Continuando nuestra investigación sobre FinFisher (el famoso spyware también conocido como FinSpy y que fue vendido a gobiernos y sus agencias alrededor del mundo) advertimos que el malware que habíamos documentado previamente, que tenía fuertes indicadores de involucramiento por parte de ISPs, había sido cambiado por un spyware diferente. Detectado por ESET como Win32/StrongPity2, este spyware se asemeja notablemente a uno que había sido atribuido al grupo llamado StrongPity. Así como detectan y bloquean esta amenaza, todos los productos de ESET (incluyendo el gratuito ESET Online Scanner) limpian exhaustivamente los sistemas comprometidos por StrongPity2.

Tal como reportamos en septiembre, en campañas que detectamos en dos países diferentes, se estaban utilizando ataques de Man-in-the-Middle (MitM) para propagar FinFisher, y en ambos casos con el "man/hombre" operando al nivel de ISP. De acuerdo a nuestras estadísticas, aquellas campañas fueron terminadas el 21 de septiembre de 2017, el mismo día que publicamos nuestra investigación.

El 8 de octubre de 2017, la misma campaña resurgió en uno de esos dos países, utilizando la misma (y bastante poco común) estructura de redirecciones HTTP para lograr una redirección del navegador web sobre la marcha, solo que esta vez se distribuía Win32/StrongPity2 en lugar de FinFisher. Analizamos este nuevo spyware e inmediatamente advertimos muchas similitudes al malware que supuestamente operaba el grupo StrongPity en el pasado.

La primera similitud es el escenario del ataque: usuarios intentando descargar un paquete de instalación de un software que son redirigidos a un sitio web falso que distribuye una versión troyanizada del software que se quería descargar en un principio. El grupo StrongPity ya había sido visto realizando este tipo de ataques en 2016, teniendo como objetivos principales a usuarios italianos y belgas de un software de cifrado.

Durante nuestra investigación, descubrimos varios paquetes de diferente software troyanizado con Win32/StrongPity2:

  • CCleaner v 5.34
  • Driver Booster
  • El navegador Opera
  • Skype
  • VLC Media Player v2.2.6 (32bit)
  • WinRAR 5.50

Desde el comienzo de la campaña, nuestros sistemas han registrado más de cien detecciones de este malware.

Hemos encontrado otras similitudes entre el malware de StrongPity y el modo en el que Win32/StrongPity2 es implementado:

 

  • Algunas partes del código son exactamente las mismas
  • Las (no exactamente comúnes) estructuras de sus archivos de configuración comparten notables similitudes, tal como puede verse en la imagen 1:

Imagen 1: muestras de archivos de configuración (arriba: StrongPity, abajo: StrongPity2)

  • Ambos utilizan el mismo algoritmo de ofuscación (un poco común Byte ^= ((Byte & 0xF0) >> 4)
  • Ambos utiliza el mismo (y bastante antiguo) libcurl version 7.45
  • Ambos sustraen archivos de la misma manera (el payload principal se encarga de la sustracción de archivos previamente recolectados y guardados en un módulo dedicado)

Si nos referimos a información robada, Win32/StrongPity2 tiene en su punto de mira a varios tipos de archivos con las siguientes extensiones:

  • .ppt
  • .pptx
  • .xls
  • .xlsx
  • .txt
  • .doc
  • .docx
  • .pdf
  • .rtf

Mientras que busca estos archivos, evita las siguientes carpetas:

  • %Windows%
  • %Windows.old%
  • %AppData%
  • %Program Files%
  • %Program Files (x86)%
  • %ProgramData%

Sumado a la sustracción de información, Win32/StrongPity2 es capaz de descargar ejecutar virtualmente cualquier otro software (malicioso) que el atacante desee, con los privilegios de la cuenta comprometida.

Cómo revisar si tu sistema fue comprometido, cómo limpiarlo y estar protegido

Para determinar si un sistema ha sido infectado con Win32/StrongPity2, el sistema puede ser explorado utilizando el gratuito ESET Online Scanner. Si Win32/StrongPity2 es detectado, esta herramienta es capaz de removerlo.

También es posible revisar el sistema manualmente mediante la verificación de la existencia de la carpeta %temp%\lang_be29c9f3-83we, la cual es creada por el malware para almacenar sus componentes, con el archivo wmpsvn32.exe siendo principal. Otro sencillo indicador de infección es la presencia de un string de registro ubicado en HKCU\Software\Microsoft\Windows\CurrentVersion\Run, llamado Help Manager con el string %temp%\lang_be29c9f3-83we\wmpsvn32.exe en su campo de data:

Imagen 2: Entrada de Registro utilizada por el malware para lograr persistencia.

La limpieza manual de un sistema infectado incluye los siguientes pasos:

  • Matando el proceso del componente principal, wmpsvn32.exe
  • Borrando la carpeta %temp%\lang_be29c9f3-83we y todos sus componentes
  • Borrando el ‘Help Manager’ en la entrada de registro antes mencionada

Es importante advertir que para tener protección continúa y en tiempo real, recomendamos utilizar una suite de seguridad multi-capa.

Un agradecimiento especial a Ivan Besina por su ayuda en la investigación para este artículo.

IoCs
Hashes de las muestras analizadas:
4ad3ecc01d3aa73b97f53e317e3441244cf60cbd
8b33b11991e1e94b7a1b03d6fb20541c012be0e3
49c2bcae30a537454ad0b9344b38a04a0465a0b5
e17b5e71d26b2518871c73e8b1459e85fb922814
76fc68607a608018277afa74ee09d5053623ff36
87a38a8c357f549b695541d603de30073035043d
9f2d9d2131eff6220abaf97e2acd1bbb5c66f4e0
f8009ef802a28c2e21bce76b31094ed4a16e70d6
a0437a2c8c50b8748ca3344c38bc80279779add7

 

Dominios que distribuyen paquetes de sfotware troyanizados con Win32/StrongPity2
hxxps://downloading.internetdownloading.co

 

URLs usadas para sustraer la información robada
hxxps://updserv-east-cdn3.com/s3s3sxhxTuDSrkBQb88wE99Q.php
hxxps://updserv-east-cdn3.com/kU2QLsNB6TzexJv5vGdunVXT.php
hxxps://updserv-east-cdn3.com/p55C3xhxTuD5rkBQbB8wE99Q.php

 

Carpeta creada por el malware para guardar sus componentes
%temp%\lang_be29c9f3-83we