elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía rápida para descarga de herramientas gratuitas de seguridad y desinfección


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Magnime ransomware mejora, se expande dentro de Asia
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Magnime ransomware mejora, se expande dentro de Asia  (Leído 2,168 veces)
r32
Ex-Staff
*
Desconectado Desconectado

Mensajes: 1.299



Ver Perfil WWW
Magnime ransomware mejora, se expande dentro de Asia
« en: 18 Julio 2018, 01:01 am »

El kit Magnitude exploit es uno de los kits de herramientas de navegación más antiguos entre los que aún se usan. Después de su inicio en 2013, disfrutó de la distribución mundial con un gusto por el ransomware. Finalmente, se convirtió en una operación privada que tenía un enfoque geográfico estrecho.

Durante 2017, Magnitude entregó el ransomware Cerber a través de una puerta filtrante conocida como Magnigate, solo a unos pocos países asiáticos seleccionados. En octubre de 2017, el operador del kit de explotación comenzó a distribuir su propia raza de ransomware, Magniber. Ese cambio llegó con un giro interesante: los autores del malware hicieron todo lo posible para limitar las infecciones a Corea del Sur. Además del filtrado del tráfico a través de cadenas de publicidad maliciosa específicas del país, Magniber solo se instalaría si se devolviera un código de país específico, de lo contrario se eliminaría a sí mismo.

En abril de 2018, Magnitude comenzó inesperadamente a empujar el creciente ransomware de GandCrab, poco después de haber adoptado un nuevo flash día cero (CVE-2018-4878). Lo que pudo haber sido una campaña de prueba no duró mucho, y poco después, Magniber estaba de vuelta otra vez. En nuestras recientes capturas de Magnitude, ahora vemos el último exploit de Internet Explorer (CVE-2018-8174) que se usa principalmente, que se integró después de una interrupción de tráfico de una semana.

En esta publicación, echamos un vistazo a algunos cambios notables con Magniber. Su código fuente ahora es más refinado, aprovechando varias técnicas de ofuscación y ya no depende de un servidor de Comando y Control o clave codificada para su rutina de cifrado. Además, aunque anteriormente Magniber solo se enfocaba en Corea del Sur, ahora ha expandido su alcance a otros países de Asia Pacífico.

Extrayendo la carga útil

loader DLL: https://www.virustotal.com/#/file/6e57159209611f2531104449f4bb86a7621fb9fbc2e90add2ecdfbe293aa9dfc/details

Magniber’s core DLL: https://www.virustotal.com/#/file/fb6c80ae783c1881487f2376f5cace7532c5eadfc170b39e06e17492652581c2/details

Hay varias etapas antes de descargar y ejecutar la carga final. Después de la redirección 302 de Magnigate (Paso 1), vemos un javascript ofuscado Base64 (Paso 2) utilizado para iniciar la página de aterrizaje de Magnitude, junto con un VBScript codificado en Base64. (Ambas versiones originales de los scripts están disponibles al final de esta publicación en los IOC.) Después de la explotación de CVE-2018-8174, se recupera el Magniber cifrado con XOR.







Funcionalmente, este shellcode es un descargador simple. Descarga la carga ofuscada, la decodifica mediante XOR con una clave y luego la despliega:



La carga útil descargada (72fce87a976667a8c09ed844564adc75) no es, sin embargo, el núcleo de Magniber, sino un cargador de etapa siguiente. Este cargador descomprime el DLL principal de Magniber (19599cad1bbca18ac6473e64710443b7) y lo inyecta en un proceso.

Ambos elementos, el cargador y el núcleo de Magniber, son archivos DLL con el resguardo del Cargador Reflectivo, que se cargan en un proceso actual utilizando la técnica de inyección Reflective DLL.

Análisis del comportamiento
Las acciones realizadas por Magniber no han cambiado mucho; cifra los archivos y al final arroja una nota de rescate llamada README.txt.



Los enlaces proporcionados conducen a una página .onion que es única por víctima y similar a muchas otras páginas de ransomware:



Más información: https://blog.malwarebytes.com/threat-analysis/2018/07/magniber-ransomware-improves-expands-within-asia/

Saludos.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
tabla se expande
Desarrollo Web
kakashi20 2 3,072 Último mensaje 6 Octubre 2011, 11:22 am
por madpitbull_99
Avalancha de móviles 'premium' en Asia: Meizu presenta su MX2
Noticias
wolfbcn 0 1,605 Último mensaje 15 Noviembre 2012, 02:04 am
por wolfbcn
Reclamador.es se expande: reclamaciones a la banca
Noticias
wolfbcn 0 1,252 Último mensaje 27 Mayo 2014, 13:46 pm
por wolfbcn
El deseo de ser anónimo se expande por internet
Noticias
wolfbcn 0 1,433 Último mensaje 11 Septiembre 2014, 12:43 pm
por wolfbcn
Telegram mejora su seguridad y mejora el control de datos móviles
Noticias
wolfbcn 0 2,891 Último mensaje 9 Diciembre 2017, 01:50 am
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines