Los investigadores de Kaspersky Lab han vuelto a detectar un malware similar en apariencia al famoso Duqu 2.0 aparecido hace dos años. Según la investigación publicada las redes pertenecientes a 140 bancos y otras empresas han sido infectadas por este malware capaz de permanecer casi invisible. Cientos de bancos e instituciones financieras de todo el mundo pueden haber sido infectados con un sofisticado malware sin archivos que es difícil de detectar.

Un sofisticado malware residente en la memoria RAM  infectó a 140 empresas en 40 países

Más de un centenar de bancos e instituciones financieras de 40 países han sido infectados con un sofisticado malware sin archivos que es muy difícil de detectar.

La amenaza fue descubierta por los expertos de la firma de seguridad Kaspersky Lab, los delincuentes están dirigidos a organizaciones en muchas industrias. Los bancos, las compañías de telecomunicaciones y el gobierno de 40 países estaban infectados con un malware sin archivos que reside en la memoria de los equipos comprometidos y no copia ningún archivo o carpeta en el disco duro.

Los investigadores descubrieron que el malware sin archivos ya había infectado sistemas en 140 redes empresariales, con la mayoría de las víctimas ubicadas en Estados Unidos, Francia, Ecuador, Kenia, Reino Unido y Rusia.

Los investigadores creen que el número real de víctimas es probablemente mucho mayor porque la amenaza es muy difícil de detectar.

Malware sin archivos y en Memoria RAM

El código malicioso se inyecta directamente en la memoria de la máquina infectada y el malware se ejecuta en la RAM del sistema.

"Un buen ejemplo de la implementación de estas técnicas es Duqu2. Después de caer en el disco duro y comenzar su paquete MSI malicioso que elimina el paquete de la unidad de disco duro con el cambio de nombre de archivos y deja parte de sí mismo en la memoria con una carga útil. Es por eso que la memoria forense es fundamental para el análisis del malware y sus funciones. Otra parte importante de un ataque son los túneles que van a ser instalados en la red por atacantes ", lee el análisis publicado por Kaspersky.

El ataque fue descubierto por un equipo de seguridad de un banco que descubrió una copia del código Meterpreter, un componente en memoria del frame Metasploit, en una memoria física de un controlador de dominio de Microsoft (DC).

Los expertos de Kaspersky Lab registraron las amenazas como MEM: Trojan.Win32.Cometer y MEM: Trojan.Win32.Metasploit. El malware aprovecha las secuencias de comandos de PowerShell dentro del registro de Windows para cargar el código Meterpreter directamente en la memoria, las técnicas similares aprovechando el PowerShell ya fueron adoptadas por otros malware en estado salvaje.

"Kaspersky Lab participó en el análisis forense después de que este ataque fue detectado, descubriendo el uso de scripts de PowerShell dentro del registro de Windows. Además se descubrió que la utilidad NETSH se utiliza para el tráfico de túnel desde el host de la víctima a C2 del atacante ", continúa el análisis.

Ataques utilizando herramientas clásicas de hacking 

Una vez que los atacantes se encontraron dentro, usaron la aplicación Mimikatz para extraer credenciales locales y obtener acceso a cuentas con privilegios más altos en la máquina local o estaciones de trabajo cercanas.

A partir de este momento, los atacantes utilizaron una combinación de módulos Metasploit, scripts en PowerShell y la herramienta SC de Windows para ejecutar código malicioso dentro de la memoria del equipo.

Para exfiltrar los datos, los atacantes utilizaron la utilidad NETSH, creando un túnel indetectable hacía su servidor deseado.

Este tipo de ataque restringió todo el comportamiento malicioso a la RAM del equipo ya algunas claves de registro de Windows, dejando mínimos rastros de acciones maliciosas en registros y copias de seguridad.

A medida que pasaba el tiempo y los registros y las copias de seguridad se giraban, se eliminaban los rastros que quedaban, mientras que los atacantes seguían ejecutando su código malicioso desde la RAM del ordenador.

En el año 2015 hacía su aparición Duqu 2.0, un virus que tenía la capacidad de infectar una red y permanecer únicamente en la memoria de las computadoras comprometidas. Como resultado de ello la infección permaneció sin ser detectada durante más de medio año.

El malware encontrado esta semana es muy similar. Según Kaspersky los hackers podrían tener una clara motivación financiera debido a los objetivos seleccionados. Además, podrían ser más de 140 bancos, ya que las infecciones son difíciles de detectar y los atacantes emplean herramientas legales para aprovechar alguna vulnerabilidad e inyectar el malware en la memoria del ordenador. Todo ello para finalmente sacar dinero de las cajeros… desde los propios bancos. Según la compañía de seguridad:

Lo que es interesante aquí es que estos ataques contra los bancos continúan en todo el mundo . En muchos casos los bancos no han sido adecuadamente preparados para lidiar con esto y las personas detrás de los ataques están sacando el dinero de los bancos... desde dentro de los propios bancos dirigiendo ordenadores que manejan los cajeros automáticos.

Las 140 organizaciones que han sido afectadas residen en 40 países diferentes, siendo Estados Unidos, Francia, Ecuador, Kenia y el Reino Unido los cinco países más afectados.
Un malware que se descubrió a finales del año pasado a través de un equipo de seguridad de un banco, en ese momento dieron con un controlador de dominio de Microsoft infectado aunque intacto, presumiblemente porque no se había reiniciado.

El análisis posterior encontró que los atacantes utilizaron herramientas para recopilar contraseñas de los administradores del sistema. Hoy los investigadores siguen sin saber la procedencia del ataque o incluso la manera en la que el malware se inicia, dudas que esperan resolver de aquí al mes de abril, momento en el que proporcionaran más detalles de la investigación en curso.[ArsTechnica]

Fuentes:
http://es.gizmodo.com/kaspersky-descubre-un-potente-malware-invisible-que-est-1792122617
http://securityaffairs.co/wordpress/56110/malware/fileless-malware-campaign.html