Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
19/08/2014
Koler contínua infectant Pcs
El programari maliciós es fa passar per la policia i demana un rescat d’entre 100 i 300 dòlars per a desblocar el dispositiu. Disposa de 30 missatges personalitzats per a les víctimes en funció del el seu país.
Des de la seua aparició el 23 de juliol, Koler ha canviat. El component mòbil de la campanya es va alterar i el servidor de comando i control va començar a enviar el comando 'Desinstal·lar' a les víctimes mòbils, que eliminà l’aplicació maliciosa dels dispositius.
No obstant això, la resta dels components maliciosos per a usuaris de PC, incloent-hi l'equip d’explotació, seguixen actius, segons ha detectat Kaspersky Lab. La companyia continua monitoritzant activament el programari maliciós, detectat inicialment per l’investigador de seguretat 'Kaffeine'.
Els ciberdelinqüents que estan darrere dels atacs van emprar un esquema inusual per a escanejar els sistemes de les víctimes (també a Espanya) i van enviar ransomware personalitzat en funció de la seua ubicació i tipus de dispositiu (mòbil o PC). Després que la víctima haguera visitat qualsevol dels més de 48 llocs web pornogràfics maliciosos utilitzats pels operadors de Koler, esta era redirigida a un sistema de redirecció de trànsit. L’ús d’una xarxa pornogràfica per a la difusió d’este programari maliciós no és casualitat, ja que les víctimes són més propenses a sentir-se culpables després de navegar per este tipus de continguts i a pagar la suposada multa a les "autoritats".
Estos llocs pornogràfics redirigixen els usuaris al concentrador central, que utilitza el sistema de distribució de trànsit Keitaro (TDS) per a redirigir els visitants. En funció d’una sèrie de condicions, esta segona redirecció pot derivar en tres escenaris maliciosos diferents:
D’una banda, la instal·lació del ransomware mòbil Koler. En cas d’usar un dispositiu mòbil, el lloc web redirigix automàticament l’usuari de l’aplicació maliciosa. No obstant això, l’usuari encara ha de confirmar la descàrrega i instal·lació de l’aplicació (anomenada animalporn.apk) que en realitat és el ransomware Koler. Este bloca la pantalla del dispositiu infectat i demana un rescat d’entre 100 i 300 dòlars per a poder desblocar-lo. El programari maliciós mostra un missatge simulant procedir de la policia, per tal de fer-lo més realista.
També pot incloure la redirecció a qualsevol dels llocs amb ransomware en el navegador. El hub central verifica les condicions següents: a) l’usuari és d’un dels 30 països afectats, entre els quals es troba Espanya, b) no és un usuari d’Android, i c) la sol·licitud no prové d’Internet Explorer. Si els tres supòsits són afirmatius, a l’usuari li apareix una pantalla de bloqueig, idèntica a la utilitzada per als dispositius mòbils. No hi ha infecció en este cas, només un emergent que mostra una plantilla de bloqueig i demana el pagament de la multa. No obstant això, l’usuari pot fàcilment evitar el bloqueig pressionant la combinació de tecles alt + F4.
Pot incloure la redirecció a un lloc web que conté l’Angler Exploit Kit. Si l’usuari utilitza Internet Explorer, la infraestructura de redirecció utilitzada en esta campanya envia a l’usuari a llocs que allotgen l’Angler Exploit Kit. Durant l’anàlisi de Kaspersky Lab, el codi d’explotació era completament funcional, però açò pot canviar en el futur pròxim.
"El que té major interés en este cas és la xarxa de distribució utilitzada en la campanya. Desenes de llocs web generats automàticament redirigixen el trànsit a un eix central per mitjà d’un sistema de distribució de trànsit en què els usuaris són novament redirigits. Creiem que esta infraestructura demostra com està d'organitzada i com és de perillosa esta campanya. Els atacants poden crear ràpidament infraestructures semblants gràcies a l’automatització completa, canviar el programari maliciós subministrat, i usar-la contra noves víctimes. Els ciberdelinqüents també han ideat una sèrie de maneres de monetitzar els seus ingressos de campanya en un esquema verdaderament multidispositiu", ha explicat Vicente Díaz, analista director de seguretat de Kaspersky Lab.
Més de 200.000 usuaris han visitat el domini mòbil infectat des del començament de la campanya, la majoria en els EEUU (80% - 146.650), seguit del Regne Unit (13.692), Austràlia (6.223), el Canadà (5.573), l'Aràbia Saudita (1.975) i Alemanya (1.278).