Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

jueves, 30 de mayo de 2013

Jumcar. Desde Perú y con foco en América Latina [Parte 1/3]


Jumcar es una familia de códigos maliciosos desarrollado en América Latina que he estado investigando en los últimos meses. El siguiente texto es la primera parte de esa investigación.

Jumcar” es el nombre que hemos asignado a una familia de códigos maliciosos desarrollados en América Latina, específicamente en Perú, que está desplegando sus maniobras de ataque, según nuestra investigación, desde Marzo de 2012.

Luego de cinco meses de análisis podemos detallar ciertas características puntuales de Jumcar que iremos comunicando conforme avancen los días, pero fundamentalmente su principal objetivo se resume en el robo de información financiera de usuarios latinoamericanos que hacen uso de los servicios de home-banking de importantes entidades bancarias.  De las cuales, el 89% se canalizan en Perú a través de seis estrategias de Phishing basadas en la clonación fraudulenta de los sitios web bancarios.

Algunas variantes de la familia Jumcar también incorporan en la logística de la estrategia dos entidades bancarias de Chile y una de Costa Rica.

Relación porcentual de los ataques de Phishing por países, generado por Jumcar

Sabemos que en América Latina la cultura ciber-delictiva se expande con mucha fuerza. Ejemplo de ello son algunas de las redes de bots gestionadas a través de crimeware desarrollado en la región, que además cuentan con la posibilidad de generar malware personalizado. Tales son los casos de las botnets que hemos descubierto a lo largo de los últimos dos años y alertado al respecto oportunamente como vOlk-Botnet, Chimba-Botnet, UELP, AlbaBotnet y PiceBOT.

Sin embargo, esta familia de malware posee características y componentes completamente diferentes y muy particulares en comparación con las anteriormente mencionadas. Solo comparten el mismo objetivo: robar información financiera y, en similitud, la estrategia de propagación inicial: correo electrónico asociado con un fuerte componente de Ingeniería Social visual basado en falsos mensajes.

Desde una perspectiva más técnica, absolutamente todas las variantes de ésta familia de malware están desarrolladas en .NET, mientras que el patrón habitual en torno al malware desarrollado en América Latina (excluyendo Brasil) es el desarrollo de proyectos maliciosos en VisualBasic.

En el mismo orden y contrariamente a los patrones comunes del malware latinoamericano que ofuscan parte del código a través de simples conversiones en hexadecimal, todas las variantes de Jumcar utilizan algoritmos criptográficos simétricos y asimétricos para ocultar las funcionalidades especificadas en el código fuente, a través de las siguientes clases de .NET: 

Las siguientes imágenes muestran la diferencia en torno a las maniobras de ofuscación destacadas en el malware controlado a través de las más populares botnets de la región contra la utilizada por Jumcar:

Cifrado en Hexadecimal de los parámetros de configuración del malware propagado a través de S.A.P.Z., vOlk-Botnet, PiceBOT y AlbaBotnet

Cifrado RSA de los parámetros de configuración de la familia de códigos maliciosos “Jumcar”

Los patrones que diferencian a ésta familia de malware desarrollada en Perú son:

  •          Las campañas de propagación/infección siempre son por correo electrónico.
  •          La estrategia de ingeniería social se basa en la imagen de Facebook tanto en el mensaje del correo como en el nombre del archivo que se descarga (Mensaje-facebook.exe). También en correos supuestamente emitidos por entidades bancarias del Perú.
  •          El tamaño de las variantes no supera los 44kB.
  •          La iconografía también se refiere a Facebook en el 80% de los casos, el otro 20% implica íconos que hacen alusión a la compañía de telefonía móvil Claro y otro porcentaje al ícono nativo de los lenguajes de programación .NET y VB. Es decir, 8 de cada 10 muestras emplea como ícono la imagen de Facebook.

Íconos utilizados en las diferentes variantes de Jumcar

  •          Una vez infectado el sistema, el malware se auto-renombra empleando nombres relacionados a Microsoft  Windows (Windows Defender.exe).
  •          Los parámetros dinámicos del malware son cifrados con algoritmos AES, TripleDES y RSA.
  •          Las primeras variantes generan clave en el registro para automatizar el arranque, las más recientes no, solo se limitan a un “ataque fantasma” a través de Pharming.
  •          El lenguaje de programación empleado para crear Jumcar es .NET sin empaquetamiento.
  •          Crea una carpeta y archivo específico en MS Excel y MS Word.
  •          Todos los sitios web utilizados para las campañas están en peligro por alguna vulnerabilidad. En ellos se aloja el archivo con los datos del pharming, un MassMailer y una puerta trasera (Backdoor).
  •         El blanco de ataque principal se focaliza en usuarios de entidades bancarias de Perú (seis en total). Sin embargo, desde el mes de Marzo de 2013 el atacante agregó una entidad bancaria de Costa Rica y dos de Chile.

Las campañas de propagación son compatibles con las clásicas estrategias de Ingeniería Social visual que se basan en el envío de correos electrónicos fraudulentos, instancia en la cual se dispara hacia dos vetas de ataque:


  1. Un mensaje supuestamente emitido por Facebook con el asunto “Mensaje de Facebook”, acompañado con imágenes del logo de la red social, que direccionan el tráfico hacia un archivo llamado “Mensaje_Facebook_Privado.php” (o similar), que posee las instrucciones necesarias para la descarga de una variante de Jumcar.
  2. Un mensaje supuestamente emitido por una importante entidad bancaria de Perú que direcciona el tráfico del usuario hacia la clonación del sitio web de la entidad bancaria en cuestión. Esto es el clásico ataque de phishing.

Mensaje malicioso emitido por correo electrónico. Es una de las estrategias de propagación de Jumcar

Todas las variantes de Jumcar son alojados en sitios web previamente vulnerados (es decir, el atacante no registra nombres de dominio como parte de la estrategia de propagación).

En ellos también se implantan los PhishingPack  utilizados para robar la información de los usuarios desprevenidos, un archivo en texto plano que aloja la configuración para el archivo hosts de los equipos víctimas, el MassMailer a través del cual se masifica el envío de los correos engañosos y un backdoor que le permite al atacante acceder y alojar las nuevas variantes del malware.

El impacto que Jumcar ha tenido en los últimos meses es alto y específico. En el siguiente gráfico se percibe claramente, en color rojo, que los mayores niveles de infección se encuentran focalizados con mayor éxito de penetración en Perú y Chile:

Perú y Chile son los países con la mayor tasa de infección a través de Jumcar**

Hemos analizado alrededor de 50 muestras pertenecientes a la familia de malware Jumcar que nos permitieron recolectar un importante volumen de datos de interés que iremos compartiendo en los próximos días.

Las diferentes variantes son detectadas por Kaspersky Lab como “Trojan.MSIL.Jumcar” y “Trojan.Win32.Jumcar”.


** Fuente: Kaspersky Security Network - Kaspersky Lab

Originalmente publicado en Español e Inglés en:

Ver más