Propagación de malware desde emails gubernamentales de Colombia


Uno de los vectores de ataque más comunes para propagar malware (virus, troyanos, ransomware…) son los correos electrónicos, ya que muchos usan la ingeniería social para que más fácilmente exploten la vulnerabilidad del kernel humano, que es el eslabón más débil en seguridad de la información.

En este post, se muestra una nueva propagación que se está realizando por medio de cuentas de correo comprometidas de municipios de Colombia, usando el servicio de correo de Google – Gmail.

– carreta & + acción!

Este es el correo malicioso o vector de ataque: como pueden ver el correo llega aparentemente desde una cuenta oficial de un municipio de Caldas y al parecer ya tienen identificado personas que hacen este proceso con el Ministerio de Hacienda, ya que de los correos que se han analizado, solo le llegan a personas que trabajan o apoyan el pago de impuestos.

Vector

Al descomprimir el archivo adjunto, se evidencia que efectivamente tiene un binario (.exe) el cual al momento del análisis, solo era detectado por cuatro fabricantes de antivirus, como se va mostrar más adelante.

Muestra

Análisis del encabezado del correo

Usando este script elaborado en Python para extraer la información más trascendental de los encabezados del correo, se evidencia que efectivamente se envió desde servidores de correo de Google y que la cuenta de correo es la oficial del municipio.

Script

PD: El código completo del script lo publique en pastebin, por si lo quieren probar y complementar.

Ejecución del script y prueba de que se envio desde el servidor de correo de Gmail.ExecScriptComo pueden ver en el Return-Path, el buzón de correo es el oficial de un municipio de Viterbo Caldas  – Colombia y se verifico que la cuenta existiera desde el login de Gmail.

VerificacionCuenta

Análisis dinámico del malware

Verificación integridad del archivo binario

El pase de diapositivas requiere JavaScript.

Nivel de detección a la fecha (solo 4 de 54)NivelDeteccion

Detección en Virus Total

Según el análisis realizado en la maquina infectada y en un sandbox, se pudo evidenciar que inyecta el proceso “explorer.exe”, lee y establece valores en las siguientes claves de registro:

  • «Explorer.EXE» (Access type: «SETVAL», Path: «HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN»,

  • Key: «HKCU», Value: «%VariableEntorno%\Pago_De_Impuesto_Empresarial_Ministerio_De_Hacienda.exe») «Explorer.EXE» (Access type: «SETVAL», Path: «HKLM\SOFTWARE\MICROSOFT\ACTIVE SETUP\INSTALLED COMPONENTS\{XR047075-RM0W-RY08-NN57-N332G1U801U4}»,

Crea un archivo en la ruta>

%TEMP%\iJanuary15.exe

String de mutuaciones:

  • «_x_X_UPDATE_X_x_» «_x_X_PASSWORDLIST_X_x_» «_x_X_BLOCKMOUSE_X_x_» «***MUTEX2» «***MUTEX2_PERSIST» «***MUTEX2_SAIR» «{C20CD437-BA6D-4ebb-B190-70B43DE3B0F3}» «_SHuassist.mtx» «Local\ZonesCounterMutex» «Local\ZoneAttributeCacheCounterMutex» «Local\ZonesCacheCounterMutex» «Local\ZonesLockedCacheCounterMutex»

Intenta ejecutar el proceso del navegador “Firefox.exe” y usa las siguientes DLL

«USER32.DLL» at base 76C20000
«%WINDIR%\SYSTEM32\OLE32.DLL» at base 764C0000
«OLEAUT32.DLL» at base 77170000
«%WINDIR%\SYSTEM32\APPHELP.DLL» at base 75470000

%WINDIR%\system32\MSVBVM60.DLL (usada por apps en Visual Basic)

Usa el comando:

cscript.exe» «%TEMP%\teste.vbs»»

Intenta obtener nombres de usuarios del equipo

  • GetUserNameA@ADVAPI32.DLL

  • LookupAccountNameA@ADVAPI32.DLL

Metadatos de la muestra

MetaMuestra

Certificados digitales

CertsDigitales

Acciones de Red

  • ·        Se conecta al dominio: paovallos1.no-ip.info
  • ·         Se conecta a la IP 201.211.17.122 por el puerto TCP 9015.

La IP del C&C esta ubicada en Venezuela y ya esta listada en Blacklist.

Finalmente, se prueba la conexión por dicho puerto y aun esta habilitado.

TestConnect

Conclusiones y recomendaciones:

  • Con este análisis se comprueba que efectivamente el correo contiene un malware que busca conectarse a una IP de Venezuela donde está el C&C para extraer información confidencial y tener el equipo en una Botnet.
  • Al revisar los encabezados del correo se comprueba que se están enviando desde los servidores de Google y no desde un Servidor Falso, lo da un indicio de que estos buzones están comprometidos o tuvieron un acceso no autorizado.
  • Con el análisis dinámico de malware puedes entender mejor como funciona y que está intentando hacer, con el fin de implementar otras medidas preventivas y no solamente las reactivas que se pueden tomar con la muestra.
  •  Se recomienda revisar el filtro de correo de tus servidores, ya que muchos por defecto dejan pasar archivos comprimidos con contraseña y crear reglas con patrones para detectarlos, ya sea por el asunto, contendido del correo, entre otros…
  • Se recomienda usar contraseñas fuertes y diferentes para los buzones de correo, incluso aprovechar las características que estos brindan como autenticación de doble factor.
  • Si te llega un malware, no te quedes tranquilo con solo enviar la muestra a los laboratorios para que genere la firma que lo detecta y elimina, es más interesante hacerle un análisis manual o usar servicios Sandbox free o pagos, para ver cómo funciona y tomar otras medidas en la infraestructura de T.I. (Ej. Bloqueo de IPs, puertos TCP/UDP en los Firewalls, Bloqueo de URLs en el Proxy, Habilitación de filtros en los IPS/IDS, mitigación de vulnerabilidades entre otros…) ademas de entender el codigo malicioso.
  • Se recomienda afinar mejor las reglas de correlacion del SIEM para detectar tempranamente estas amenazas.
  • Finalmente, se recomienda dar a todos sus empleados un entrenamiento de concienciación en seguridad de la información  (Security Awareness Training) para que aprendan a identificar estas amenazas informáticas y las reporten adecuadamente al personal del Service Desk, al equipo de respuesta a incidentes de seguridad o en este caso, al equipo de seguridad de Google, el cual puedes hacer diligenciando el formulario para reportarlo desde aquí, anexando las cabeceras segun tu proveedor de correo.

Una de las cosas interesantes en la gestión de incidentes de seguridad de T.I. o de la información, es que «cuando aprendes de cómo te atacan, aprendes a defenderte y atacar mejor.»

Salu010,

@JOGAcrack.

 

 

#Proteja su correo de #GMAIL agregando la doble verificación de #Google


Hola a tod@s,

Hace poco que me dio por «cacharrear» un sistema de verificación del servicio de correo el electrónico de Google, GMAIL, para proteger mas el acceso no autorizado al correo personal y ahora quiero compartir sobre el tema:

Verificación telefónica o por mensajes de texto corto (SMS) para ingresar al correo de Google.

Básicamente, consiste en que registras un numero celular y cada vez que vayas a ingresar al correo de GMAIL te pedirá un código aleatorio, algo así como un «Token» para que puedas tener acceso, este código te puede llegar por mensaje SMS o te da la opción de que te llamen (Google me llama al celular? jeje) para que te lo digan.

Además, para que no se vuelva muy tedioso el proceso, puedes recordar un computador (confianza) por 30 días y esto te propia librar después de un dolor de cabeza.

Aquí dejo algunas imágenes que aparecen una vez esta configurado y más información por si están interesados en activar este sistema.

El pase de diapositivas requiere JavaScript.

¿Paises admitidos? Hay muchos paises y operadores ya adminitidos para utilizar este sistema, en Colombia por ejemplo esta admitido para los tres operadores.

operadores-celulares-colombia

 Listado Paises> http://support.google.com/accounts/bin/answer.py?hl=en&topic=22252&answer=150489#C

¿Y si no tienes o perdistes el teléfono celular?   

Nota importante: El proceso de recuperación de cuenta puede tardar aproximadamente entre 3 y 5 días laborables en completarse una vez que se rellena este formulario.
A continuación se indican algunas sugerencias que pueden ayudarte a recuperar tu cuenta más rápido:

¿Como configuro este sistema de verificación? Aqui les dejo el link de una guia donde muestran como hacerlo paso a paso:  http://www.chw.net/foro/guias-f79/948507-protejan-su-gmail-activando-la-verificacion-en-dos-pasos-en-su-cuenta-google.html

Asi como este, tambien existen sistemas de verificación para otros servicios de Internet, como Facebook, entre otros, por lo cual les recomiendo que consulten en Internet para ver que otros encuentran.

By @JOGAcrack

Lo que paso con el dominio JOGAcrack.COM y el nuevo dominio Colombiano JOGAcrack.CO del Blog de JOGA


Hola a tod@s,

El blog de JOGA cambio de dominio en Internet .COM al nuevo dominio Colombiano .CO (www.JOGAcrack.co) ,  y así como el Gigante Google,  Amazon  y otros grandes en Internet, decidí adquirir este nuevo dominio debido a lo que ocurrió con el anterior y los beneficios que trae este nuevo.

Un poco de Historia del .CO:

El exitoso comienzo del .CO marcó un camino de buenas noticias para el dominio colombiano. En su primer día, el 21 de julio de 2010, el dominio .CO (correspondiente a Colombia) obtuvo 233.000 dominios registrados, y menos de 11 meses después llegó a un millón, cifra que muestra su consolidación como la principal alternativa frente al dominio más popular, el .COM.

¿Qué beneficios trae el .CO?

“La fácil recordación del .CO, la similitud con el .COM y la campaña de posicionamiento global –que incluyó con un comercial durante el popular Super Bowl– han ayudado a que este dominio sea uno de los de mayor crecimiento en la historia de la Web.”

El dominio .CO es el dominio colombiano porque pertenece al Estado y, aunque lo administra una empresa privada, genera ingresos para el país, con un porcentaje de las ventas de los dominios.

En respuesta de algunos cybernautas:

¿Pero, que ocurrió con el dominio anterior JOGAcrack.COM?

Como no lo pude renovar a tiempo, entonces lo compro una empresa de Indonecia llamada “Kho Corp” cuyo contacto es Rudy  Kho, khocorp@yahoo.com, Según God Daddy y la consulta de Who is domain.

¿Porque lo compraron?

Esta es la hora que no se por qué lo hicieron y también por que el proveedor dejo que lo compraran, sin recordarme antes de la fecha de expedición.

¿Cuánto cuesta un dominio en Internet? Por lo general vale desde 10 dólares hasta 40, según el proveedor de Internet o  acá en Colombia se encuentran Promociones que permiten comprar un dominio .CO por 24.000 pesos Cop. O un dominio .COM.CO por solo 20.000 pesos al año.

Lecciones aprendidas y conclusiones:

  1.        Estar pendiente de la renovación de tus dominios y hosting en Internet, para no confiarse del proveedor y evitar de que te “compren” el dominio.
  2.        Debería existir una política y un tiempo establecido para poder renovar tu blog y evitar que otras personas o empresas lo compren.
  3.         Aprovechando los precios y los beneficios del dominio .CO las empresas, organizaciones, entre otras, deberían de aprovechar para tener su propio dominio en Internet y aprender de los beneficios que este les puede traer.
  4.        Lo más importante de un sitio Web no es el nombre del dominio, realmente es el contenido que se publique en el y esta es una de las técnicas (SEO) que tienen en cuenta los buscadores como Google para posicionar sitios Web en Internet.
  5.      Para los interesados, pueden seguir ingresando al blog con la nueva URL con dominio .CO (sin la M al final) http://JOGAcrack.CO

By @JOGAcrack.