PDF de programación - Cronología de un ataque en Skype - La propagación del gusano Rodpicom

Cronología de un ataque en
Skype

La propagación del gusano Rodpicom



ESET Latinoamérica | [email protected] | www.eset-la.com



Indice
Autor: ................................................................................................................................................................................................... 2

Co-autores: ........................................................................................................................................................................................... 2

Introducción ......................................................................................................................................................................................... 3

Entendiendo el ataque ......................................................................................................................................................................... 4

La primera oleada: confusiones y proactividad ................................................................................................................................ 4

Mensajeros y mensajes: las estadísticas del ataque ............................................................................................................................. 5
La segunda oleada y la periodicidad: repitiendo la fórmula de éxito ............................................................................................... 7

De Internet para el mundo ............................................................................................................................................................... 8

Explicando los ataques ....................................................................................................................................................................... 10

Las armas de los cibercriminales .................................................................................................................................................... 10

Power Loader, un dropper problemático ........................................................................................................................................... 10
Rodpicom, el gusano de los mensajes ................................................................................................................................................ 12
Un solo ataque, muchas armas ...................................................................................................................................................... 13

Lecciones aprendidas ......................................................................................................................................................................... 14

Conclusión .......................................................................................................................................................................................... 15



Autor:

Pablo Ramos – Security Researcher de ESET Latinoamérica

Co-autores:

Juan Forgia – Malware Analystis de ESET Latinoamérica

Matías Porolli – Especialista de Awareness & Research de ESET Latinoamérica

André Goujon – Especialista de Awareness & Research de ESET Latinoamérica

Joaquin Rodriguez Varela – Malware Lab Coordinator de ESET Latinoamérica

Sebastian Bortnik – Gerente de Educación y Servicios



Cronología de un ataque en Skype



3

Cronología de un ataque masivo en Skype


Introducción

Los ataques masivos de códigos maliciosos generan un gran impacto en los usuarios. En primera instancia los dejan vulnerables,
desprotegidos, y en segundo lugar, demuestran cómo los cibercriminales pueden reutilizar técnicas antiguas para seguir afectando
a miles y miles de usuarios. A mediados del mes de mayo, usuarios de todo el mundo comenzaron a recibir mensajes de sus
contactos a través de distintos programas de mensajería instantánea como Skype y Gtalk, entre otros. Estos mensajes propagaban
una nueva variante del gusano Rodpicom, detectada por los productos de ESET como Win32/Rodpicom.C, y en pocas horas este
incidente se convirtió en una nueva epidemia de malware que, como manifiesta el presente artículo, no fue casualidad y continuó
su actividad durante semanas, con varias decenas de actualizaciones, mensajes en distintos idiomas y la utilización de técnicas de
evasión de detecciones e infección con un alto nivel de complejidad.

A lo largo del presente artículo, se repasarán cada una de las etapas de este ataque tratando de entender cuáles fueron las
características que lograron saltar las barreras de protección de empresas, y remarcar una vez más que la combinación de técnicas
de Ingeniería Social y códigos maliciosos pueden dejar vulnerables a los usuarios.



Cronología de un ataque en Skype



4

Entendiendo el ataque

En relación a la propagación de códigos maliciosos, existe un ciclo de vida entre cada campaña que realiza el atacante. Durante
este período variable de tiempo, la efectividad del ataque puede cambiar, llegando por momentos a un valor máximo de
efectividad ya sea por la cantidad de víctimas que infecta o usuarios que reciben la amenaza. Durante estos intervalos de tiempo,
la probabilidad de que un usuario reciba algún mensaje, correo y/o vea algún tipo de propagación de una amenaza es mayor.

Cuando la cantidad de usuarios que reciben la misma amenaza, a través del mismo canal de propagación y en un corto período de
tiempo supera cierto límite, se ven reacciones en cadena que sobrepasan los objetivos del atacante y comienza a caer fuera del
grupo de usuarios que se eligieron como posibles víctimas.

En gran parte, todo este conjunto de situaciones convergieron el 20 de mayo, momento en el cuál además de las notificaciones
del Sistema de Alerta temprana de ESET, llegaron consultas de usuarios afectados, e incluso comenzaron a llegar mensajes hasta
de contactos que miembros del Laboratorio de ESET Latinoamérica tenían en sus cuentas de Skype. Este comportamiento fue uno
de los primeros disparadores hacia el análisis y alerta a usuarios de la región sobre la aparición de un nuevo gusano, que se
propagaba de manera masiva a través de toda la región y, seguramente, el resto del mundo.

La primera oleada: confusiones y proactividad

Durante el 20 de mayo, se propagaron en Internet mensajes a través de Skype que invitaban a los usuarios a ver una foto que
había sido subida a distintas redes sociales1. Los enlaces que redirigían al usuario hacia la amenaza estaban acortados con el
acortador de direcciones URL de Google que descargaban un archivo comprimido que contenía el código malicioso.

Esta amenaza era detectada por ESET Smart Security como una varitante de Win32/Kryptik.BBKB, y logró que más de 300 mil
usuarios hicieran clic en los mensajes y descargaran la amenaza; el 67% de las detecciones provinieron de Latinoamérica. Tal
magnitud indicaba que se trataría de un ataqué orientado pura y exclusivamente para usuarios que hablaran español, sin
embargo, finalmente se descubrió que no era así.

Esta primera hipótesis surgió de la evolucíon en torno al origen de los clics. Si bien durante la primera etapa, Latinoamérica
parecía ser la región más afectada, las campañas posteriores demostraron lo contrario: los horarios de creación y propagación de
los mensajes coincidían con las primeras horas de la mañana de Europa.

El efecto de las primeras horas del ataque y las grandes cantidades de usuarios engañados por el uso de Ingeniería Social se
vieron reflejados en los sistemas de acortadores de direcciones URL, como se puede observar en la siguiente imagen:



1 Alerta, gusano se propaga velozmente vía Skype, más de 300 mil afectados http://blogs.eset-

la.com/laboratorio/2013/05/21/alerta-gusano-propaga-velozmente-skype-100-mil-afectados/

Cronología de un ataque en Skype



5

Imagen 1 – Propagación de enlaces maliciosos durante el 20 de mayo.



Asimismo, lo que en un inicio se detectó gracias a la Heurística Avanzada de los productos de ESET, luego de un primer análisis del
Laboratorio se identificó como una variante de Win32/Gapz, un poderoso bootkit analizado por los laboratorios de ESET y capaz
de inyectarse dentro del proceso explorer.exe con el objetivo de tomar control del sistema2. Luego de un análisis más minucioso,
se pudo determinar que en realidad la amenaza era el dropper PowerLoader.

El fin principal de este dropper consta en evadir las protecciones del sistema, infectarlo e inyectar código malicioso dentro de los
procesos. Entre sus actividades, descargaba otra variante de un código malicioso que era el encargado de propagarse a través de
los mensajeros instantáneos. Esta amenaza fue detectada por ESET Smart Security como el gusano Win32/Rodpicom.C3, una
amenaza normalmente utilizada en conjunto con otros códigos maliciosos para la propagación de malware a través de
mensajeros instantáneos, y que todavía es altamente riesgosa.



Mensajeros y mensajes: las estadísticas del ataque

Hasta las primeras horas del 21 de mayo, todos los mensajes que se habían propagado desde los sistemas infectados utilizaban el
acortador de direcciones URL de Google, sin embargo, esto cambió radicalmente a partir del segundo día de actividad. Las
estadísticas que recolectó el Laboratorio durante el primer día de actividad, permitieron identificar cinco direcciones URL
acortadas con goo.gl que en su totalidad generaron más de 495 mil clics durante toda la campaña.

Del total de los clics, el 27% provino de algún país de América Latina: entre los primeros tres se encuentran México (27.023),
Brasil (37.757) y Colombia (54.524). En referencia a otros países afectados, podemos resaltar el caso de Rusia con un total de
41.107