El ataque Nitrokod hace todo lo posible para evitar la detección y puede permanecer activo durante años.
Los investigadores han descubierto una nueva campaña de entrega de malware en varias etapas que se basa en instaladores de aplicaciones legítimos distribuidos a través de sitios de descarga de software populares. La entrega de la carga útil maliciosa, que incluye un programa de minería de criptomonedas, se realiza en etapas con largas demoras que pueden llegar al mes.
“Después de la instalación inicial del software, los atacantes retrasaron el proceso de infección durante semanas y eliminaron los rastros de la instalación original”, aseguraron analistas de Check Point en su informe. “Esto permitió que la campaña operara con éxito durante años”.
La campaña comienza en 2019
Según el equipo de investigación, el desarrollador de software de habla turca llamado Nitrokod está detrás del ataque, que se ha estado ejecutando al menos desde 2019. Su página web afirma que ha estado creando aplicaciones gratuitas que incluyen conversores y reproductores de vídeo y música con una base instalada de unos 500.000 usuarios.
Algunos de los programas con troyanos de Nitrokod se pueden encontrar en sitios de descarga como Softpedia y Uptodown. La aplicación que Check Point analizó se llama Google Translate Desktop que permite utilizar el servicio de traducción del buscador, que normalmente solo está disponible como servicio web a través del navegador.
De hecho, esta aplicación si está construida utilizando el proyecto Chromium Embedded Framework (CEF) de código abierto que permite a los desarrolladores implementar el navegador Chrome en sus aplicaciones para mostrar contenido web. Esto permitió a Nitrokod crear aplicaciones funcionales sin demasiado esfuerzo. Además de esta aplicación, el desarrollador también distribuye softwares similares como Yandex Translate Desktop, Microsoft Translator Desktop, YouTube Music Desktop y MP3 Download Manager, entre otros, y ‘troyanizadas’ en 11 países.
Despliegue de malware con retraso para evitar la detección
Una vez que el usuario descarga e instala la aplicación, la implementación de cargas maliciosas no ocurre de inmediato, lo cual es una estrategia para evitar la detección. Hasta el punto final, la instalación no es muy usual en cuanto a cómo se comportaría una aplicación legítima: recopilando algunos datos del sistema con fines estadísticos e implementando lo que parece un componente de actualización automática. Sin embargo, después de aproximadamente cuatro reinicios del sistema en cuatro días diferentes, update.exe descarga e implementa otro componente llamado chainlink1.07.exe. Este mecanismo de retrasar la implementación y requerir múltiples reinicios es probablemente un intento de derrotar a los sistemas de análisis de espacio aislado, que no prueban el comportamiento de la aplicación en múltiples reinicios.
El stager chainlink1.07.exe crea cuatro tareas programadas diferentes que se ejecutarán con diferentes retrasos. Uno de ellos, que se ejecuta cada tres días, utiliza PowerShell para eliminar los registros del sistema. Otro está configurado para ejecutarse cada 15 días y descarga otro archivo RAR de un dominio diferente que usa el nombre intencionalmente engañoso intelserviceupdate. Una tercera tarea programada se ejecuta cada dos días y está configurada para descomprimir el archivo RAR, si existe, mientras que la cuarta tarea se ejecuta todos los días y está configurada para ejecutar otro componente del archivo.
Aunque están configurados para ejecutarse con mayor frecuencia, la tercera y cuarta tarea no hacen nada hasta que se ejecuta la tarea retrasada de 15 días que descarga el archivo RAR, ya que de lo contrario no hay archivo para extraer ni ejecutable para ejecutar.
“En este punto, todos los archivos relacionados y la evidencia se eliminan y la siguiente etapa de la cadena de infección continuará después de 15 días por la utilidad de Windows schtasks.exe”, dijeron los investigadores. “De esta manera, las primeras etapas de la campaña se separan de las siguientes, lo que dificulta mucho rastrear la fuente de la cadena de infección y bloquear las aplicaciones infectadas iniciales”.El nuevo componente malicioso es un cuentagotas intermediario que prepara aún más el sistema para las etapas finales. En primer lugar, comprueba los procesos en ejecución en busca de aplicaciones de máquinas virtuales y productos de seguridad conocidos y, si encuentra alguno, detiene la ejecución. Si se pasa esta verificación, agrega una nueva regla de firewall para los siguientes componentes, así como exclusiones para ellos en Windows Defender.
Finalmente, el cuentagotas implementa otro componente llamado nniawsoykfo1.8.exe, que luego implementa otros dos archivos ejecutables llamados nniawsoykfo.exe y powermanager.exe. Este último es una copia del programa de minería de criptomonedas XMRig de código abierto, mientras que el primero es un componente que controla al minero y se conecta a un dominio con nvidiacenter en su nombre donde se aloja el servidor común y de control de los atacantes.
El programa envía información sobre el sistema, como el tiempo de inactividad, la cantidad de núcleos de la CPU, si se trata de una computadora de escritorio o una computadora portátil, los programas antivirus instalados, la versión del Powermanager.exe implementado (XMRig) y más.
Las fuertes políticas de uso de aplicaciones, principal defensa contra las aplicaciones con virus
Si bien las aplicaciones falsas o con troyano no son un nuevo vector de ataque, las campañas sigilosas como esta, que logran pasar desapercibidas durante años, resaltan por qué es de vital importancia para las organizaciones tener políticas sólidas de uso de aplicaciones y hacerlas cumplir para los empleados. Las soluciones de listas blancas de aplicaciones también se pueden usar en sistemas confidenciales para restringir qué aplicaciones y desde dónde pueden ser descargadas e instaladas.
-Lucian Constantin, cio.com
