Sexo, Exploit Kits y Ransomware

Para gustos los colores. Cada uno tiene gustos diferentes y más si hablamos de artistas y actrices. A algunos les gusta Carlos Latre o Dani Martinez, a otros Lady Gaga o Camela y otros se decantan por Laura Lion o Nacho Vidal. No pasa nada con esto, a no ser que el hecho de visualizar algunos vídeos de estos profesionales pueda llevar a que tu equipo se infecte y no puedas volver a usarlo a no ser que pagues por ello. Esto es lo que le pasó a un conocido debido a su amor por la mencionada Laura Lion.
 
 
El caso es que el sistema no se podía utilizar, ya que nada más arrancar, y pasados unos segundos de que apareciera el Escritorio, sólo se podía ver una pantalla con un aviso, supuestamente enviado por el “Cuerpo Nacional de Policía”, alertando de que el equipo se había usado para realizar acciones ilegales tales como pornografía infantil, temas relacionados con terrorismo, violencia sobre menores, etc. : "Fue detectado un caso de actividad ilegal. El sistema operativo fue bloqueado por violación de las leyes de España!". Realmente es un aviso impactante para un usuario normal y puede llegar a preocupar bastante, por lo que se puede decir que la ingeniería social en este caso ha superado con creces su propósito de engañar. Sin embargo, el aviso también menciona que si se quiere quitar el bloqueo del ordenador se debe pagar una multa de 100€ mediante los sistemas de pago Ukash o Paysafecard, dato del que se puede desconfiar con facilidad y hace que se llame casi de inmediato al teléfono de la policía. Una vez que esta pantalla aparecía no se podía ejecutar el Administrador de Tareas, volver al Escritorio ni realizar ninguna otra acción.
 
 
Después de analizar el sistema infectado en Modo Seguro y sabiendo cuándo se utilizó correctamente por última vez se puede realizar una búsqueda de archivos creados ese día, estableciendo una línea temporal, y así conocer cómo se llegó a infectar el equipo. Gracias a esto se puede encontrar el ejecutable en cuestión y otros archivos interesantes, como unos *.idx con las peticiones HTTP realizadas a un dominio malicioso y un .jar. Las URLs encontradas fueron las siguientes:
 
http://car.xxxx.info/content/v1.jar
http://car.xxxx.info/w.php?f=23&e=0
 
Los paths de estas URLs son bastante familiares y pertenecen a un Exploit Kit, más concretamente BlackHole, como se puede ver si se realiza una búsqueda rápida. En este caso la vulnerabilidad que se explotó de forma satisfactoria fue la CVE-2011-3544 de Java, llevando a la descarga de la segunda URL y la ejecución del código malicioso.
 
El malware encontrado forma parte de la familia de los Ransomware, que, como se ha visto, bloquean el sistema o cifran los archivos pidiendo cierta cantidad de dinero a cambio de desbloquearlo. Normalmente se pide una especie de rescate (del inglés ransom) para liberar el sistema, pero en este caso se hace uso de ingeniería social para engañar al usuario y obtener el dinero. Las acciones más relevantes que realiza son las siguientes:
 
  • Asegura su inicio creando un acceso directo en \Documents and Settings\$USUARIO\Menú Inicio\Programas\Inicio para ejecutar rundll32.exe con la DLL descargada.
  • Deshabilita el atajo de teclado para el Administrador de Tareas (Ctrl+Alt+Supr).

  • Muestra el citado aviso, que no es más que una ventana de Internet Explorer con el contenido de la siguiente URL (todavía activa):

http://xxx.yyy.73.43/

  • De la misma forma, intenta descargar un módulo para el robo de credenciales de FTP, VPN, Mensajería instantánea, Navegadores y aplicaciones de Poker de la siguiente URL:

http://xxx.yyy.73.43/images.rar


 
Para saltarse el bloqueo del código malicioso es posible lanzar una nueva ventana de Internet Explorer con Ctrl+N. Esto es así porque la pantalla que se ve no es más que una ventana de Internet Explorer maximizada, por lo que es posible lanzar una nueva ventana, y, una vez abierta, podemos usar el ratón para hacer click en Archivo/Abrir y lanzar el explorer.exe que nos devolverá el control del sistema.
La forma de eliminarlo sin usar la técnica anterior sería entrar en el Modo Seguro de Windows y ejecutar alguna solución Anti-Spyware / Anti-Malware, o, de forma manual, localizar el acceso directo en \Documents and Settings\$USUARIO\Menú Inicio\Programas\Inicio y la DLL comentada, y eliminarlos. Para esta infección los archivos se llamaban 0.1998781520909214.exe.lnk y 0.1998781520909214.exe, aunque estos nombres podrían variar. También se podría hacer uso de un Live-CD para realizar la misma tarea.
 
Este incidente se ha repetido en diferentes puntos de España (y anteriormente en el extranjero) y es una campaña todavía en uso, por lo que es recomendable el uso de protección al visitar ciertos sitios. No sólo hablo de un antivirus actualizado, que en este caso lo estaba, sino de estar al día con las actualizaciones de aplicaciones de terceros y del propio sistema operativo. Como comentaba, cada uno tiene sus gustos y aficiones, pero os recomendaría tener cuidado con ellos cuando se relacionan con las tecnologías, ya que la seguridad debe estar presente siempre ;)
 

Nota: Publicado originalmente en el blog de S21sec