A fines de octubre notamos que los usuarios que visitaban el sitio web de Ammyy para descargar la versión gratuita de su software de administración remota en realidad estaban descargando un paquete que no solo contenía el programa legítimo llamado Ammyy Admin; también incluía un paquete de instalación NSIS (Nullsoft Scriptable Installation Software) que instalaba las herramientas utilizadas por la banda Buhtrap para espiar y controlar los equipos de sus víctimas.
Aunque Ammyy Admin es un software legítimo, tiene una larga historia de ser utilizado por estafadores, por lo tanto varios productos de seguridad, como los de ESET, lo detectan como una Aplicación potencialmente no segura. Aún así, se sigue utilizando en forma generalizada, particularmente en Rusia.
Como ya señalamos en nuestro análisis anterior sobre Buhtrap, esta banda ha estado atacando en forma activa a empresas rusas, principalmente a través de ataques de phishing dirigidos. Por lo tanto, es interesante ver que sigue incorporando más estrategias de infección web a su arsenal. Como habitualmente son las empresas las que utilizan software de administración remota, sin duda tiene sentido que la banda trate de infectar a los visitantes de este sitio en particular. Vale la pena señalar que la lista de clientes del sitio web de Ammyy incluye a empresas que alcanzaron el TOP500 Fortune, así como bancos rusos.
La infección
Al parecer, el sitio web de Ammyy ahora está desinfectado y ofrece el paquete de administración remota Ammyy Admin sin malware, pero durante alrededor de una semana los visitantes estuvieron descargando un paquete de instalación que contenía tanto el malware como el producto Ammyy.
Durante la investigación, encontramos diversas familias de malware distribuidas a través de la página de Ammyy. En la siguiente línea de tiempo se muestran cuáles fueron estas familias y la fecha de su distribución.
El primer malware que encontramos fue el downloader Lurk, distribuido el 26 de octubre. Luego aparecieron Corebot el 29 de octubre, Buhtrap el 30, y finalmente Ranbyus y el RAT Netwire el 2 de noviembre.
Aunque estas familias no están vinculadas entre sí, es posible que los droppers descargados desde el sitio de Ammyy hayan sido los mismos en todos los casos. El ejecutable instala el producto verdadero de Ammyy, pero a su vez ejecuta un archivo llamado ya sea AmmyyService.exe o AmmyySvc.exe, que contiene el payload. Por lo tanto, es perfectamente posible que los delincuentes responsables del ataque al sitio web vendan el acceso a los diferentes grupos.
Buhtrap
El paquete de instalación se comporta exactamente de la misma manera que describimos en nuestro análisis anterior. Primero toma la huella digital del sistema registrando el software instalado en el equipo y las direcciones URL visitadas. Si considera que el sistema es valioso, luego descarga un paquete adicional. El downloader está firmado con el siguiente certificado.
Cuando se lo notificamos a Comodo, rápidamente quitó el certificado. El paquete descargado se utiliza para espiar el sistema y, finalmente, para ejecutar un código que registra todas las pulsaciones de teclado, enumera las tarjetas inteligentes y se comunica con los servidores de C&C. Este módulo tiene exactamente las mismas funcionalidades que el módulo analizado anteriormente y se carga en la memoria a través de una técnica de carga lateral de DLL o sideloading (es decir, aprovechar una aplicación legítima que ejecuta una DLL externa y reemplazar la DLL por el payload, de modo que éste se ejecute sin levantar sospechas).
La diferencia principal en esta ocasión es que la aplicación legítima que se utiliza para instalar la DLL no es Yandex Punto, sino un programa llamado The Guide, un esquematizador (outliner) externo de dos paneles.
La operación Buhtrap todavía sigue activa y aún encontramos con frecuencia nuevas versiones procedentes de los autores del malware. Este grupo, de la misma manera que la banda Carbanak, está utilizando técnicas ya conocidas para realizar sus ataques dirigidos. El hecho de que ahora utilicen ataques web estratégicos es otro signo de que las técnicas utilizadas por los ciberdelincuentes y las de los grupos APT son cada vez más similares.
Un agradecimiento especial a Anton Cherepanov, Peter Koinár y Jan Matuík por su ayuda en este análisis.
Indicador | Valor |
---|---|
SHA1 del paquete Ammyy + downloader Lurk (Win32/TrojanDropper.Agent.REV) | 11657755FAD6F7B8854959D09D5ED1E0DE01D485 |
SHA1 del paquete Ammyy + CoreBot (Win32/Agent.RLY) | 92CF622E997F43C208DD3835D87A9B984CE73952 |
SHA1 del paquete Ammyy + Buhtrap (NSIS/TrojanDownloader.Agent.NSU) | 44769DD6A5291D1EAC79E78FEE3ED1F147990120 |
SHA1 del paquete Ammyy + Buhtrap (NSIS/TrojanDownloader.Agent.NSU) | 39CE37DC0E3009E536416F5CE25C0E538CBE41E0 |
SHA1 del paquete Ammyy + Ranbyus (Win32/Spy.Ranbyus.L) | 2A336AC995B6526529E01EB6303E229E40D99763 |
SHA1 del paquete Ammyy + RAT Netwire (Win32/Spy.Weecnaw.A) | 10C22B70899E0F0B741C8E10964E663EBD73F4FD |
Huella del certificado | 71 49 30 ac cf 5d 9a 7f fc d7 8c 0b 58 aa a5 a7 95 38 51 be |
Número de serie del certificado | 00 8b 2f fa 23 26 66 36 f2 30 77 82 66 bb 32 41 47 |
SHA1 del paquete descargado de Buhtrap (Win32/RA-based.AB) | 07F0B293F29EF13C61B33453E50C8C79C69BF22B |
URL del paquete descargado de Buhtrap | http://shevi-reg.com/bor/notepad.cab |