Organizaciones de ciberseguridad del Reino Unido, Estados Unidos, Australia, Canadá y Nueva Zelanda han publicado un informe de análisis conjunto sobre Infamous Chisel, un nuevo malware móvil dirigido a dispositivos Android que tiene capacidades para permitir acceso no autorizado a dispositivos comprometidos, escanear archivos, monitorear el tráfico y robar periódicamente información confidencial. El malware se ha utilizado en una campaña de malware dirigida a dispositivos Android utilizados por el ejército ucraniano.
Infamous Chisel es una colección de componentes dirigidos a dispositivos Android que las organizaciones autoras han atribuido a Sandworm, vinculado con el Centro Principal de Tecnologías Especiales (GTsST) del estado ruso.
La capacidad del malware incluye monitoreo de red, recopilación de tráfico, acceso por puerta trasera a la red a través de The Onion Router (Tor) y Secure Shell (SSH), escaneo de red y transferencia de archivos con protocolo de copia segura (SCP).
Infamous Chisel realiza escaneos periódicos de archivos e información de red para su filtración.
Los archivos de configuración del sistema y de las aplicaciones se extraen de un dispositivo infectado. El malware proporciona acceso de puerta trasera a la red a través de un servicio oculto Tor (The Onion Router) y Secure Shell (SSH).
La información exfiltrada es una combinación de información del dispositivo del sistema, información de aplicaciones comerciales y aplicaciones específicas del ejército ucraniano.
Otras capacidades incluyen monitoreo de red y recopilación de tráfico, acceso SSH, escaneo de red y transferencia de archivos SCP.
Los componentes de Infamous Chisel son de sofisticación baja a media y parecen haber sido desarrollados sin tener en cuenta la evasión de defensa ni el ocultamiento de actividades maliciosas.
La búsqueda de archivos específicos y rutas de directorios relacionados con aplicaciones militares y la exfiltración de estos datos refuerza la intención de obtener acceso a estas redes. Aunque los componentes carecen de técnicas básicas de ofuscación o sigilo para disfrazar la actividad, es posible que el atacante haya considerado que esto no era necesario, ya que muchos dispositivos Android no tienen un sistema de detección basado en host.
Sus componentes presentan una seria amenaza debido al impacto de la información que pueden recopilar.
Por otro lado, CISA y FBI han dado a conocer un informe sobre QakBot en donde las operaciones de interrupción dirigidas a la infraestructura de QakBot resultaron en la toma de control de la botnet, que cortó la conexión entre las computadoras víctimas y los servidores de comando y control (C2) de QakBot.
También conocido como Qbot, Quackbot, Pinkslipbot y TA570, es responsable de miles de infecciones de malware en todo el mundo. QakBot ha sido el precursor de una cantidad significativa de intrusiones informáticas, incluido el ransomware y cuentas comprometidas de usuarios dentro del sector financiero. QakBot, que existe desde al menos 2008, alimenta la cadena de suministro global de cibercriminales y tiene conexiones profundamente arraigadas con el ecosistema criminal. QakBot se utilizó originalmente como un troyano bancario para robar credenciales bancarias y comprometer cuentas; en la mayoría de los casos, se entregaba a través de campañas de phishing que contenían archivos adjuntos maliciosos o enlaces para descargar el malware, que residiría en la memoria una vez en la red de la víctima.
Desde sus inicios como troyano bancario, QakBot ha evolucionado hasta convertirse en una botnet multipropósito y una variante de malware que proporciona a los actores de amenazas una amplia gama de capacidades, que incluyen realizar reconocimiento, participar en movimientos laterales, recopilar y filtrar datos y entregar cargas útiles maliciosas, incluido ransomware, en los dispositivos afectados. QakBot ha mantenido su persistencia en el entorno digital debido a su naturaleza modular.
QakBot y sus variantes afiliadas se han dirigido a infraestructuras globales, incluidos los sectores de servicios financieros, servicios de emergencia e instalaciones comerciales, y el subsector de infraestructura electoral.
La estructura modular de QakBot permite varias funciones maliciosas, incluida la inyección web y de procesos, la enumeración de redes de víctimas y el robo de credenciales, y la entrega de cargas útiles de seguimiento como Cobalt Strike, Brute Ratel y otro malware. Se sabe que las infecciones QakBot preceden a la implementación de ransomware operado por humanos, incluidos Conti, ProLock, Egregor, REvil, MegaCortex, Black Basta, Royal y PwndLocker.
Históricamente, la infraestructura C2 de QakBot dependía en gran medida del uso de proveedores de hosting para su propia infraestructura y actividad maliciosa. Estos proveedores alquilan servidores a ciber delincuentes, ignoran las quejas de abuso y no cooperan con las autoridades. En un momento dado, miles de computadoras víctimas que ejecutaban Microsoft Windows fueron infectadas con QakBot; la botnet estaba controlada a través de tres niveles de servidores C2.
El primer nivel de servidores C2 incluye un subconjunto de miles de bots seleccionados por los administradores de QakBot, que se promueven a "supernodos" de Nivel 1 mediante la descarga de un módulo de software adicional. Estos supernodos se comunican con las computadoras víctimas para transmitir comandos y comunicaciones entre los servidores C2 ascendentes y las computadoras infectadas. A mediados de junio de 2023 se han identificado 853 supernodos en 63 países, que estaban activos ese mismo mes. Se ha observado que los supernodos cambian con frecuencia, lo que ayuda a QakBot a evadir la detección por parte de los defensores de la red. Se ha observado que cada robot se comunica con un conjunto de supernodos de Nivel 1 para transmitir comunicaciones a los servidores C2 de Nivel 2, sirviendo como servidores proxy para ocultar el servidor C2 principal. El servidor de nivel 3 controla todos los bots.
Sugerimos tomar estas acciones para defenderse proactivamente contra ataques:
- Capacite a los usuarios para que reconozcan y denuncien los intentos de phishing.
- Implementar un plan de recuperación para mantener y retener múltiples copias de servidores y datos confidenciales o propietarios en una ubicación físicamente separada, segmentada y segura (es decir, disco duro, dispositivo de almacenamiento, la nube)
- Implementar una política de contraseñas seguras y exigir el cumplimiento de todos los usuarios:
* Utilizar contraseñas más largas que consten de al menos 8 caracteres y no más de 64 caracteres;
*Almacenar contraseñas en formato hash utilizando administradores de contraseñas reconocidos en la industria;
*Agregar la contraseña del usuario "sales" a las credenciales de inicio de sesión compartidas;
*Evite reutilizar contraseñas;
*Implementar múltiples bloqueos de cuentas en intentos fallidos de inicio de sesión;
*Deshabilitar las “sugerencias” de contraseña;
*Abstenerse de exigir cambios de contraseña más de una vez al año. Es más probable que los restablecimientos frecuentes de contraseñas resulten en que los usuarios desarrollen “patrones” de contraseñas que los ciberdelincuentes puedan descifrar fácilmente.
- Habilite y haga cumplir la autenticación multifactor resistente al phishing.
- Mantenga todos los sistemas operativos, software y firmware actualizados.
Para más información sobre acciones de mitigación y prevención, contacte con nuestros expertos.
Fuentes: https://www.cisa.gov/news-events/analysis-reports/ar23-243a
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-242a
Imagen: https://pixabay.com/es/photos/tarjeta-de-cr%C3%A9dito-tarjeta-bancaria-1591492/