El kit de explotación RIG cuenta ahora con una puerta trasera

23/05/2018

La actividad de los kits de explotación ha estado disminuyendo desde la segunda mitad de 2016, pero el kit RIG parece resistirse a la tendencia. Ha estado involucrado en una actividad continua que involucra una gama amplia de cargas útiles de malware criminal; y en la  campaña más reciente se vio a RIG liberar el malware Grobios, que está diseñado para ser una puerta trasera.

La campaña fue vista por primera vez en marzo por FireEye Labs, redirigiendo a las víctimas (principalmente en los EE. UU.) a un dominio comprometido con un iframe malicioso inyectado en él. Ese iframe a su vez carga un dominio de publicidad maliciosa, que se comunica a través de SSL y conduce a la página de destino de RIG. Este carga después un archivo Flash malicioso que suelta el troyano Grobios.

El principal sello distintivo del troyano es un impresionante arsenal de técnicas de evasión y anti-sandbox, según los investigadores de FireEye. También utiliza múltiples técnicas anti-depuración, anti-análisis y anti-VM para ocultar su comportamiento y el tráfico de comando y control.

"El principal objetivo del malware Grobios es ayudar al atacante a establecer un fuerte punto de apoyo en el sistema al emplear varios tipos de evasiones y técnicas anti-virtualización", dijo Ali Islam, director de FireEye, a Threatpost. "Una vez que se establece un fuerte punto de apoyo, un atacante puede dejar caer una carga útil de su elección, que puede ser cualquier cosa, desde un ladrón de información hasta ransomware, etcétera."

Los investigadores de FireEye dijeron en un análisis el lunes que los esfuerzos de Grobios para evadir la detección son todo un conjunto de tácticas: los autores han empaquetado la muestra con PECompact 2.xx. Además, la muestra desempaquetada no tiene entradas de funciones en la tabla de importación; usa una API de hashing para ofuscar los nombres de las funciones API que llama; analiza el encabezado PE de los archivos DLL para hacer coincidir el nombre de una función con su hash; y el malware utiliza cadenas de pila.

Además, justo antes de conectarse al servidor C2, el malware realiza una serie de comprobaciones para detectar máquinas virtuales y entornos de análisis de malware. Puede detectar casi todos los software de virtualización conocidos, incluidos Xen, QEMU, VMWare, Virtualbox, Hyper-V, etc., de acuerdo con FireEye, y compara la máquina con una lista de códigos hash de nombres de controladores contenidos en una lista negra.

Para la persistencia, Grobios se vuelve muy agresivo: suelta una copia de sí mismo en una carpeta de aplicaciones, haciéndose pasar por una versión del software legítimo instalado en la máquina de la víctima. A continuación, crea una llave de registro de ejecución automática y un acceso directo en la carpeta Inicio de Windows. A partir de ahí, deja caer varias copias de sí mismo en las subcarpetas de un programa legítimo, nuevamente haciéndose pasar por versiones diferentes de los programas instalados, y establece una llave de registro de Autorun o crea una tarea programada.

La persistencia aumentó el peligro de la campaña, ya que permite a Grobios esperar hasta que sus operadores estén listos para enviar cargas útiles adicionales.

En general, la campaña es interesante dado que el uso de los kits de explotación ha disminuido. Esto se debe en gran medida a que los sistemas se están volviendo menos vulnerables, según Zain Gardezi, investigador de vulnerabilidades de FireEye. Los usuarios están utilizando una mayor variedad de navegadores y, a menudo, desactivan Flash, lo que hace más difícil infectar a los clientes con exploits parcheados antiguos y reducir la superficie de amenaza para aquellos que manejan kits de explotación.

"Más y más usuarios están cambiando hacia navegadores más seguros, y el soporte de Flash también está disminuyendo lentamente con el tiempo", dijo Gardezi en una entrevista. "Debido a esto, los ciberdelincuentes están invirtiendo en descubrimientos de vulnerabilidades de día cero que son utilizables en ataques conducidos en lugar de [antiguas vulnerabilidades y] campañas simples de ingeniería social donde tienen que confiar en que la psicología humana haga su trabajo por ellos".

Sin embargo, agregó que RIG se las arregla para seguir siendo bastante atractivo para los atacantes que hacen que las tácticas de "difundir y rezar" sean su modus operandi.

"[RIG] por lo general nunca es el pionero en agregar exploits de día cero, y solo se produce después de que otros kits ya los hayan incorporado", explicó Gardezi. "RIG es utilizado principalmente por múltiples actores que en su mayoría confían en liberar malvertisements con la esperanza de infectar a tantos usuarios como sea posible. RIG siempre ha sido el kit con una variedad más amplia de campañas, en términos de cantidad de propagación y variedad de crimeware".

La moraleja de la historia es que los kits de explotación continúan poniendo en riesgo a los usuarios, especialmente aquellos que ejecutan versiones anteriores de software. Las empresas, como siempre, deben asegurarse de que sus nodos de red estén completamente parcheados para evitar ser víctimas de esta amenaza básica.

Artículos relacionados: