Malware en OS X: Adwind RAT regresa como JBifrost

El grupo de delincuentes que se encuentra detrás de Adwind RAT, uno de los troyanos de acceso remoto desplegados con más actividad, incluso en OSX, ha rebautizado su proyecto con el objetivo de volver al mercado del software malicioso. El nombre elegido para esta vuelta es el de JBifrost. Este malware apareció en Enero de 2012 bajo el nombre de Frutas RAT, y al año siguiente se renombró como Adwind RAT. Como las campañas de malware y la actividad de éste eran expuestos, los delincuentes cambiaban el nombre del malware una y otra vez.

Adwind fue rebautizada como Unrecom en febrero de 2014, como AlienSpy en octubre de 2014 y como JSocket RAT en junio de 2015. JSocket desaparece y JBifrost aparece tres meses más tarde. Después del informe de Kaspersky publicado en febrero de 2016, la ultima encarnación de la RAT conocida como JSocket cerró poco después. Los investigadores de Fortinet han comentado que Adwind fue rebautizada con una nueva interfaz gráfica de usuario, y sólo un pequeño conjunto de nuevas características en comparación a JSocket.

Figura 1: JBifrost y los métodos de pago

El nuevo JBifrost es ahora una comunidad cerrada. La página web JBifrost no está disponible para nadie más, a diferencia de los casos anteriores en los que cualquiera podría comprar la RAT, los usuarios necesitan un código de invitación para registrarse en el sitio web de JBifrost y comprar la RAT. Los delincuentes están vendiendo JBifrost como una suscripción mensual de 45 dólares el primer mes y 40 dólares para una renovación de la suscripción. Otro gran cambio en el funcionamiento está en cómo los delincuentes recogen el dinero. Anteriormente, se aceptaba pagos a través de PerfectMoney, CoinPayments, Advcash, EntroMoney y Bitcoin. Ahora, solo se pueden llevar a cabo los pagos a través de Bitcoin, probablemente debido a que los otros métodos de pago no son anónimos y puede dar lugar a la aplicación de la ley.

Figura 2: Aspecto que tenía como Frutas RAT

Como se ha mencionado anteriormente, JBifrost viene con cambios mínimos en comparación con Adwind. Fortinet indicó que detectó solo cambios menores que incluyen una nueva columna que muestra el estado del teclado de una víctima infectada y una nueva columna que muestra el título de la ventana actual de la víctima. En el momento del análisis, la gente de Fortinet indicó que JBifrost había sido descargada desde el sitio web 1566 veces, y que ha sido detectado en las campañas de distribución de malware actuales

Encuentro Sinfonier sobre Ciberterrorismo: 19 Noviembre

El próximo Jueves 19 de Noviembre se realizará el tercer MeetUp de Sinfonier con una agenda cargada de charlas y casos de uso, en esta ocasión el tema central es el ciberterrorismo. Si queréis aprender más sobre esta tecnología y profundizar en esta temática pasaros a las 18.00 por la Flag-Ship de Telefónica en la Calle Gran Vía 28 de Madrid.

Cada día son más las noticias que aparecen en los medios de comunicación que tratan sobre terrorismo en la red. En el MeetUp se hablará sobre las diferencias entre el terrorismo que conocemos del ciberterrorismo, cómo se mitiga, y que significa realmente. Además, se responderán a las preguntas tras las intervenciones de 20 minutos. 

Contaremos con profesionales de primer nivel que se anunciarán en los próximos días. A día de hoy solo se puede adelantar que seremos acompañados por representantes del principal Think Tank de ciberserguridad de nuestro país.

Figura 1: Tercer MeetUp

Además, os animamos a participar en nuestra comunidad de Eleven Paths, dónde podéis interactuar con grandes profesionales del sector de la Seguridad de la Información, y también os animamos a participar en el Concurso Sinfonier Community 2015. Para participar en el concurso puedes utilizar cualquier idea e implementarla a través de módulos y topologías innovadoras con Sinfonier. Por último, y como siempre, al final del encuentro tendremos un rato para hacer networking.

XCodeGhost: Un malware que infecta las apps en XCode

Los creadores de malware han dado un paso más allá en la infección de las apps para iOS y OSX, infectando directamente los archivos del instalador de XCode que estaba alojado en los servidores de Baidu, en China. A este malware se le ha llamado XCodeGhost. El objetivo es bastante sencillo, conseguir que cuando una nueva aplicación sea creada para iOS o para OSX con uno de estos compiladores infectados, la app irá infectada desde su creación, subiendo después a la App Store o a la Mac App Store. Y no han sido pocas las apps afectadas ni los usuarios.

En total son 76 apps las que se han detectado infectadas con este malware, y entre ellas se encuentra alguna tan popular como WeChat Messenger, por lo que se estima que hay millones de usuarios afectados por este malware, y que podría haberse utilizado en muchas operaciones.

Figura 1: Código malicioso de XCodeGhost

Por supuesto, tal y como se ha explicado, al manipularse la app directamente desde su creación, no es necesario que el dispositivo que se va a infectar tenga realizado el jailbreak, ya que el creador de la app firmará el código malicioso y lo subirá firmado a AppStore. Una nueva vuelta de tuerca en el mundo del malware.

220.000 usuarios de iCloud robados de dispositivos con Jailbreak

Según se ha publicado, hay una base de datos con información y detalles de 220.000 cuentas de Apple iCloud de terminales iPhone & iPad que tienen realizado el jailbreak. Según parece, estos datos pueden haber sido robados por tweaks maliciosos que vendrían con backdoors. Las especulaciones apuntan a servidores con copias piratas de tweaks populares de pago que pudieran haber sido infectadas para robar los datos de las víctimas, por lo que si es uno de tus casos, deberías revisar cuanto antes los tweaks de tu terminal y cambiar toda la información de seguridad de tu cuenta Apple iCloud.

La base de datos se encuentra a la venta en un servidor en China, y las intenciones al comprar esta base de datos pueden ser muchas, desde crear una botnet, hasta robar los datos almacenados en los backups de iCloud y poder hacer dinero con la información allí encontrada.

Figura 1: Detalles del dump que está a la venta con los datos de Apple iCloud

No olvidemos que información sensible, como fotografías, conversaciones o documentos, pueden ser utilizadas como método de extorsión a las víctimas, como hemos vista recientemente en el caso de Ashley Madison, así que si pudiera ser tu caso, toma precauciones cuanto antes.

Condenas en el cibercrimen: Los delitos no salen baratos

El cibercrimen sigue en aumento con el crecimiento de las nuevas tecnologías y en pocos años nos hemos ido encontrando con un gran número de ejemplos. Además, la justicia se pone al día y vamos viendo como van cayendo condenas a los autores de los delitos, desde creadores de malware, exploits, botnets, ejecutores de campañas o creadores de servicios para el cibercrimen. Condenas que van desde pocos años hasta... la cadena perpetua.

Quizá la condena más histórica y mediática es la de la condena perpetua al creador de Silk Road. Ross Ulbricht se enfrentaba a una pena de 20 años mínimo, pero al final ha obtenido la peor condena posible en este tipo de casos, la cadena perpetua. Se cree que Ross consiguió alrededor de 100 millones de dólares con su política de quedarse con el 15% de la venta a modo de comisión. Se cree que consiguió juntar 174.000 bitcoins.  Silk Road marcó un hito en el cibercrimen y en cómo hacer mercados ilegales en la Deep Web. Esta es una de las razones que también pesaron en la condena, ya que según la jueza del caso Ross ha motivado a otros a realizar este tipo de acciones delictivas. Por ejemplo, el caso de The Real Deal, el cual es un supermercado para el cibercrimen en la Deep Web. En este tipo de tienda se vende de todo, desde exploits, tutoriales, cuentas y bases de datos robadas hasta una botnet de miles de máquinas.

Figura 1: Silk Road cae

Otra de las condenas más impactantes de los últimos años fue la de los 2 jóvenes rusos que llevaron a cabo la estafa de Oleg Pliss. En esta estafa se secuestraban dispositivos iOS y se pedía un rescate por ellos entre 50 y 100 dólares. Los usuarios más afectados se encontraban en las zonas de Rusia, Australia y Nueva Zelanda. Estos dos jóvenes fueron condenados a 4 años de cárcel.

Figura 2: Oleg Pliss Ransomware

Otra de las condenas impactantes es la del grupo de personas sospechosas de robar decenas de millones de dólares de cuentas bancarias privadas y corporativas. El grupo de personas también ruso, utilizar un malware que introducían en los equipos de las víctimas y hackeaban las cuentas bancarias. Una vez se obtenía esta información se hacían transferencias de dinero a cuentas ficticias. La condena ha sido de 10 años de cárcel. Se puede ver como las condenas por cibercrimen se están endureciendo, por lo que los usuarios que quieran delinquir tendrán que pensarse mucho lo que hacen, ya que pueden acabar con una condena muy voluminosa como en los casos que hemos repasado. En muchas ocasiones ganar dinero fácil es un gancho difícil de rechazar para muchos usuarios, pero ¿Merece la pena el riesgo?