FireEye explica el proceso de detección y bloqueo de BADRABBIT

0
91

Desde mayo, cuando fue divulgada la campaña que diseminó el ransomware WannaCry, las organizaciones de todo el mundo están en alerta. En este periodo el último registro que se ganó los reflectores fue el Eternal Petya en junio, el cual afectó a numerosas organizaciones ucranianas, incluyendo empresas, aeropuertos y departamentos gubernamentales, así como interrumpió las actividades de empresas multinacionales con operaciones en el país. El pasado martes, Ucrania volvió a ser uno de los blancos de los ciber atacantes que buscan organizaciones de infraestructura de los países localizados en Europa del este.

Existe la posibilidad de que estos ataques sean patrocinados por un grupo con intereses regionales específicos o que tiene motivaciones más allá de las ganancias financieras, de acuerdo a lo que muestra el material divulgado por FireEye, empresa de seguridad guiada por inteligencia. Esto es posible por el patrón de implementación utilizado durante el ataque, o BACKSWING. Este posee dos versiones las cuales tuvieron un aumento significativo desde mayo, viendo el compromiso de sitios ucranianos. Dado que muchos dominios de sitios todavía están comprometidos con esta estructura, los investigadores de FireEye alertan por el riesgo de ser usados en futuros ataques.

Paso a paso del BADRABBIT
Aparece disfrazado como una actualización de Flash y, a partir dela descarga drive-by, autorizada por el propio usuario sin comprender las consecuencias, el invasor hospeda un código malicioso en el sitio de la víctima. En el caso de BADRABBIT, la mayor parte de estos sitios eran de viajes y medios, con la finalidad de trazar el perfil de los visitantes a entregar – o no – el payload (carga útil del malware). Se identificaron 51 sitios con el BACKSWING y cuatro autorizados a soltar el BADRABBIT. Esta estructura presenta dos versiones con la misma funcionalidad y que difieren apenas en el estilo de su código.

Los investigadores de FireEye iSIGHT Intelligence consideran el BACKSWING como un recipiente genérico que selecciona la sesión de navegación actual del usuario y envía la información al receptor. Si está conectado, el servidor analiza y reenvía dos opciones “InjectionType” (para la totalidad) o “InjectionString” (para contenido HTML).

La primera, el “InjectionType” actúa en dos frentes: redirecciona el navegador al URL o compila el HTML para el DOM (Modelo de Documento Objeto). Esta fue observada por FireEye al final de 2016 en sitios de turismo de la República Checa y de turismo turco, además de un sitio de gobierno de Montenegro. A partir de mayo de 2017 surgió una serie de sitios ucranianos comprometidos con esta versión de BACKSWING y, en junio, el contenido malicioso comenzó a ser disparado por los receptores. La segunda, “InjectionString”, procesa la respuesta de DOM, el primer registro de esta versión se hizo el 5 de octubre por FireEye. Este fue inyectando recursos legítimos de JavaScript en los sitios afectados.