos.

¿De qué formas puedes infectarte?

Hay muchas. Correos electrónicos con ficheros adjuntos que contienen software malicioso (malware), páginas web que han sido infectadas con esas mismas formas víricas, uso de mensajes de spam o phishing que te conducen a webs maliciosas, etc. Si los cibercriminales tienen interés en la información de una determinada víctima o empresa, el ataque será “dirigido” y, por tanto, las posibilidades de evitar la infección son pocas. Estudian bien a su objetivo y sus vulnerabilidades y después atacan. Lo importante es que tomes conciencia de que estamos continuamente expuestos a estos riesgos.

Mi amigo @JagmTwit , perito forense, se encuentra casos variados en sus exámenes periciales y nos cuenta las últimas tendencias maliciosas detectadas y otras combinaciones técnicas explosivas no tan novedosas para infectar los terminales informáticos, móvil incluido.

Al escondite inglés, sin mover las manos ni los pies

La semana pasada os hablaba de lo fácil que es ocultar archivos dentro de otros para que pasen inadvertidos. En esta ocasión, el malo no va a ocultar una foto de un hombre con una caja en la cabeza, sino malware, aún más peligroso e inadvertido para los sistemas de protección de tu ordenador. Una vez dentro, el troyano inutiliza el antivirus y se conecta a webs “.onion” situadas en la Deep Web (sí, esa tan oscura, peligrosa y anónima). Da igual si tienes instalado TOR (un navegador que sirve para conectarse a la Red profunda de forma anónima). Desde esa web profunda, el malware descargará todo el software que necesita para tomar el control de la máquina y replicarse.

Es decir, que los creadores de Ransomware están utilizando la esteganografía para ocultar el código malicioso de sus aplicaciones de tal forma que, una vez que ese código inutiliza los sistemas de protección de antivirus, se descarga el resto a través de una web “.onion”, (técnicamente imposible de rastrear) y toman el control absoluto de la máquina que queda comprometida, recibiendo órdenes maliciosas de forma remota a través de lo que se denomina Comand and Control Server (C&C). Pensándolo bien¿Para cuándo mejor un “simple” phishing?

Esta técnica se empleaba desde hace años, con la herramienta de creación de malware “KINS” (también llamada ZeusVm), utilizaba técnicas de esteganografía para insertar algoritmos “C&C”, ocultas en multitud de imágenes “.jpg” que, una vez abiertas ejecutaban el código oculto, infectando multitud de máquinas ¿Alguien ha visto la famosa foto en la que una pareja corría delante de un camión que pasaba por encima de un inmenso charco, para no mojarse? Pues a lo peor se mojaron, cibernéticamente hablando.

También @JagmTwit nos cuenta que durante sus peritajes se ha encontrado muestras del troyano Zeus, orientado a la banca. Zeus utilizaba la red social Pinterest como canal de transferencia de contenido. El troyano JaniCab –activo tanto en Windows como Mac Os/X”-, utilizaba los canales de Youtube para infectar a las máquinas. Otros más sofisticados como el troyano “OTT” (Operation Tropic Trooper) eran usados como herramienta “de ataque dirigido”, cuyos objetivos eran gobiernos e Inteligencia militar de varios países.

En concreto, a principios de 2013, una conocida firma de antivirus detectó formas de malware financiero escondido en ficheros de tipo “favicon” (los pequeños logos de identificación de las páginas web), pertenecientes a dominios (nombres de webs) infectados.

Logos de identificación de las páginas web tipo “favicon”. Fuente: https://www.hostinet.com/formacion/wordpress/anade-un-favicon-en-wordpress/

Un ejemplo de estas forma víricas lo podemos encontrar con el troyano “Vawtrak”, que roba las credenciales de acceso de quienes las introduzcan en las páginas infectadas por este malware y que puede permanecer oculto e indetectable durante largos períodos de tiempo, antes de comenzar con su actividad maliciosa.

En este mismo año 2016 se descubrió que la propia “Play Store” de Android, plataforma para la descarga de aplicaciones, contenía multitud de ficheros de instalación “.APK” (en un principio juegos), que habían sido infectados por un troyano oculto en ellas mediante técnicas de esteganografía, denominado “Android.Xyny.19.origin”, mediante el que conseguían acceder al IMEI del terminal y a la dirección MAC de la tarjeta de red (entre otras muchas cosas), descargando, de forma completamente arbitraria, aplicaciones maliciosas y exploits (utilizados para encontrar vulnerabilidades), que acaban tomando el control del terminal.

Como veis, nadie está a salvo de este tipo de infecciones pero lo que sí está en vuestras manos el evitar formar parte de ese mayor porcentaje de usuarios potencialmente más expuestos.