Durante los meses de enero y febrero Symantec detectó una campaña de ataques dirigidos en múltiples etapas contra diversas compañías del sector energético alrededor del mundo, con énfasis especial en Medio Oriente. La campaña en cuestión utilizó un nuevo código malicioso para robar información, denominado Trojan.Laziok el cual actúa como una herramienta de reconocimiento al permitir a los agresores recopilar datos de las computadoras comprometidas.
La información detallada obtenida permite a los atacantes tomar decisiones importantes sobre cómo proceder con el ataque o simplemente detenerlo. Durante la investigación, Symantec encontró que la mayoría de los blancos de este ataque estaban relacionados con las industrias del petróleo, gas y helio, lo que sugiere que quien está detrás de esta campaña puede tener un interés estratégico relacionado con afectar a este tipo de compañías.
Imagen 1. Regiones donde se detectaron blancos de Trojan.Laziok
¿Cómo se distribuye este ataque?
La estrategia de la infección comienza con el uso de correos no deseados (spam) procedentes del dominio moneytrans[.]eu, que actúa como un servidor de comunicación abierto Simple Mail Transfer Protocol (SMTP). Estos correos incluyen un archivo malicioso adjunto que aprovecha la vulnerabilidad Microsoft Windows Common Controls ActiveX Control Remote Code Execution Vulnerability (CVE-2012-0158). Esta vulnerabilidad ha sido aprovechada previamente en diferentes campañas de ataques, como Red October. Los productos Symantec y Norton contaban con protección contra de estos exploits en el momento de ataques dirigidos como Bloodhound.Exploit.457 y Web Attack: Microsoft Common Controls CVE-2012-0158.
Si el usuario abre el documento adjunto al correo, que por lo general es un archivo de Excel, el código del exploit se ejecuta automáticamente y si esto sucede de forma exitosa se instala Trojan.Laziok, iniciando así el proceso de infección.
La infección
Este troyano se esconde en el directorio %SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle, creando nuevas carpetas y renombrándose con nombres de archivos comunes, tales como:
- %SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\search.exe
- %SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\ati.exe
- %SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\lsass.exe
- %SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\smss.exe
- %SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\admin.exe
- %SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\key.exe
- %SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\taskmgr.exe
- %SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\chrome.exe
Imagen 2. Modo de operación de Trojan.Laziok
Posteriormente, Trojan.Laziok comienza su proceso de reconocimiento y recopila datos de la configuración del sistema, tales como:
- Nombre de la computadora
- Software instalado
- Tamaño de RAM
- Tamaño del disco duro
- Detalles del GPU
- Detalles del CPU
- Software antivirus
La información recolectada es enviada a los ciberatacantes. Una vez que los agresores reciben los datos de la configuración del sistema, incluyendo los detalles del software antivirus que está instalado, infectan la computadora con malware adicional. Durante esta campaña los atacantes distribuyeron copias personalizadas de Backdoor.Cyberat y Trojan.Zbot, específicamente diseñadas la medida del perfil de la computadora comprometida. Observamos que las amenazas eran descargadas de algunos servidores localizados en los Estados Unidos, Reino Unido y Bulgaria.
El grupo que se encuentra detrás de estos ataques no parece ser muy avanzado, ya que se aprovecharon de una antigua vulnerabilidad y utilizaron sus ataques para distribuir amenazas conocidas que están disponibles en el mercado subterráneo. Sin embargo, muchas personas siguen sin aplicar los parches para las vulnerabilidades que existen desde hace varios años, lo cual las deja expuestas a ataques de este tipo. Desde la perspectiva del atacante, no tienen que contar con las herramientas más recientes para ser exitosos, solamente necesitan un poco de ayuda del usuario y una falla en las operaciones de seguridad debido a la falta de aplicación de parches.
Protección y prevención
Los productos de Symantec y Norton cuentan con protección en contra de esta campaña:
Antivirus
Sistema de prevención de intrusiones
Protección para el Gateway
- Trojan.Mdropper
- Nuestra tecnología antispam detecta los correos a través de la reglas genéricas Brightmail.
Recomendaciones y Mejores Prácticas
Se sugiere a los usuarios considerar las siguientes prácticas para evitar infecciones por malware a través de campañas de spam o correos electrónicos:
- Evitar hacer clic en ligas o abrir documentos adjuntos de correos electrónicos no solicitados, inesperados o sospechosos.
- Utilizar software de seguridad integral, como Symantec Endpoint Protection o Norton Security, para protegerse contra ataques de este tipo.
- Tomar en cuenta la seguridad en capas para una mejor protección.
- Mantener el software de seguridad actualizado.
- Aplicar los parches para el software instalado en tiempo y forma.