La ciberdelincuencia es una amenaza constante que afecta a millones de usuarios y empresas en todo el mundo. Los ciberdelincuentes no cesan de crear y distribuir programas maliciosos que tienen como objetivo robar datos, dinero o causar daños. Por eso, es importante estar al día de las últimas novedades en el ámbito del crimeware, es decir, el software diseñado específicamente para fines delictivos.
En este artículo, vamos a hablar de tres ejemplos recientes de crimeware. Se trata de ASMCrypt, Lumma y Zanubis, tres tipos de malware que tienen diferentes funciones y objetivos, pero que comparten el mismo propósito: aprovecharse de las vulnerabilidades y descuidos de los usuarios para obtener beneficios ilícitos.
El crimeware se refiere a cualquier software que está diseñado para llevar a cabo actividades ilegales en línea, como el robo de datos, el fraude financiero y la interrupción de las operaciones informáticas. Estas herramientas maliciosas se han convertido en una mercancía en el mercado negro, ofrecidas y utilizadas por ciberdelincuentes para realizar ataques sofisticados.
Te podrá interesar leer: Explorando las Profundidades de Internet: Deepweb vs Darkweb
ASMCrypt es un programa malicioso que se anuncia en foros clandestinos como un cifrador/cargador, es decir, un software que se encarga de cifrar y cargar la carga útil final, que puede ser otro tipo de malware, sin que sea detectado por los sistemas de antivirus o de detección y respuesta de endpoints (EDR).
ASMCrypt está relacionado con otro cargador llamado DoubleFinger, pero funciona de forma un poco diferente y es más una “fachada” del servicio real que se ejecuta en la red TOR, una red anónima que oculta la identidad y la ubicación de los usuarios.
El funcionamiento de ASMCrypt es el siguiente: primero, el comprador obtiene el binario de ASMCrypt, que se conecta al servicio backend del malware a través de la red TOR utilizando credenciales codificadas. Si todo es correcto, se muestra el menú de opciones, donde el comprador puede elegir entre diferentes parámetros, como el método de inyección, el proceso en el que se debe inyectar la carga útil, el nombre de la carpeta para la persistencia de inicio o el tipo de resultado, que puede ser un archivo binario que se hace pasar por QuickTime, o una DLL que se distribuye junto con una aplicación legítima.
Tras seleccionar todas las opciones deseadas y pulsar el botón de compilación, la aplicación crea un blob cifrado oculto dentro de un archivo .png. Esta imagen debe subirse a un sitio web de alojamiento de imágenes. También se crea la DLL (o binario) maliciosa, que los ciberdelincuentes se encargan de distribuir.
Cuando la DLL maliciosa se ejecuta en el sistema de la víctima, descarga el archivo .png, lo descifra, lo carga en memoria y lo ejecuta. De esta forma, se consigue evadir la detección y ejecutar la carga útil final, que puede ser cualquier tipo de malware, como un ransomware, un troyano bancario o un stealer.
Te podría interesar leer: Análisis de Malware con Wazuh
El stealer Arkei, desarrollado en C++, hizo su primera aparición en mayo de 2018 y a lo largo de los últimos dos años ha experimentado múltiples bifurcaciones y cambios de nombre. Ha sido identificado bajo diversos alias, como Vidar, Oski, Mars y, más recientemente, Lumma, que comparte un 46% de similitud con la versión original, Arkei. A pesar de estas variaciones, la funcionalidad principal de todas las variantes ha permanecido constante: la extracción de archivos almacenados en caché, archivos de configuración y registros de criptobilleteras. Este proceso se lleva a cabo actuando como una extensión del navegador o como una aplicación independiente compatible con Binance.
Ahora, profundicemos en el método de infección de Lumma. Este malware se propaga a través de un sitio web falso que simula ser una plataforma legítima para convertir archivos .docx a .pdf. Cuando se carga un archivo en este sitio, se le asigna una extensión doble, .pdf.exe.
Te podrá interesar leer: Malware Lumma Stealer utiliza trigonometría para evadir detección
Zanubis es un troyano bancario diseñado para dispositivos Android que emergió por primera vez alrededor de agosto de 2022. Su objetivo principal son las instituciones financieras y los usuarios de bolsas de criptomonedas en Perú. El principal método de propagación de Zanubis implica suplantar aplicaciones legítimas de Android en Perú, con el propósito de persuadir a los usuarios para que otorguen permisos de accesibilidad, lo que permite al malware tomar el control completo del dispositivo.
En abril de 2023, se identificaron versiones más recientes de Zanubis en circulación, algunas de las cuales se hacen pasar por la aplicación oficial de la organización gubernamental peruana SUNAT (Superintendencia Nacional de Aduanas y de Administración Tributaria). Estos desarrollos indican que el malware ha atravesado varias etapas de evolución, convirtiéndose en una amenaza móvil más sofisticada.
El malware se encuentra ofuscado mediante Obfuscapk, una herramienta de ofuscación ampliamente utilizada para archivos APK de Android. Una vez que el usuario otorga permisos de accesibilidad a la aplicación maliciosa, permitiendo que Zanubis se ejecute en segundo plano, el malware carga un sitio web legítimo en WebView, que forma parte de los servicios oficiales de SUNAT utilizados por clientes legítimos para verificar deudas. De esta manera, Zanubis se camufla como una aplicación legítima dentro del ecosistema de servicios de SUNAT, evitando levantar sospechas por parte del usuario.
La comunicación con el servidor de comando y control (C2) se establece utilizando WebSockets y la biblioteca Socket.IO. Esta biblioteca permite al malware mantener una conexión persistente con el C2, con la capacidad de cambiar entre protocolos (de WebSockets a HTTP y viceversa) en caso de necesidad. Además, ofrece una estructura escalable para que el C2 pueda emitir órdenes (llamadas eventos) a una gran cantidad de dispositivos infectados por Zanubis. Una vez que el malware se inicia, verifica la conexión con el C2 al establecer dos conexiones con el mismo servidor C2, cada una destinada a realizar diferentes tipos de acciones, siendo la segunda conexión iniciada exclusivamente por el C2.
Te podrá interesar leer: Zanubis: La Silenciosa Amenaza de un Troyano Bancario
Es importante destacar que Zanubis no contiene una lista predefinida de aplicaciones objetivo. En lugar de eso, el C2 emite el evento "config_packages" para configurar las aplicaciones que el malware debe supervisar. El malware analiza esta lista cada vez que se produce un evento en la pantalla, como la apertura de una aplicación, que es detectada por el malware a través de la función "onAccessibilityEvent". Cuando se detecta una aplicación objetivo en ejecución en el dispositivo, Zanubis realiza una de dos acciones según la configuración: registrar eventos de teclado o grabar la pantalla.
Además de estas funcionalidades, Zanubis inicia una segunda conexión desde el dispositivo infectado, permitiendo al C2 realizar acciones adicionales. El evento "VncInit" informa al servidor que se ha inicializado un segundo conjunto de capacidades, y envía información sobre la pantalla del usuario, como su tamaño, cada segundo. Esto podría ser utilizado por los operadores para tomar control del dispositivo infectado o utilizarlo como puerta trasera.
Las aplicaciones objetivo de Zanubis son bancos y entidades financieras en Perú. Esto, junto con los datos de telemetría, indica que Zanubis está dirigido específicamente a usuarios en Perú que utilizan dispositivos con configuración de idioma español. La lista de aplicaciones objetivo incluye más de 40 nombres de paquetes diferentes. Si bien Zanubis puede infectar cualquier dispositivo Android, su enfoque principal está en los usuarios peruanos.
Te podrá interesar leer: Perú Encabeza la Lista de Ataques a macOS
A medida que las herramientas de crimeware se vuelven más sofisticadas, también lo hacen las estrategias y tecnologías para combatirlas. La inteligencia artificial y el aprendizaje automático están emergiendo como herramientas clave en la detección y prevención de amenazas cibernéticas. Sin embargo, la lucha contra el crimeware es una carrera continua que requiere vigilancia y adaptación constante.
En resumen, AsmCrypt Loader, Lumma Stealer y Zanubis Banker son ejemplos destacados de cómo el crimeware está evolucionando y planteando desafíos significativos en el ámbito de la seguridad cibernética. Entender su funcionamiento y los métodos para contrarrestarlos es esencial para cualquier individuo u organización que busque protegerse en el cambiante panorama de amenazas digitales. La prevención efectiva y la respuesta rápida son claves para minimizar el impacto de estos sofisticados programas maliciosos.
En TecnetOne entendemos la importancia de mantener tu negocio seguro y a la vanguardia en la lucha contra el crimeware. Con nuestro avanzado SOC as a Service, ofrecemos una solución integral para monitorear, detectar y responder a las amenazas de seguridad en tiempo real.