A fines de octubre notamos que los usuarios que visitaban el sitio web de Ammyy para descargar la versión gratuita de su software de administración remota en realidad estaban descargando un paquete que no solo contenía el programa legítimo llamado Ammyy Admin; también incluía un paquete de instalación NSIS (Nullsoft Scriptable Installation Software) que instalaba las herramientas utilizadas por la banda Buhtrap para espiar y controlar los equipos de sus víctimas.

ammy_sitio

Sitio web legítimo Ammyy.com

Aunque Ammyy Admin es un software legítimo, tiene una larga historia de ser utilizado por estafadores, por lo tanto varios productos de seguridad, como los de ESET, lo detectan como una Aplicación potencialmente no segura. Aún así, se sigue utilizando en forma generalizada, particularmente en Rusia.

Como ya señalamos en nuestro análisis anterior sobre Buhtrap, esta banda ha estado atacando en forma activa a empresas rusas, principalmente a través de ataques de phishing dirigidos. Por lo tanto, es interesante ver que sigue incorporando más estrategias de infección web a su arsenal. Como habitualmente son las empresas las que utilizan software de administración remota, sin duda tiene sentido que la banda trate de infectar a los visitantes de este sitio en particular. Vale la pena señalar que la lista de clientes del sitio web de Ammyy incluye a empresas que alcanzaron el TOP500 Fortune, así como bancos rusos.

La infección

Al parecer, el sitio web de Ammyy ahora está desinfectado y ofrece el paquete de administración remota Ammyy Admin sin malware, pero durante alrededor de una semana los visitantes estuvieron descargando un paquete de instalación que contenía tanto el malware como el producto Ammyy.

Durante la investigación, encontramos diversas familias de malware distribuidas a través de la página de Ammyy. En la siguiente línea de tiempo se muestran cuáles fueron estas familias y la fecha de su distribución.

El primer malware que encontramos fue el downloader Lurk, distribuido el 26 de octubre. Luego aparecieron Corebot el 29 de octubre, Buhtrap el 30, y finalmente Ranbyus y el RAT Netwire el 2 de noviembre.

Aunque estas familias no están vinculadas entre sí, es posible que los droppers descargados desde el sitio de Ammyy hayan sido los mismos en todos los casos. El ejecutable instala el producto verdadero de Ammyy, pero a su vez ejecuta un archivo llamado ya sea AmmyyService.exe o AmmyySvc.exe, que contiene el payload. Por lo tanto, es perfectamente posible que los delincuentes responsables del ataque al sitio web vendan el acceso a los diferentes grupos.

Buhtrap

El paquete de instalación se comporta exactamente de la misma manera que describimos en nuestro análisis anterior. Primero toma la huella digital del sistema registrando el software instalado en el equipo y las direcciones URL visitadas. Si considera que el sistema es valioso, luego descarga un paquete adicional. El downloader está firmado con el siguiente certificado.

certificado_buhtrap

Certificado del downloader

Cuando se lo notificamos a Comodo, rápidamente quitó el certificado. El paquete descargado se utiliza para espiar el sistema y, finalmente, para ejecutar un código que registra todas las pulsaciones de teclado, enumera las tarjetas inteligentes y se comunica con los servidores de C&C. Este módulo tiene exactamente las mismas funcionalidades que el módulo analizado anteriormente y se carga en la memoria a través de una técnica de carga lateral de DLL o sideloading (es decir, aprovechar una aplicación legítima que ejecuta una DLL externa y reemplazar la DLL por el payload, de modo que éste se ejecute sin levantar sospechas).

La diferencia principal en esta ocasión es que la aplicación legítima que se utiliza para instalar la DLL no es Yandex Punto, sino un programa llamado The Guide, un esquematizador (outliner) externo de dos paneles.

La operación Buhtrap todavía sigue activa y aún encontramos con frecuencia nuevas versiones procedentes de los autores del malware. Este grupo, de la misma manera que la banda Carbanak, está utilizando técnicas ya conocidas para realizar sus ataques dirigidos. El hecho de que ahora utilicen ataques web estratégicos es otro signo de que las técnicas utilizadas por los ciberdelincuentes y las de los grupos APT son cada vez más similares.

Un agradecimiento especial a Anton Cherepanov, Peter Koinár y Jan Matuík por su ayuda en este análisis.

Indicador Valor
SHA1 del paquete Ammyy + downloader Lurk (Win32/TrojanDropper.Agent.REV) 11657755FAD6F7B8854959D09D5ED1E0DE01D485
SHA1 del paquete Ammyy + CoreBot (Win32/Agent.RLY) 92CF622E997F43C208DD3835D87A9B984CE73952
SHA1 del paquete Ammyy + Buhtrap (NSIS/TrojanDownloader.Agent.NSU) 44769DD6A5291D1EAC79E78FEE3ED1F147990120
SHA1 del paquete Ammyy + Buhtrap (NSIS/TrojanDownloader.Agent.NSU) 39CE37DC0E3009E536416F5CE25C0E538CBE41E0
SHA1 del paquete Ammyy + Ranbyus (Win32/Spy.Ranbyus.L) 2A336AC995B6526529E01EB6303E229E40D99763
SHA1 del paquete Ammyy + RAT Netwire (Win32/Spy.Weecnaw.A) 10C22B70899E0F0B741C8E10964E663EBD73F4FD
Huella del certificado 71 49 30 ac cf 5d 9a 7f fc d7 8c 0b 58 aa a5 a7 95 38 51 be
Número de serie del certificado 00 8b 2f fa 23 26 66 36 f2 30 77 82 66 bb 32 41 47
SHA1 del paquete descargado de Buhtrap (Win32/RA-based.AB) 07F0B293F29EF13C61B33453E50C8C79C69BF22B
URL del paquete descargado de Buhtrap http://shevi-reg.com/bor/notepad.cab