Un elaborado intento de infección por email engaña a 1.400 directivos

La compañía antivirus SunBelt dio la voz de alarma a finales de marzo. Se utilizó contra ella un tipo de ataque personalizado que rompía las reglas habituales del spam masivo, impersonal y poco sofisticado.

Una supuesta carta de la BBB (Better Business Bureau), perfectamente personalizada y redactada, instaba a la ejecución de un programa. Al parecer este malware ya ha infectado a más de 1.400 directivos.

En el correo se explica que alguien ha interpuesto una queja contra la compañía y se pide la descarga de una supuesta imagen que resulta en realidad un ejecutable. BBB es una organización americana que arbitra entre usuarios y consumidores, una especie de oficina del consumidor. En el correo electrónico, con una cuidada ortografía, se menciona con nombres y apellidos a personas reales pertenecientes a la empresa (habitualmente directivos), de forma que la primera impresión es que la acusación interpuesta puede ser real y que verdaderamente alguien se ha quejado de los servicios de la compañía. En otras versiones todavía más sofisticadas de la estafa, se usa un documento RTF adjunto en el que se incrusta un objeto OLE que no es más que un archivo ejecutable.

Aunque el hecho de descargar un ejecutable pueda hacer sospechar a muchos usuarios, si el atacado se fiase ciegamente de su antivirus, los resultados podrían ser desastrosos. En el momento en que SunBelt recibió el correo, utilizó VirusTotal.com para comprobar que el malware era detectado sólo por seis (de 32) antivirus y ninguno con firma específica, lo que delataba su “frescura”.

El malware en cuestión se basa en una de las técnicas preferidas de los troyanos bancarios hoy día. Se incrusta en el navegador Internet Explorer en forma de BHO (Browser Helper Object) y es capaz de añadir campos a formularios de cualquier página o modificar el comportamiento de formularios existentes para que la información viaje hacia el atacante en vez de ir al servidor al que está destinada. De nada sirve el cifrado y la autenticación SSL pues el “ataque” se lleva a cabo a un nivel incluso inferior. SecureWorks trazó la actividad del malware hasta llegar al servidor (comprometido) donde se alojaban los datos robados. Estimaron que existían 1.400 víctimas por el momento, y que acumulaban hasta 70 megas de datos robados por día. Sin duda un ataque poco difundido pero con un porcentaje de “éxito” mucho mayor que los habituales que se envían de forma indiscriminada.

Los nombres de usuarios y sus compañías habían sido cuidadosamente recopilados por los atacantes antes del envío del spam y la posterior infección. Esta experiencia viene a demostrar que, si realmente se lo proponen, el nivel de especialización del spam y distribución de malware puede llegar a ser sumamente sofisticado y efectivo si se segmenta correctamente y dedican algo de tiempo a investigar los potenciales objetivos. Si todavía se usa una traducción penosa y un spam masivo para distribuir malware, es porque incluso así es efectivo. A medida que esta técnica deje de dar resultados, la industria del malware mejorará sus ataques, y ya están demostrando que son capaces de hacerlo.

Por otro lado, después de este incidente, en Hispasec decidimos investigar cómo influía en los sistemas de detección el uso de archivos RTF como “contenedores” de ejecutables. Según un pequeño estudio realizado por Bernardo Quintero, descubrimos que el hecho de que el ejecutable viniese incrustado en un documento RTF impedía que muchos antivirus lo reconociesen como tal. De esta forma, el archivo RTF pasaría inadvertido para un primer nivel de defensa perimetral hasta que el ejecutable fuese “desenganchado” del documento y ejecutado aparte. En concreto el malware en bruto era reconocido por 18 antivirus, mientras que incrustado en el RTF era solo detectado por 12 compañías (siempre usando VirusTotal.com y sobre 32 motores).