Caracasdigital Caracasdigital

  
 RUN RUN TECNOL脫GICO
Invitaci贸n, martes 18 de mayo, CASETEL webinar Transformaci贸n Digital

El 17 de mayo se celebra el D铆a Mundial de las Telecomunicaciones y de la Sociedad de la Informaci贸n, tambi茅n se...Leer m谩s


Publicado en Gaceta Oficial nuevo Reglamento sobre el Servicio Universal de Telecomunicaciones y su Fondo

En aras de minimizar las desigualdades que impiden un adecuado acceso a los servicios de telecomuni...Leer m谩s


驴Alertan sobre estafas mediante correos falsos del Ministerio P煤blico?

Es verdadero. Recientemente usuarios de las redes sociales denunciaron que estaban recibiendo corre...Leer m谩s


LG abandona la l铆nea de Celulares para impulsar su l铆nea de Tv
La muestra la dej贸 ver en la reciente feria global CES 2021, donde su principal innovaci贸n la bas贸 en su l铆nea de Te...Leer m谩s

Telef贸nica vende a m煤ltiplos r茅cord la divisi贸n de torres de Telxius a American Towers por 7.700 millones de euros
Telef贸nica ha informado que su filial Telxius Telecom, S.A. (sociedad del Grupo Telef贸nica participada minoritariament...Leer m谩s

IBM de Venezuela est谩 de aniversario

Todo comenz贸 el 18 de enero de 1938, cuando CA WATSON de M谩quinas Comerciales, abri贸 sus puertas...Leer m谩s


Wikipedia comenz贸 como una idea ambiciosa...

...Para crear una enciclopedia libre, escrita por voluntarios, para todos en el mundo. Parec铆a imp...Leer m谩s


China prepara una lista negra de empresas estadounidenses

China anunci贸 el establecimiento de una 鈥渓ista de entidades no fiables鈥, que 鈥渄a帽en graveme...Leer m谩s


Movistar estrena nueva imagen en su p谩gina web

- El nuevo dise帽o responde una estrategia global de la compa帽铆a de homolog...Leer m谩s


:::::::::::::::::::::::::::::::: Agregar Nuevo
===================Ver Todo

Opinan los Expertos

Lo que todo CIO debe conocer de su Centro de Datos
Paola Boccia
Directora Ejecutiva de Banesco Banco Universal

Lenovo y la revoluci贸n del software
Lorenzo Rub铆n
Sales & Operations Manager Venezuela, Bolivia, Uru

TECH: Nuestra fiel compa帽era
Rodolfo Carrano
Vice Presidente Comercial de Directv Venezuela

Rumbo a la era del IPv6
Agustin Speziale
Product Manager, Connectivity, Media & IP Level 3

La Ciudad Digital ser谩 el n煤cleo del progreso y el desarrollo d
Manuel Moreno
Gerente Regional de Marketing para Banda Ancha Ina
===================Ver Todo

Colombia y Venezuela, con malware exclusivo: nuevas variantes de VBS

En un reporte de la agencia de comunicaciones de Eset Venezuela, nos dan a conocer que Colombia y Venezuela se han convertidos en los sitios de mayor propagaci贸n de c贸digos maliciosos desde el a帽o pasado, aqu铆聽 el informe.

Desde el Laboratorio de Investigaci贸n de ESET hemos detectado un par de c贸digos maliciosos cuyos comportamientos de propagaci贸n parecen estar enfocados en Colombia y Venezuela, y que por sus caracter铆sticas, est谩n relacionados con la familia VBS/Agent.NDH -el gusano m谩s propagado en Latinoam茅rica desde el a帽o pasado.

Las campa帽as de c贸digos maliciosos que se enfocan en un determinado pa铆s o regi贸n siempre han existido, y por supuesto Latinoam茅rica no es la excepci贸n. Ya hemos visto casos como el de CPL malware en Brasil, los macro malware en Centroam茅rica (principalmente en M茅xico) adem谩s de otros casos relacionados con falsos correos de gobierno en El Salvador y Guatemala y el caso de Remtasu, un troyano que se propag贸 en Colombia casi de forma exclusiva iniciando este a帽o.

Propagaci贸n de malware VBS en Colombia y Venezuela

Tal como lo advertimos el a帽o pasado de acuerdo a los datos de ESET Live Grid, la familia de c贸digos maliciosos VBS/Agent.NDH concentraba m谩s del 60% de los pa铆ses en Latinoam茅rica y desde entonces ha permanecido como una de las amenazas m谩s detectadas.

Pero a partir de marzo de este a帽o notamos un cambio en la forma en que se propagaba esta familia, principalmente en Colombia y Venezuela, apareciendo las nuevas variantes VBS/Agent.NHR y VBS/Padon.B con detecciones principalmente en estos dos pa铆ses:

Evolucion de amenazas VBS Ene-May

Tal como se observa en el gr谩fico anterior, al aislar el comportamiento en cuanto a cantidad de detecciones se refiere, de las cuatro familias mencionadas se nota una tendencia en la disminuci贸n del porcentaje de detecciones de c贸digos maliciosos como JS/Bondat y VBS/Agent.NDH mientras crecen las detecciones de VBS/Padon.B y VBS/Agent.NHR.

Incluso en lo que va del mes de junio el comportamiento se mantiene, siendo VBS/Padon.B y VBS/Agent.NHR las amenazas que relativamente m谩s detecciones tienen en ambos pa铆ses:

Evolucion de amenazas VBS Jun

Este comportamiento solo se nota en estos dos pa铆ses. De hecho resulta importante hacer notar que el 38% de las detecciones se concentra en Colombia y un 12% en Venezuela; el restante 50% de las detecciones se reparte en m谩s de 90 pa铆ses alrededor del mundo, siendo Brasil, Per煤 y Chile los pa铆ses de Latinoam茅rica dentro del conjunto, con apenas un 2% del total de detecciones de estas amenazas.

驴De qu茅 se trata la amenaza y en qu茅 var铆a?

Dos de las muestras que detectamos con mayor cantidad de propagaci贸n en estos dos pa铆ses utilizaban nombres de la suite de ofim谩tica de Office como t茅cnica de Ingenier铆a Social.

VBS Ingenieria SocialComo mencionamos al inicio, las nuevas detecciones ten铆an una estrecha relaci贸n con la familia de VBS/Agent.NDH que hab铆a sido detectada durante el a帽o pasado y que sigue siendo una de las muestras m谩s detectadas en Latinoam茅rica. Pero ahora lo importante es determinar la diferencia entre las dos muestras, y a su vez la relaci贸n entre ellas.

En ambos casos nos encontramos ante un script ofuscado, pero con m茅todos diferentes:

scripts ofuscados VBS

En el caso de la muestra que m谩s se propag贸 de la variante VBS/Agent.NHR, al tratar de desofuscar el c贸digo nos encontramos con funciones que fueron utilizadas de forma iterativa para agregar tres capas de ofuscamiento sobre el c贸digo original del script.

Algo curioso de notar es que cada nivel de ofuscamiento utilizaba un algoritmo diferente y los nombres de las variables de cada nivel est谩n asociadas a pa铆ses. Por ejemplo, la primera capa utilizaba nombres de pa铆ses de Europa para nombrar las variables y para cifrar el script lo hac铆a con la funci贸n XOR de dos variables que forma a partir de la cadena ofuscada. Al llegar al segundo nivel, las variables ahora utilizan nombres de pa铆ses de Latinoam茅rica y la funci贸n de cifrado est谩 asociada a un algoritmo en base 64 con diccionario no est谩ndar.

level I y II VBS Agent_NHR

Al llegar al tercer nivel, se utilizan como variables los nombres de pa铆ses de Oriente Medio y el cifrado es un reemplazo de los valores decimales del c贸digo ASCII por caracteres especiales. Finalmente, se llega al script donde finalmente podemos encontrar la direcci贸n del servidor al que se conecta, los comandos que utiliza y otras caracter铆sticas.

leve lII I y final VBS Agent_NHR

En el caso de la muestra de VBS/Padon.B, encontramos menos niveles de ofuscamiento que en el caso de la muestra anterior. De hecho, en este caso se utilizaba un reemplazo de los c贸digos decimales ASCII de cada caracter.

VBS Padon

Si comparamos los scripts finales de estas dos amenazas con los de la familia VBS/Agent.NDH analizados a finales del a帽o pasado, la estructura es bastante similar en cuanto a los comandos que utiliza, aunque la cantidad de los mismos es menor con respecto a los que vimos en otras campa帽as.

Adem谩s de ser muestras cuya aparici贸n en el tiempo est谩 separada por un mes y cuya mayor铆a de detecciones est谩 solamente en dos pa铆ses de Latinoam茅rica, hay una cuesti贸n adicional que nos hace pensar que son muestras que est谩n asociadas con un mismo ataque, pero en campa帽as de propagaci贸n separadas: el hecho de que utilicen el mismo servidor para la conexi贸n de la amenaza, pero en puertos separados. En el primer caso utilizan el puerto 855 y en el segundo el puerto 860.

Desde hace un tiempo hemos sido testigos del crecimiento en el uso de lenguajes de scripting para la creaci贸n de c贸digos maliciosos. La muestra de esto es la detecci贸n cada m谩s alta de amenazas en VBS o JS casi a la par de detecciones de amenazas en archivos complicados. Esta realidad se apoya en la facilidad que ofrecen estos lenguajes para manejar directamente variables del sistema.

Desde nuestro Laboratorio seguiremos analizando la evoluci贸n de estas amenazas y manteni茅ndolos al tanto de lo que utilizan los atacantes para infectar a sus v铆ctimas.

SHA1 Muestras

VBS/Agent.NHR 3feaa76f755e99ea51bdadc85af9841ebd8253a4

VBS/Padon.B fc775802117a90835292b13c14c18a9c6d10e04c

Cr茅ditos imagen: 漏Josh Harper/Flickr

Autor Camilo Guti茅rrez Amaya, ESET

Colombia y Venezuela, con malware exclusivo: nuevas variantes de VBS
Env韊 este art韈ulo a un amigo Imprima este art韈ulo   

Comentarios


Comentar



Esta nota/art韈ulo ha sido originalmente publicado por www.caracasdigital.com, el 28 de Junio de 2015..

Caracas Digital no se hace responsable por los juicios de valor emitidos por sus colaboradores y columnistas de opini髇 y an醠isis.

Aceptamos colaboraciones previa evaluaci髇 por nuestro equipo editorial, estamos abiertos a todo tipo o corriente de opiniones, siempre y cuando a nuestro juicio est閚 dentro de valores 閠icos y morales razonables.

Usted puede reproducir, reimprimir, y divulgar este art韈ulo a trav閟 de los medios audiovisuales e Internet, siempre que identifique a la fuente original, http://www.caracasdigital.com