Genérico 4min de Leitura - 18 de septiembre de 2020

El Coronavirus despierta un monstruo llamado Zeus Sphinx

This post is also available in: Português Español

Luego de años de inactividad, el famoso malware retornó en medio de las innumerables de acciones diarias de los hackers que se aprovechan de la pandemia.

Las últimas semanas trajeron una nueva realidad al mundo, conforme la pandemia del Coronavirus se esparce, causando conmoción en toda la población. Este tema ha sido muy aprovechado por los hackers y grupos que distribuyen spam y malwares. Sus acciones maliciosas crecen miles de veces por día, haciendo que irónicamente, el virus biológico “contamine” también el mundo virtual.

Así que, la situación parece empeorar con el resurgimiento del malware Zeus Sphinx, también conocido como Zloader y Terdot. Luego de 3 años sin dar noticias, volvió a activarse. Este se había hecho famoso por ser muy eficiente en el robo de informaciones bancarias, y ahora vuelve a la acción.

Aunque algunas actividades del Sphinx hayan surgido en diciembre, su contenido ganó consistencia en marzo de este año. Lo que indica que, aprovechando el clima actual, sus operadores están pendiente de aquellos que aguardan pagos provenientes del gobierno. Las campañas actuales de malware y spam presentan archivos adjuntos con carnadas relacionadas al Coronavirus. Los objetivos están más enfocados en bancos de los EUA, Canadá y Australia, pero la tendencia es que siga el camino del Coronavirus y llegue prácticamente a toda nación.

Visto por primera vez en agosto del 2015, el Sphinx es un malware basado en el código-fuente filtrado del Caballo de Troya (troyano) bancario Zeus. Al igual que otros troyanos bancarios, la meta del Sphinx es obtener las contraseñas de acceso a las cuentas. Cuando los usuarios infectados llegan a determinado portal bancario on-line, el Sphinx busca los datos en un servidor de Comando y Control (C2) para modificar la página que el usuario ve en la pantalla. De esa manera, todo lo que sea digitado es enviado a los cibercriminales, lo que incluye usuarios de acceso y contraseñas.

Actualmente los ataques son un poco diferentes. Los correos electrónicos informan a los objetivos que ellos deben rellenar un formulario en adjunto para recibir determinado pago del gobierno como parte de las acciones que el país lleva a cabo para disminuir los impactos económicos de la pandemia. Las campañas más recientes, el Sphinx se está esparciendo por correo electrónico con archivos maliciosos denominados “alivio COVID 19”.

A partir de varios programas de Microsoft Office, la mayoría siendo archivos .doc o .docx, esos documentos solicitan al usuario que permitan la ejecución de una macro, desencadenando sin querer la primera etapa de una cadena de infección. Después de que esas macros maliciosas son aceptadas, el script comenzará su instalación, generalmente usando procesos legítimos y secuestrados del Windows, que buscarán un downloader de malware. Luego, el downloader se comunicará con un servidor remoto de Comando y Control (C2) y traerá el malware deseado, en este caso, la nueva versión del Sphinx.

 

Rutina de infección

Después que las macros de Sphinx son activadas, el documento crea una carpeta malintencionada y graba un archivo batch (archivo por lotes). El código ejecuta ese archivo en los lotes y graba un archivo VBS en el mismo local.

El malware usa un proceso legítimo del WScript.exe para ejecutar el archivo VBS, que crea un canal de comunicación con el servidor C2. Después de eso, él baja un ejecutable malicioso en forma de archivo de biblioteca DLL. Esa DLL maliciosa es el principal ejecutable del Sphinx, que entra acción usando el proceso Regsvr32.exe.

Al principio, el malware crea un proceso “oco”, el msiexec.exe e inyecta su código en él. Esa misma etapa fue usada por las versiones más antiguas del Sphinx en la implantación, y ahora vuelve de manera más eficiente. Además, la nueva versión se comunica con su servidor C2 usando un panel de control basado en la Web llamado Tables.

El sistema de inyección de pantallas de Tables está operando desde 2014, adaptado y usado principalmente por troyanos del tipo Zeus, que tienen como objetivo, empresas de Norte América y Europa. Este panel provee los recursos necesarios para que el malware infecte y recolecte informaciones relevantes de las máquinas de las víctimas infectadas. Después de una conexión con el panel Tabelas for establecidas, el Sphinx buscará archivos JavaScript adicionales para que sus inyecciones en la Web se ajusten al banco de destino en que el usuario está navegando.

Uno de los triunfos del Sphinx es firmar su código malicioso usando un certificado digital que lo valida, facilitando su disfraz antes las herramientas de antivirus convencionales.

 

Semejanzas

La versión actual del Zeus Sphinx es “apenas” ligeramente diferente de las anteriores muestras vistas en campañas más antiguas. Por ejemplo, el malware crea una llave de ejecución en el Registro, para que la DLL sea accionada usando el proceso Regsrv32.exe. El malware también crea dos secciones de registro en HKCU \ Software \ Microsoft \, cada una con una llave que mantiene parte de su configuración.

Inevitablemente, se seguirán lanzando campañas con el tema del Coronavirus.  Eso incluye ataques de malware, URLs maliciosas y ataques de rellenar credenciales. Los grupos de hackers están pendientes de la pandemia como una oportunidad única para difundir medios de robar datos, principalmente en esta situación donde hay más y más personas trabajando en home office, donde las defensas tienden a ser menos efectivas.

Por eso, siempre es bueno reforzar los consejos para evitar caer en este tipo de envestidas. Nunca haga clic en links recibidos por SMS, aplicaciones de mensajes o correos electrónicos prometiendo beneficios, sin antes confirmar su validez, aunque vengan de contactos conocidos. Conforme crece esa epidemia, crecen los mensajes falsos que prometen la distribución gratuita de ítems como alcohol gel al 70%, mascarillas, vacunas y hasta recetas caseras para protegerse del coronavirus. Eso incluye, también, la lista de famosos fallecidos, textos con teorías conspiratorias y nombre de las personas de su ciudad que están infectadas. Tarde o temprano, esos materiales pueden llegar a su computadora o celular, por eso es bueno mantenerse atentos.

This post is also available in: Português Español