• 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
Lunes, 30 Septiembre 2013 00:00

Denuncia de ataques malware dirigidos contra nuestra organización

0
0
0
s2smodern
La delegación de Paz FARC-EP denuncia ataques malware dirigidos contra nuestra organización, en la página web (en inglés):
http://normanshark.com/news-events/blog/colombian-farc-sympathizers-apparent-targets-of-malware-campaign/  aquí dan los detalles técnicos de los ataques.
 
Queremos compartirlo con ustedes.

Aquí la versión traducida el español.

Simpatizantes colombianos de las FARC objetivos aparentes de campaña de malware


 
Lybsus malware
 09/20/2013
Por: Snorre Fagerland

Tomado de: http://normanshark.com



A veces nos encontramos con ataques dirigidos un poco fuera de lo común. Una de estas campañas me encontré el otro día al pasar por algunas capturas de pantalla del analizador G2 malware.

Contrariamente al malware regular, malware dirigido es a menudo visual, debido a la necesidad de hacerle pensar a  la persona específica que abrió un documento normal. 

El banner de arriba me llamó la atención.

La Fuerzas Armadas Revolucionarias de Colombia escudo de armas (FARC ) es un indicador interesante de un malware. 

El documento en cuestión parece ser un comunicado de las FARC , escrito el 17 Marzo 2013 , para notificar a los medios de comunicación acerca de un atentado que ha tenido lugar  el 5 de marzo en Buenos Aires. Sin embargo, el documento fue incluido en un archivo ZIP autoextraíble "Advertencia de las FARC.doc.exe" ( md5 93168c2b97452355342000a0fea9b110 ).


El otro archivo en ese archivo es donde está la acción malicioso. Ese archivo se llama system32.exe, y es un ejecutable de Visual Basic de una familia de malware que algunos llaman Lybsus. Aparentemente hay una conexión al idioma español en muchos archivos de esta familia.



Verificando nuestras bases de datos para archivos relacionados con Lybsus, nos muestra que existen cientos de ellos y se utilizan para todo tipo de cosas. Escarbando, nos revela que Lybsus es un crimeware disponible y gratis, que también se conoce con el nombre de "Prospy Rat". Como se muestra a continuación, hay un video de Youtube donde muestra cómo configurar y utilizarlos.



Cuando se ejecuta, el malware se instala él mismo y se conecta a su servidor de comando y control con alguna información sobre el estado. El servidor responde “CONECTADO”.



El hecho de que el malware es tan fácil de obtener, hace que la atribución sea difícil . En su lugar nos centraremos en los servidores de comando y control utilizados por el malware relacionado a las FARC con temas mencionados anteriormente.

Esta conexión de mando y control se inicia contra los dos dominios dinámicos DNS v1d3nt31.no - ip.org:3000 y v1d3nt32.no-ip.org:3001.

Visto por primera vez en junio de 2012, estos dominios han actuado sobre un gran número de direcciones IP con el tiempo, por lo general en rangos pertenecientes a Colombia Móvil (AS27831) y Telefónica Móviles Colombia (AS27921).

Dominios de DynDNS se utilizan con frecuencia en el malware, ya que, entre otras cosas, no es necesario estar registrado con sus propios dominios de nivel superior.

Esto ofrece comodidad y una mejor seguridad operacional para los atacantes.

Sin embargo, estos dominios tienen una historia que puede ser examinada, y comprobar las bases de datos en busca de malware conectarse a estos dominios presentan una serie de casos aparentemente relacionados: 

El "Quizás, Quizás, Quizás" de las FARC donde se burlan de Colombia.zip 
(MD5 eb131195b1119819a2ac3d659d5b27e3 )

 Este contiene un video 3gp mostrando un informe de la televisión de las FARC / gobierno negociaciones en Noruega.



Comunicado Conjunto de La Habana Julio 9 de 2013.docx.exe 
(MD5 cb11d9f25fab381ee5da84b45e147aa6 )
 Otra cantidad de casos en los que no tenemos ningún documento señuelo adjunta también se conecta a los mismos servidores.



Parece razonable suponer que los atacantes estaban tratando de obtener información sobre los simpatizantes de las FARC, o posiblemente sobre las propias negociaciones. No tenemos ninguna indicación de quiénes están detrás de estos ataques aparentes.

Se podría suponer que son intereses de varias partes, entre ellos el Gobierno de Colombia, para promulgar la vigilancia contra las FARC o sus seguidores - y la disponibilidad de malware listo-para-usar y gratis en español hace que sea muy fácil de hacer.


 Hasta aquí el artículo...

0
0
0
s2smodern

Blogs