Virus nieuws

Er zijn natuurlijk veel redenen dat je een virus of malware op je computer aan kunt treffen. Maar het grootste risico ben jezelf. Emails van bekende met een attachement, links naar onbekende websites; erger nog, een email van je bank. Allemaal risico volle emails die je gewoon niet moet openen. Onderstaand een lijst meet de top 10 van belangrijkste bedreigingen.

De beste bescherming?

Online backup van je gegevens, Crypto locker infecteerd ook je eigen backup. Bel nu voor de beste bescherming, of kijk hier voor onze tijdelijke aanbieding

Bel nu Onze landelijke website

Is het al te laat?

Neem snel contact op en we kunnen alles op afstand verwijderen, maken we gelijk je computer wat sneller. Bel 0623626623

De laatste virus meldingen overgenomen van

Trojan.Aybord (12)
Aybord is een trojan virus dat na installatie probeert om schadelijke bestanden te install ... Android.Lastacloud (0)
Lastacloud is een trojan virus dat zich richt op tablets en smartphones werkend op OS Andr ... Android.Fitikser (0)
Android.Fitikser is een zgh. trojaans paard dat zich richt op smartphone en tablets draaie ... Trojan.Beginto (8)
Beginto is een trojaans paard dat na installatie een backdoor installeert op het getroffen ... W32.Wabot Wabot is een internetworm die zich verspreidt via het IRC- chatprogramma. Het probeert om ... Trojan.Sakurel (16)
Sakurel is een zogeheten trojan. Na infectie installeert het een backdoor waarmee de virus ...

Voorbeeld van de werking van een virus of malware
The Tetrade: Brazilian banking malware goes global
Author: GReAT
Link :
Email :
Description: This article is a deep dive intended for a complete understanding of these four banking trojan families: Guildma, Javali, Melcoz and Grandoreiro, as they expand abroad, targeting users not just in Brazil, but in the wider Latin America and Europe.
Full content:


Brazil is a well-known country with plenty of banking trojans developed by local crooks. The Brazilian criminal underground is home to some of the world’s busiest and most creative perpetrators of cybercrime. Like their counterparts’ in China and Russia, their cyberattacks have a strong local flavor, and for a long time, they limited their attacks to the customers of local banks. But the time has come when they aggressively expand their attacks and operations abroad, targeting other countries and banks. The Tetrade is our designation for four large banking trojan families created, developed and spread by Brazilian crooks, but now on a global level.

Although this is not their first attempt – they tried, timidly, in 2011, using very basic trojans, with a low success rate – now the situation is completely different. Brazilian banking trojans have evolved greatly, with hackers adopting techniques for bypassing detection, creating highly modular and obfuscated malware, and using a very complex execution flow, which makes analysis a painful, tricky process.

At least since the year 2000, Brazilian banks have operated in a very hostile online environment full of fraud. Despite their early adoption of technologies aimed at protecting the customer, and deployment of plugins, tokens, e-tokens, two-factor authentication, CHIP and PIN credit cards, and other ways to safeguard their millions of clients, fraud is still ramping up, as the country still lacks proper legislation for punishing cybercriminals.

This article is a deep dive intended for a complete understanding of these four banking trojan families: Guildma, Javali, Melcoz and Grandoreiro, as they expand abroad, targeting users not just in Brazil, but in the wider Latin America and Europe.

These crooks are prepared to take on the world. Are the financial system and security analysts ready to deal with this persistent avalanche?

Guildma: full of tricks

Also known as Astaroth
First seen 2015
Tricks LOLBin and NTFS Alternate Data Streams (ADS), process hollowing, payloads hosted within YouTube and Facebook posts
Ready to steal data from victims living in… Chile, Uruguay, Peru, Ecuador, Colombia, China, Europe. Confirmed victims in Brazil

The Guildma malware has been active since at least 2015, when it was targeting banking users exclusively from Brazil. From there on, it has been constantly updated, adding new targets, new features and stealthiness to its campaigns, and directing its attacks at other countries in Latin America. The group behind the attacks have shown a good knowledge of legitimate tools for performing a complex execution flow, pretending to hide themselves inside the host system and preventing automated analysis systems from tracking their activities.

Recently, a newer version was found in-the-wild, abusing NTFS Alternate Data Streams (ADS) in order to store the content of malicious payloads downloaded during execution. The malware is highly modular, with a very complex execution flow. The main vector used by the group is sending malicious files in compressed format, attached to email. File types vary from VBS to LNK; the most recent campaign started to attach an HTML file which executes Javascript for downloading a malicious file.

The malware relies on anti-debugging, anti-virtualization and anti-emulation tricks, besides the usage of process hollowing, living-off-the-land binaries (LOLBin) and NTFS Alternate Data Streams to store downloaded payloads that come from cloud hosting services such as CloudFlare’s Workers, Amazon AWS and also popular websites like YouTube and Facebook, where they store C2 information.

From LNK to a full banking backdoor

Guildma spreads rely heavily on email shots containing a malicious file in compressed format, attached to the email body. File types vary from Visual Basic Script to LNK. Most of the phishing messages emulate business requests, packages sent over courier services or any other regular corporate subjects, including the COVID-19 pandemic, but always with a corporate appearance.

Purchase invoice for alcohol gel: Guildma’s trick for luring victims

We observed that in the beginning of November 2019, another layer was added to the infection chain. Instead of attaching a compacted file directly to the email body, the attackers were attaching an HTML file which executed a Javascript for downloading the file.

Javascript executed in order to download a compressed LNK file

In order to download the additional modules, the malware uses the BITSAdmin tool, which this group has relied on for some years to avoid detection, since this is a whitelisted tool from the Windows operating system. By the end of September 2019, we started seeing a new version of Guildma malware being distributed that used a new technique for storing downloaded payloads in NTFS Alternate Data Streams in order to conceal their presence in the system.

c:\windows\system32\cmd.exe /c type “c:\users\public\Libraries\radm\koddsuffyi.gif” > “c:\users\public\Libraries\radm\desktop.ini:koddsuffyi.gif” && erase “c:\users\public\Libraries\radm\koddsuffyi.gif”

Downloaded payload being stored in desktop.ini’s ADS

The usage of ADS helps to hide the file in the system, since it will not appear in Explorer, etc. In order to see the alternate data, you can use the “DIR” command, adding the switch “/R”, which is specifically intended for to displaying alternate data streams.

Payloads stored in the ADS data of desktop.ini

After the additional modules are hidden, the malware will launch itself by using DLL Search Order Hijacking. We have observed various processes being used by Guildma at this step; in this version of the malware, it uses ExtExport.exe, which is related to Internet Explorer. The library that will be loaded is the result of concatenating two files (<random>64a.dll and <random>64b.dll), downloaded previously, as we can see in the image above. The resultant file will be named with different known libraries that are loaded by ExtExport on its execution. Once loaded, it will concatenate three other files and also load them.

Some of the anti-debugging/anti-emulation techniques used by the loader

This stage checks for debugging tools, virtual environments, known Windows product IDs commonly used by sandboxes, common usernames and certain disk serial numbers that are most likely associated with analyst environments detected earlier. If nothing like that is detected, the malware will decrypt the third stage and execute it by using the process hollowing technique, commonly used by malware authors. In this version, the payloads are encrypted with the same XOR-based algorithm as the one used in previous versions, however in this latest version, the payload is encrypted twice, with different keys.

File content is encrypted twice using different keys

In order to execute the additional modules, the malware uses the process hollowing technique for hiding the malicious payload inside a whitelisted process, such as svchost.exe. The payloads are stored encrypted in the filesystem and decrypted in the memory as they are executed.

The final payload installed in the system will monitor user activities, such as opened websites and run applications and check if they are on the target list. When a target is detected, the module is executed, giving the criminals control over banking transactions.

This module allows the criminals to perform certain very specific banking operations, such as:

  • full control over page navigation through the use of a VNC-like system,
  • toggling screen overlay,
  • requesting SMS tokens,
  • QR code validation,
  • requesting transaction

The attacker can essentially perform any financial transactions by using the victim’s computer, while avoiding anti-fraud systems that can detect banking transactions initiated by suspicious machines.

Youtube and Facebook for C2s

After all loading steps, the malware will run in the infected system. It will monitor the system, communicating with the C2 server and loading additional modules as requested. In the latest versions, it started to store C2 information in encrypted format on YouTube and Facebook pages.

C2 information hosted on a YouTube page

The newer versions of Guildma found in 2020 are using an automated process to generate thousands of daily URLs, mostly abusing generic TLDs. Our systems have been catching more than 200 different URLs per day, such as:

Some of Guildma’s URLs for downloading malware

Our telemetry shows detections of Guildma are widespread.

Guildma: widespread globally

The intended targets of Guildma can be seen in the code: the malware is capable of stealing data from bank customers living in Chile, Uruguay, Peru, Ecuador, Colombia, China, Europe, and of course, Brazil. However, the code has been found in just one version of Guildma and has not been implemented in any of the newer versions.

From Guildma’s code: possible target countries

Javali: big and furious

First seen 2017
Tricks Big files for avoiding detection, DLL sideloading, configuration settings hosted in Google Docs
Confirmed victims in Brazil and Mexico

Javali targets Portuguese- and Spanish-speaking countries, active since November 2017 and primarily focusing on the customers of financial institutions located in Brazil and Mexico. Javali uses multistage malware and distributes its initial payload via phishing emails, as an attachment or link to a website. These emails include an MSI (Microsoft Installer) file with an embedded Visual Basic Script that downloads the final malicious payload from a remote C2; it also uses DLL sideloading and several layers of obfuscation to hide its malicious activities from analysts and security solutions.

The initial Microsoft Installer downloader contains an embedded custom action that triggers a Visual Basic Script. The script connects to a remote server and retrieves the second stage of the malware.

Using MSI’s ‘CustomAction’ events to trigger the execution of the downloader VBS

The downloaded ZIP file package contains several files and a malicious payload that is capable of stealing financial information from the victim. A decompressed package commonly contains a large number of files including executables that are legit but vulnerable to DLL sideloading.

 The contents of a typical Javali .ZIP package, including a 602 MB DLL file

The legitimate DLL that would be used in this case has the size of roughly 600 KB, but here we have an obfuscated library that is over 600 MB. The large size of the file is intended to hamper analysis and detection. In addition to that, file size limitations will prevent uploading to multiscanners like VirusTotal, etc. Once all empty sections have been removed from the library, the final payload is a binary of 27.5 MB…

After deobfuscating it all, we are able to see the URLs and the names of banks targeted by the malware.

Javali after deobfuscation: looking for Mexican bank customers

GDocs for malware

Once the library is called by one of the triggering events implemented in its code, it reads a configuration file from a shared Google Document. If it is not able to connect to the address, it uses a hardcoded one.

Configuration settings stored in a shared Google Document

The original configuration.





The host information is obfuscated for obvious reasons. Javali adopts a third-party library named IndyProject for communication with the C2. In the most recent campaigns, its operators started using YouTube as well for hosting C2 information, exactly as Guildma does.

Upon in-depth analysis of the library code, we can see a list of targets in some of the samples. Depending on the sample analyzed, cryptocurrency websites, such as Bittrex, or payment solutions, such as Mercado Pago, a very popular retailer in Latin America, are also targeted. To capture login credentials from all the previously listed websites, Javali monitors processes to find open browsers or custom banking applications. The most common web browsers thus monitored are Mozilla Firefox, Google Chrome, Internet Explorer and Microsoft Edge.

The victim distribution is mainly concentrated in Brazil, although recent phishing email demonstrates a marked interest in Mexico.

Javali: focus on Brazil and Mexico

Javali is using whitelisted and signed binaries, Microsoft Installer files and DLL hijacking to infect victims en masse, all while targeting their efforts by country. This is achieved by controlling the means of distribution and sending phishing email only to those TLDs that the group is interested in. We can expect expansion mainly across Latin America.

Melcoz, a worldwide operator

First seen 2018 (worldwide) but active in Brazil for years
Tricks DLL hijacking, AutoIt loaders, Bitcoin wallet stealing module
Confirmed victims in Brazil, Chile, Mexico, Spain, Portugal

Melcoz is a banking trojan family developed by a group that has been active in Brazil for years, but at least since 2018, has expanded overseas. Their Eastern European partners heavily inspired the recent attacks. The new operations are professionally executed, scalable and persistent, creating various versions of the malware, with significant infrastructure improvements that enable cybercriminal groups in different countries to collaborate.

We found that the group has attacked assets in Chile since 2018 and more recently, in Mexico. Still, it is highly probable there are victims in other countries, as some of the targeted banks operate internationally. However, the attacks seem to be focused more on Latin American victims these days. As these groups speak different languages (Portuguese and Spanish), we believe that Brazilian cybercriminals are working with local groups of coders and mules to withdraw stolen money, managed by different operators, selling access to its infrastructure and malware constructors. Each campaign runs on its unique ID, which varies between versions and CnCs used.

Generally, the malware uses AutoIt or VBS scripts added into MSI files, which run malicious DLLs using the DLL-Hijack technique, aiming to bypass security solutions. The malware steals passwords from browsers and the memory, providing remote access for capturing online banking access. It also includes a module for stealing Bitcoin wallets. It replaces the original wallet information with the cybercriminals’ own.

Yet Another Son of Remote Access PC

Melcoz is another customization of the well-known open-source RAT Remote Access PC, which is available on GitHub, as well as many other versions developed by Brazilian criminals. It first started targeting users in Brazil, but since at least 2018, the group has shown interest in other countries, such as Chile and Mexico. The infection vector used in this attack is phishing email that contains a link to a downloadable MSI installer, as shown below.

Phishing email written in Spanish

Almost all of the analyzed MSI samples used some version of Advanced Installer with a VBS script appended to the CustomAction section, which makes the script run during the installation process. The script itself works as a downloader for additional files needed for loading the malware into the system, which are hosted separately as a ZIP package. We confirmed two different techniques used for distributing the Melcoz backdoor: the AutoIt loader script and DLL Hijack.

The official AutoIt3 interpreter comes as part of the AutoIt installation package, and it is used by the malware to execute the compiled script. The VBS script runs the AutoIt interpreter, passing the compiled script as an argument. Once executed, it loads the library, which was also passed as an argument to call a hardcoded exported function.

AutoIt script acting as a loader for the malicious DLL

The other method used to execute the second stage in the victim’s system is DLL Hijacking. In this campaign, we have seen vmnat.exe, the legitimate VMware NAT service executable, abused for loading the malicious payload, although the group can use a number of legit executables in their attacks.

The malware has specific features that allow the attackers to perform operations related to online banking transactions, password stealing and clipboard monitoring. We also found various versions of the payload: the version focused on stealing data from victims in Brazil is typically unpacked, while the versions targeting banks in Chile and Mexico are packed with VMProtect or Themida. For us, this is another flag that the operators can change their tactics in accordance with their local needs.

After initialization, the code monitors browser activities, looking for online banking sessions. Once these are found, the malware enables the attacker to display an overlay window in front of the victim’s browser to manipulate the user’s session in the background. In this way, the fraudulent transaction is performed from the victim’s machine, making it harder to detect for anti-fraud solutions on the bank’s end. The criminal can also request specific information, asked during the bank transaction, such as a secondary password and token, bypassing two-factor authentication solutions adopted by the financial sector.

The code also has a timer that monitors content saved to the clipboard. Once a match is triggered, the malware checks if there is a Bitcoin wallet and then replaces it with the cybercriminal’s wallet.

The attackers rely on a compromised legitimate server, as well as commercial servers they purchased. The compromised servers mostly host samples for attacking victims, whereas the commercial hosting is for C2 server communications. As mentioned earlier, different operators run different campaigns. This explains the different network infrastructures seen so far.

According to our telemetry, Melcoz samples have been detected in other Latin American countries and in Europe, mainly in Spain and Portugal.

Melcoz detections worldwide: focus on Brazil, Chile, Spain and Portugal

El Gran Grandoreiro

First seen 2016
Tricks MaaS, DGA, C2 information stored on Google Sites
Confirmed victims in Brazil, Mexico, Portugal, Spain

Just like Melcoz and Javali, Grandoreiro started to expand its attacks in Latin American and later in Europe with great success, focusing its efforts on evading detection by using modular installers. Among the four families we described, Grandoreiro is the most widespread globally. The malware enables attackers to perform fraudulent banking transactions by using the victims’ computers for bypassing security measures used by banking institutions.

We have observed this campaign since at least 2016, with the attackers improving their techniques regularly, aiming to stay unmonitored and active longer. The malware uses a specific Domain Generation Algorithm (DGA) for hiding the C2 address used during the attack: this is one of the key points that has helped in the campaign’s clustering.

It is still not possible to link this malware to any specific cybercrime group, although it is clear that the campaign is using a MaaS (Malware-as-a-Service) business model, based on the information collected during the analysis that showed many operators were involved.

While tracking of cybercrime campaigns that targeted Latin America, we found one interesting attack that was very similar to known Brazilian banking malware, but had distinctive features relating to the infection vector and the code itself. It was possible to identify two clusters of attacks, the first one targeting Brazilian banks and the second one aimed at other banks in Latin America and Europe. This is to be expected: many European banks have operations and branches in Latin America, so this is a natural next step for the cybercriminals.

The cluster targeting Brazil used hacked websites and Google Ads to drive users to download the malicious installer. The campaign targeting other countries used spear-phishing as the delivery method.

Fake page driving the user to download the malicious payload

In most cases, the MSI file executed a function from the embedded DLL, but there were also other cases where a VBS script was used in place of the DLL.

MSI containing an action to execute a specific function from the DLL

The function will then download an encrypted file containing the final payload used in the campaign. The file is encrypted with a custom XOR-based algorithm, with the key 0x0AE2. In the latest versions, the authors moved from encryption to using a base64-encoded ZIP file.

The main module is in charge of monitoring all browser activity, looking for any actions related to online banking. As we analyzed the campaign, we identified two clusters of activity: the first one mainly focused on Brazilian targets and the second one focused more on international targets.

The code suggests that the campaign is being managed by various operators. The sample build specifies an operator ID, which will be used for select a C2 server to contact.

Code used to generate the URL based on the operator ID

The code above will calculate the path to a Google Sites page containing information about the C2 server to be used by the malware. The algorithm uses a key that is specific to the user as well as the current date, which means that the URL will change daily.

ID Operator Key Date Generated path
01 zemad jkABCDEefghiHIa4567JKLMN3UVWpqrst2Z89PQRSTbuvwxyzXYFG01cdOlmno 16Mar0 zemadhjui3nfz
02 rici jkABCDEefghFG01cdOlmnopqrst2Z89PQRiHIa4567JKLMN3UVWXYSTbuvwxyz 16Mar0 ricigms0rqfu
03 breza 01cdOlmnopqrst2Z89PQRSTbuvwxjkABCDEefghiHIa4567JKLMN3UVWXYFGyz 16Mar0 brezasqvtubok
04 grl2 mDEefghiHIa4567JKLMNnopqrst2Z89PQRSTbuv01cdOlwxjkABC3UVWXYFGyz 16Mar0 grl25ns6rqhk
05 rox2 567JKLMNnopqrst2Z89PQmDEefghiHIa4RSTbuv01cdOlwxjkABC3UVWXYFGyz 16Mar0 rox2rpfseenk
06 mrb 567JKLMNnopqrst2Z89PQmDEefghiHIa4RSTbuv01cdOlwxjkABC3UVWXYFGyz 16Mar0 mrbrpfseenk
07 ER jkABCDEefghiHIa4567JKLMN3UVWXYFG01cdOlmnopqrst2Z89PQRSTbuvwxyz 16Mar0 erhjui3nf8

The generated path will then be contacted in order to get information about the C2 server to be used for execution.

C2 information stored on Google Sites

The operator controls infected machines by using a custom tool. The tool will notify the operator when the victim is available and enable the operator to perform a number of activities on the machine, such as:

  • requesting information needed for the banking transaction, such as an SMS token or QR code;
  • allowing full remote access to the machine;
  • blocking access to the bank website: this feature helps to prevent the victim from learning that funds were transferred from their account.

DGA and Google sites

The campaign uses commercial hosting sites in its attacks. In many cases, they use a very specific Web server named HFS, or HTTP File Server for hosting encrypted payloads. One can note a small change on the displayed page that helps to show “Infects” instead of “Hits” as used on the default page.

 HFS used for hosting the encrypted payloads

Those hosting sites are disposable. Each is used for a short time before the operators move on to another server. We have seen Grandoreiro use DGA functions to generate a connection to a Google Sites page storing C2 information.

As for the victims, it is possible to confirm by analyzing samples that the campaign targets Brazil, Mexico, Spain and Portugal. However, it is highly possible that other countries are also victims since the targeted institutions have operations in other countries as well.

Grandoreiro: focus on Brazil, Portugal and Spain


Guildma, Javali, Melcoz and Grandoreiro are examples of yet another Brazilian banking group/operation that has decided to expand its attacks abroad, targeting banks in other countries. They benefit from the fact that many banks operating in Brazil also have operations elsewhere in Latin America and Europe, making it easy to extend their attacks against customers of these financial institutions.

Brazilian crooks are rapidly creating an ecosystem of affiliates, recruiting cybercriminals to work with in other countries, adopting MaaS (malware-as-a-service) and quickly adding new techniques to their malware as a way to keep it relevant and financially attractive to their partners. They are certainly leading the creation of this type of threats in Latin America, mainly because they need local partners to manage the stolen money and to help with translation, as most of them are not native in Spanish. This professional approach draws a lot of inspiration from ZeuS, SpyEye and other big banking trojans of the past.

As a threat, these banking trojan families try to innovate by using DGA, encrypted payloads, process hollowing, DLL hijacking, a lot of LoLBins, fileless infections and other tricks as a way of obstructing analysis and detection. We believe that these threats will evolve to target more banks in more countries. We know they are not the only ones doing this, as other families of the same origin have already made a similar transition, possibly inspired by the success of their “competitors”. This seems to be a trend among Brazilian malware developers that is here to stay.

We recommend that financial institutions watch these threats closely, while improving their authentication processes, boosting anti-fraud technology and threat intel data, and trying to understand and mitigate such risks. All the details, IoCs, Yara rules and hashes of these threats are available to the users of our Financial Threat Intel services.






Category: Featured
Date: Tue, 14 Jul 2020 10:00:17 +0000
Local date: Tue, 14 Jul 2020 10:00:17 +0000
Language: en-US
Encoding: UTF-8
Feed type: RSS
itemImageWidth: 1200 px
itemImageHeight: 900 px
Tetrade: el malware bancario brasileño se globaliza
Author: GReAT
Link :
Email :
Description: Este artículo es un análisis profundo para comprender estas cuatro familias de troyanos bancarios: Guildma, Javali, Melcoz y Grandoreiro, y su expansión fuera del país, con los ataques lanzados contra usuarios en América Latina y Europa.
Full content:


Brasil es famoso por los numerosos troyanos bancarios desarrollados por los delincuentes locales. En el submundo delictivo de este país se encuentran algunos de los ciberpiratas más activos y creativos del mundo. Al igual que sus pares en China y en Rusia, sus ciberataques tienen un fuerte sabor local, y por mucho tiempo se limitaron a los clientes de bancos locales. Pero ahora sus ataques y operaciones se expanden agresivamente fuera de sus fronteras, atacando a bancos en otros países. Tetrade es nuestra descripción de cuatro grandes familias de troyanos bancarios, creados, desarrollados y propagados por los piratas brasileños, pero ahora a escala global.

Esta no es su primera vez, pues en 2011 hicieron un tímido intento, con troyanos muy básicos que tenían bajas posibilidades de éxito, pero ahora la situación es completamente distinta. Los troyanos bancarios brasileños han tenido una marcada evolución: adoptaron técnicas para evitar la detección, crearon programas maliciosos muy modulares y con alta ofuscación, con flujos de ejecución muy complejos y llenos de artimañas que dificultaban en extremo su análisis.

Al menos desde el año 2000 los bancos brasileños operan en un ciberambiente muy hostil, lleno de fraudes. A pesar de la temprana adopción de tecnologías para proteger a sus clientes, de la implementación de complementos, tokens, tokens virtuales, la autenticación de dos factores, tarjetas de crédito con CHIP y PIN y de otras formas de proteger a sus millones de clientes, los fraudes siguen campeándose mientras el país carece de una sólida legislación para castigar a los ciberpiratas.

Este artículo es un análisis profundo para comprender estas cuatro familias de troyanos bancarios:  Guildma, Javali, Melcoz y Grandoreiro, y su expansión fuera del país, con los ataques lanzados contra usuarios en América Latina y Europa.

Los piratas brasileños están listos para el abordaje al mundo. ¿Están listos los sistemas financieros y los analistas de seguridad para repeler el ataque?

Guildma: lleno de artimañas

También conocido como Astaroth
Visto por primera vez 2015
Artimañas LOLBin y Flujos de Datos Alternativos NTFS (ADS), vaciado de procesos, cargas útiles alojadas en publicaciones en YouTube y Facebook
Listos para robar datos de víctimas residentes en… Chile, Uruguay, Perú, Ecuador, Colombia, China, Europa. Víctimas confirmadas en Brasil

El programa malicioso Guildma ha estado activo al menos desde 2015, cuando atacó a usuarios de bancos exclusivamente en Brasil. A partir de entonces, se ha actualizado de manera constante con nuevos blancos, nuevas características y capacidad de hacer pasar desapercibida su campaña, y ahora dirige sus ataques hacia otros países en América Latina. El grupo detrás de este ataque ha demostrado poseer sólidos conocimientos del uso de herramientas legítimas para realizar un flujo complejo de ejecución, simulando ocultarse en el sistema y evitando que los sistemas de análisis automatizado detecten sus actividades.

Recientemente se ha detectado una nueva versión circulando en Internet que abusa de los Flujos de Datos Alternativos NTFS (ADS) para almacenar el contenido de las cargas útiles maliciosas descargadas durante la ejecución. Este programa malicioso es altamente modular, con un flujo de ejecución muy complejo. El principal vector que este grupo utiliza es el envío de archivos maliciosos en formato comprimido y adjuntos al mensaje de correo. El tipo de archivo varía de VBS a LNK; en la última campaña adjuntaron un archivo HTML que ejecuta un Javascript para descargar el archivo malicioso;

Este malware se basa en artimañas antidepuración, antivirtualización y antiemulación, además del vaciado de procesos, y las técnicas LOLBin (binarios proporcionados por el sistema operativo) y Flujos de Datos Alternativos NTFS para almacenar las cargas útiles descargadas, que provienen de servicios de hosting en la nube, como CloudFlare’s Workers, Amazon AWS y otros sitios web conocidos, como YouTube y Facebook, para almacenar información del c2.

Desde LNK hasta una puerta trasera bancaria completa

La propagación de Guildma depende en gran medida de envíos masivos de mensajes de correo que contienen el archivo malicioso en formato comprimido y adjuntado al cuerpo del mensaje. El tipo de archivo varía desde archivos Visual Basic Script a LNK. La mayoría de los mensajes phishing simulan ser propuestas de negocios, paquetes enviados por servicios de correo postal o cualquier otro tema corporativo, incluyendo la pandemia de COVID-19, pero siempre con una apariencia corporativa:

Recibo de compra de alcohol en gel: artimaña de Guildma para engañar a sus víctimas

Observamos que a principios de noviembre de 2019 se añadió otra capa a la cadena de infección. En lugar de adjuntar el archivo comprimido directamente al cuerpo del mensaje de correo, los atacantes adjuntaron un archivo HTML que ejecuta un Javascript para descargar el archivo.

Javascript se ejecuta para descargar el archivo comprimido LNK

Para descargar los módulos adicionales, este malware usa la herramienta BITSAdmin, que este grupo ha utilizado por algunos años para evitar la detección, ya que se trata de una herramienta permitida por el sistema operativo Windows. A fines de septiembre de 2019 comenzamos a ver que se propagaba una nueva versión de Guildma mediante una nueva técnica de almacenaje de las cargas útiles descargadas en Flujos de Datos Alternativos NTFS para ocultarse en el sistema.

c:\windows\system32\cmd.exe /c type “c:\users\public\Libraries\radm\koddsuffyi.gif” > “c:\users\public\Libraries\radm\desktop.ini:koddsuffyi.gif” && erase “c:\users\public\Libraries\radm\koddsuffyi.gif”

La carga útil descargada se almacena en desktop.ini’s ADS

El uso de ADS permite que el archivo se oculte en el sistema y no aparezca, por ejemplo, en el explorador de archivos. Para ver los datos alternativos se puede usar el comando “DIR” añadiendo el conmutador “/R” que específicamente muestra los flujos de datos alternativos.

Cargas útiles almacenadas en datos ADS de desktop.ini

Una vez que los módulos adicionales se ocultan, el malware se ejecuta mediante la DLL Search Order Hijacking. Hemos notado que Guildma utiliza diferentes procesos en este paso, para esta versión del malware usa ExtExport.Exe, que está relacionado con Internet Explorer. La biblioteca que se carga es el resultado de una concatenación de dos archivos (64a.dll<random> y <random>64b.dll) que se descargaron previamente, como podemos ver en la imagen de arriba. El archivo resultante se nombrará con diferentes bibliotecas conocidas que ExtExport carga durante su ejecución. Una vez cargado, concatena otros tres archivos y también los carga.

Algunas técnicas anti-depuración y anti-emulación utilizadas por el cargador

Esta etapa verifica si hay herramientas depuradoras, ambiente virtual, IDs de producto de Windows conocidas y normalmente usados por las cajas de arena, nombres de usuario comunes y algunas series específicas de discos que muy probablemente son de algún entorno de análisis identificado por dichas técnicas. Si no detecta nada, el malware procede a descifrar la tercera etapa y la ejecuta usando la técnica de vaciado de procesos, muy común entre los desarrolladores de programas maliciosos. Para esta versión, las cargas útiles se cifran con el mismo algoritmo con base en XOR que se usó en anteriores versiones; sin embargo, en esta última versión cifran dos veces la carga útil, utilizando diferentes llaves.

El contenido del archivo se cifra dos veces usando llaves distintas.

Para ejecutar los módulos adicionales, este malware usa la técnica del vaciado de procesos para ocultar su carga útil maliciosa dentro de procesos autorizados, como svchost.exe. Las cargas útiles se cifran y almacenan en el sistema de archivos y se descifran en la memoria, al ejecutarse.

La carga útil final instalada en el sistema se encarga de monitorear las actividades del usuario: los sitios web que visita y las aplicaciones que usa, y verifica si están en la lista de blancos; si la respuesta es afirmativa, el módulo se ejecuta permitiendo que los ciberpiratas controlen las operaciones bancarias.

Este módulo permite que los ciberpiratas realicen algunas operaciones bancarias muy específicas, como:

  • Tomar el control completo de la navegación de sitios usando un sistema similar a VNC.
  • Activar/desactivar la superposición de pantalla
  • Solicitar token por SMS
  • Validar el código QR
  • Solicitar una contraseña de transacción

En realidad, el atacante puede realizar todas las transacciones de pagos a través del equipo de la víctima, evitando así los sistemas antifraude diseñados para detectar transacciones bancarias desde equipos sospechosos.

Youtube y Facebook para servidores de administración (C2s)

Después de concluir con todos los pasos de carga, el malware se ejecuta en el sistema. Luego, comienza a monitorear el sistema infectado, se comunica con el servidor C2 y, de ser necesario, descarga módulos adicionales. En las últimas versiones, comenzó a almacenar la información del C2 en páginas de YouTube y Facebook, en formato cifrado.

Información del C2 alojada en una página de YouTube

Las nuevas versiones de Guildma descubiertas en 2020 usan un proceso automatizado para generar miles de URLs cada día, por lo general abusando de TLDs genéricas. Nuestros sistemas detectan más de 200 URLs distintas cada día, como:

Algunas URLs de Guildma para descargar el malware

Nuestra telemetría muestra que las detecciones de Guildma se dan por todo el mundo:

Guildma: muy propagado

En el código de este malware también se encuentran los blancos previstos de Guildma: este programa malicioso está diseñado para robar los datos de clientes bancarios residentes en Chile, Uruguay, Perú, Ecuador, Colombia, China, Europa y, por supuesto, Brasil. Sin embargo, este código se descubrió solo en una versión de Guildma y ya no aparece en las versiones más recientes.

Del código de Guildma: país de posibles blancos

Javali: grande y furioso

Visto por primera vez 2017
Artimañas Grandes archivos para evitar la detección, descarga lateral de DLLs, ajustes de configuración alojados en Google Docs
Víctimas confirmadas en Brasil y México

Javali ataca en países de habla española y portuguesa, y está activo desde noviembre de 2017; se concentra especialmente en clientes de instituciones financieras en Brasil y México. Javali es un malware de múltiples etapas y distribuye la carga útil inicial a través de mensajes phishing de correo, a veces como un adjunto y otras como un enlace a un sitio web. Estos mensajes de correo incluyen un archivo MSI (Instalador de Microsoft) con un Visual Basic Script incrustado que descarga la carga útil maliciosa desde un servidor C2 remoto; también utiliza la descarga lateral de DLLs, así como varias capas de ofuscación para ocultar sus actividades maliciosas de analistas y  soluciones de seguridad.

El descargador inicial de Microsoft Installer contiene una acción incrustada que activa un Visual Basic Script. Este script establece conexión con un servidor remoto y descarga la segunda etapa del malware.

Uso de los eventos ‘CustomAction’ de MSI para ejecutar el decargador VBS.

El paquete del archivo ZIP descargado contiene varios archivos y la carga útil maliciosa diseñada para robar los datos financieros de las víctimas. Una vez descomprimido el paquete, es común encontrar una variedad de archivos, incluyendo ejecutables legítimos pero vulnerables a cargas paralelas de DLLs:

Contenido de un Javali típico.Paquete ZIP, incluyendo un archivo DLL de 602 MB…

La DLL legítima utilizada en este caso es de aproximadamente 600 KB, pero aquí tenemos una biblioteca ofuscada de más de 600 MB. Este tamaño del archivo hace que sea más difícil realizar el análisis y la detección. Por otra parte, debido a las limitaciones de tamaño, no permite que se lo suba a multiescáners, como VirusTotal y otros. Una vez que se quitan todas las secciones vacías de la librería, la carga útil final es un binario de 27.5 MB…

Después de desofuscar todo, podemos ver las URLs y el nombre de los bancos a los que apunta el malware:

Javali después de desofuscarse: apunta a clientes de banca en México

GDocs para malware

Una vez que uno de los eventos activadores implementados en su código llama a la biblioteca, ésta realiza la lectura de un archivo de configuración desde un documento de Google compartido. Si no logra comunicarse con esa dirección, utiliza el código implementado en el archivo.

Ajustes de configuración almacenados en un Documento de Google

La configuración original:





Por razones obvias, la información del host aparece ofuscada. Javali usa una biblioteca de terceros llamada IndyProject para comunicarse con el C2. En las campañas más recientes, también comenzaron a usar YouTube como host para la información del C2, tal como lo hace Guildma.

Tras un análisis en profundidad del código de la biblioteca, podemos ver en algunos ejemplos una lista de blancos de este malware. Según la muestra analizada, los sitios web de criptomonedas, como Bittrex, o de soluciones de pago, como Mercado Pago, un minorista muy popular en América Latina, también están en la mira. Para capturar las credenciales de inicio de sesión desde todos los sitios web en la lista, Javali monitorea procesos para encontrar navegadores abiertos o aplicaciones bancarias personalizadas. Entre los navegadores web más monitoreados, se encuentran:  Mozilla Firefox, Google Chrome, Internet Explorer y Microsoft Edge.

La distribución de víctimas se concentra principalmente en Brasil, aunque unos mensajes de correo recientes muestran un interés en México.

Javali: apuntando a Brasil y México

Javali usa binarios que figuran en listas blancas y están firmados, archivos Microsoft Installer, y secuestra  DLLs para perpetrar infecciones masivas, mientras concentra sus esfuerzos en determinados países. Logra hacer esto controlando los medios de distribución y enviando solo mensajes phishing de correo a los TLDs que les interesan, por lo que podemos esperar su propagación principalmente en América Latina.

Melcoz, un operador a nivel mundial

Visto por primera vez 2018 (en todo el mundo), pero activo por años en Brasil
Artimañas Secuestro de DLLs, cargadores Autoit, módulo para robar billeteras Bitcoin
Víctimas confirmadas en Brasil, Chile, México, España, Portugal

Melcoz es una familia de troyanos bancarios desarrollada por un grupo que ha estado activo por muchos años en Brasil, pero que al menos desde 2018 se han expandido a todo el mundo. Sus ataques recientes parecen inspirados en sus pares de Europa del este. Sus nuevas operaciones son muy profesionales, escalables y persistentes, porque crean diferentes versiones del malware y cuentan con una infraestructura significativamente mejorada que permite a grupos de ciberpiratas de varios países operar de forma colectiva.

Venimos detectando ataques de este grupo contra blancos en Chile desde 2018, y más recientemente, en México. Sin embargo, es muy probable que haya víctimas en otros países, ya que algunos de los bancos atacados operan a nivel internacional. Por ahora, los ataques del grupo parecen concentrarse en América Latina. El hecho de que estos grupos hablen diferentes idiomas (portugués y español), nos lleva pensar que los ciberpiratas brasileños trabajan con grupos locales de codificadores y mulas monetarias para retirar el dinero robado, que están gestionados por diferentes operadores y que venden accesos a su infraestructura y a sus creadores de malware. Cada campaña se realiza con su propia ID, que varía según las versiones y C2s usados.

Por lo general, el malware usa scripts Autolt o VBS agregados a archivos MSI, que ejecutan DLLs maliciosas usando la técnica de secuestro de DLLs, con el fin de burlar a las soluciones de seguridad. Este malware roba contraseñas desde los navegadores, desde la memoria, y proporciona acceso remoto para capturar accesos a banca en línea. También incluye un módulo para robar billeteras Bitcoin, que remplaza la información original de la billetera por la de los ciberpiratas.

Otro vástago más de Remote Acess PC

Melcoz es otra variante de la célebre RAT Remote Access PC  de código abierto, disponible en GitHub, así como muchas otras versiones desarrolladas por ciberpiratas brasileños. En un principio atacaba a usuarios en Brasil, pero al menos desde 2018 expandió sus ataques hacia otros países, como Chile y México. El vector de infección que este ataque utiliza es un mensaje phishing de correo que contiene un enlace para descargar un instalador MSI, como este:

Mensaje phishing de correo escrito en español

Casi todas las muestras de MSI que analizamos usaban una versión de Advanced Installer con un script VBS adjunto a la sección CustomAction, que permite que el script se ejecute durante el proceso de instalación. El script funciona como un descargador para los archivos adicionales que se alojan de forma separada como un paquete ZIP que contiene los archivos necesarios para cargar el malware en el sistema. Constamos que se usan dos técnicas diferentes para distribuir la puerta trasera Melcoz: el script cargador de Autolt y el secuestro de DLLs.

El intérprete oficial Autolt3 viene dentro del paquete de instalación de Autolt, y el malware lo utiliza para ejecutar el script compilado. El script VBS ejecuta el intérprete Autoit para que el script compilado pase como un argumento. Una vez que se ejecuta, carga la biblioteca que también pasó como un argumento para llamar a una función exportada codificada.

Script Autolt actuando como cargador para la DLL maliciosa

El otro método utilizado para ejecutar la segunda etapa en el sistema de la víctima es el secuestro de DLLs. Aunque el grupo puede usar varios ejecutables legítimos en sus ataques, en esta campaña vimos el abuso de vmnat.exe, el servicio VMware NAT legítimo ejecutable, para cargar la carga útil maliciosa.

El malware tiene algunas funcionalidades específicas que le permiten al atacante realizar operaciones relacionadas con transacciones bancarias en línea, robo de contraseñas y monitoreo del portapapeles. También encontramos diferentes versiones de la carga útil: la versión para robar los datos de víctimas en Brasil no suele estar empaquetada, mientras que las versiones que apuntan a bancos en Chile y México están empaquetadas con VMProtect o Thermida. Para nosotros, esta es otra advertencia de que los operadores pueden cambiar sus tácticas según sus necesidades locales.

Tras la inicialización, el código monitorea las actividades del navegador en busca de sesiones de banca en línea. Una vez que las encuentra, permite que las funciones de ataque muestren una ventana que se superpone al navegador de la víctima para poder operar la sesión del usuario sin que éste se dé cuenta. De esta forma, la transacción fraudulenta se realiza desde el equipo de la víctima, lo que dificulta aún más su detección por parte de las soluciones antifraude del banco. Los atacantes también pueden solicitar información específica durante la transacción bancaria, como una contraseña secundaria y el token, burlando así las soluciones de autenticación de dos factores que usan los bancos.

El código también cuenta con un temporizador que monitorea el contenido almacenado en el portapapeles, y una vez que activa la coincidencia, el malware verifica si tiene una billetera Bitcoin, y si es así, la remplaza con otra proporcionada por el ciberpirata durante el ataque.

Los atacantes dependen del servidor legítimo infectado y de los servidores comerciales que adquieren. Los servidores infectados suelen alojar las muestras para atacar a las víctimas, mientras que los servidores comerciales alojan las comunicaciones con el servidor C2. Como se mencionó anteriormente, diferentes operadores gestionan diferentes campañas. Esto explica las diferentes infraestructuras de red que hemos detectado hasta ahora.

De acuerdo con nuestra telemetría, se detectaron muestras de Melcoz en otros países de América Latina y Europa, especialmente en España y Portugal.

Detecciones de Melcoz en todo el mundo: enfoque en Brasil, Chile, España y Portugal

El Gran Grandoreiro

Visto por primera vez 2016
Artimañas MaaS, DGA, información del C2 almacenada en Google Sites,
Víctimas confirmadas en Brasil, México, Portugal, España

Al igual que Melcoz y Javali, Grandoreiro comenzó a propagar sus ataques en América Latina y luego en Europa con gran éxito, evadiendo su detección mediante instaladores modulares. De las cuatro familias descritas aquí, Grandoreiro es la más expandida en todo el mundo. Este malware permite a sus operadores realizar operaciones bancarias fraudulentas desde el equipo de la víctima a fin de burlar las medidas de seguridad que usan las instituciones bancarias.

Venimos observado esta campaña desde al menos 2016, y los atacantes han mejorado sus técnicas progresivamente para no llamar la antención y estar activos por más tiempo. Este malware utiliza un Algoritmo de Generación de Dominios (DGA) específico para ocultar la dirección del C2 utilizado en el ataque: este es uno de los puntos principales que ha permitido organizar esta campaña.

Todavía no hemos logrado vincular este malware con ningún grupo de ciberpiratas, aunque está claro que esta campaña utiliza un modelo de negocios MaaS (Malware-as-a-Service); según la información que recopilamos durante el análisis, hay muchos operadores involucrados en el proceso.

Durante el seguimiento de las campañas de ciberpiratas en América Latina, encontramos un interesante ataque muy similar a un conocido malware bancario brasileño, pero con características específicas relacionadas con su vector de infección y el código en sí. Logramos identificar dos agrupamientos de ataques: el primero dirigido contra bancos brasileños, y el segundo contra otros bancos en América latina y Europa. Era de esperar: muchos bancos europeos tienen operaciones y sucursales en América Latina, por lo que es un paso natural para estos ciberpiratas.

El agrupamiento que apunta a Brasil utilizó sitios web hackeados y Google Ads para inducir a los usuarios a descargar el instalador malicioso. La campaña que apunta hacia otros países usa el spear-phishing como método de distribución.

Página fraudulenta induciendo al usuario a descargar la carga útil maliciosa

En la mayoría de los casos, el archivo MSI ejecuta una función desde la DLL incrustada, pero también hay otros casos en los que usan un script VBS en lugar de la DLL.

MSI con una acción para ejecutar una función específica desde la DLL

Esta función descarga un archivo cifrado que contiene la carga útil final utilizada en esta campaña. El archivo está cifrado con un algoritmo personalizado basado en XOR, con la llave 0x0AE2. En las últimas versiones usaron un archivo ZIP cifrado con base64 en lugar del anterior.

El módulo principal se encarga del monitoreo de las actividades en el navegador en busca de cualquier acción relacionada con la banca en línea. Durante el análisis de esta campaña, observamos dos agrupamientos de actividades: el primero se concentra en blancos brasileños, mientras que el segundo lo hace en internacionales.

En base al código, es posible deducir que esta campaña es gestionada por diferentes operadores. La muestra es identificada por una ID de operador que sirve para seleccionar el C2 con la que se conectará el ejemplar.

Código utilizado para generar la URL en base a la ID de operador

Este código genera la ruta a una página de Google Sites que contiene información sobre el C2 que el malware usará. El algoritmo usa una llave específica para el usuario y la fecha en curso: esto significa que la URL cambia cada día.

ID Operador Llave Fecha Ruta generada
01 zemad jkABCDEefghiHIa4567JKLMN3UVWpqrst2Z89PQRSTbuvwxyzXYFG01cdOlmno 16Mar0 zemadhjui3nfz
02 rici jkABCDEefghFG01cdOlmnopqrst2Z89PQRiHIa4567JKLMN3UVWXYSTbuvwxyz 16Mar0 ricigms0rqfu
03 breza 01cdOlmnopqrst2Z89PQRSTbuvwxjkABCDEefghiHIa4567JKLMN3UVWXYFGyz 16Mar0 brezasqvtubok
04 grl2 mDEefghiHIa4567JKLMNnopqrst2Z89PQRSTbuv01cdOlwxjkABC3UVWXYFGyz 16Mar0 grl25ns6rqhk
05 rox2 567JKLMNnopqrst2Z89PQmDEefghiHIa4RSTbuv01cdOlwxjkABC3UVWXYFGyz 16Mar0 rox2rpfseenk
06 mrb 567JKLMNnopqrst2Z89PQmDEefghiHIa4RSTbuv01cdOlwxjkABC3UVWXYFGyz 16Mar0 mrbrpfseenk
07 ER jkABCDEefghiHIa4567JKLMN3UVWXYFG01cdOlmnopqrst2Z89PQRSTbuvwxyz 16Mar0 erhjui3nf8

Luego, se pone en contacto con la ruta generada para obtener información sobre el C2 que se usará durante la ejecución.

Información del C2 almacenada en Google Sites

Los equipos infectados son controladas por el operador mediante una herramienta personalizada. Esta herramienta notifica al operador cuando la víctima está disponible y permite que el atacante realice varias operaciones en la máquina, como:

  • Solicitar la información necesaria desde la transacción bancaria, como un token por SMS o un código QR.
  • Permite acceso total remoto al equipo
  • Bloquea el acceso al sitio web bancario: esta característica sirve para evitar que la víctima se dé cuenta de que se transfirió dinero desde su cuenta.

DGA y Google Sites

Esta campaña utiliza un host comercial para sus ataques: en muchos casos utiliza un servidor web específico llamado HFS (Http File Server). Es posible notar un pequeño cambio en la página visualizada, donde aparece “Infects” en lugar de “Hits” que se usa en la página predeterminada.

HFS utilizado para alojar las cargas útiles cifradas

Este host es “descartable” se usa una vez y por poco tiempo y luego se cambia de servidor. También vimos que Grandoreiro usa funciones DGA para generar la ruta de conexión a Google Sites, donde se encuentra la información del C2.

Respecto a las víctimas, es posible confirmar, en base al análisis de las muestras, que esta campaña apunta a Brasil, México, España y Portugal. Sin embargo, es muy posible que otros países también sean víctimas, ya que las instituciones atacadas operan en varios países.

Grandoreiro: enfocado en Brasil, Portugal y España.


Guildma, Javali, Melcoz y Grandoreiro son otros grupos de operaciones bancarias brasileños que decidieron propagar sus ataques hacia bancos en otros países. Aprovechan que muchos bancos que operan en Brasil también lo hacen en otros países de América Latina y Europa, lo que facilita la expansión de sus ataques contra los clientes de dichos bancos.

Los ciberpiratas brasileños son rápidos para crear ecosistemas de afiliados, reclutan a colegas suyos de otros países para trabajar en conjunto, adoptan Maas (Malware-as-a-Service) y agregan técnicas a sus programas maliciosos para que sean atractivos para sus colegas. Son líderes en la creación de amenazas bancarias en América Latina, sobre todo porque necesitan socios locales que se encarguen del dinero robado y los ayuden con las traducciones (muchos de ellos no hablan español). Esta profesionalización de sus operaciones está inspirada en DeuS, SpyEye y otros famosos troyanos bancarios antiguos.

Estas familias de troyanos bancarios tratan de innovar adoptando el uso de DGA, cargas útiles cifradas, vaciado de procesos, secuestro de DLLs, muchos LoLBins, infecciones tipo fileless y otras artimañas para dificultar el análisis y detección de seguridad. Creemos que estas amenazas seguirán evolucionando y atacarán a más bancos en más países. Sabemos que no son los únicos que lo hacen: otras familias del mismo origen entraron al ruedo, quizás inspiradas por el éxito de sus “competidores”. Entre los creadores brasileños de malware, parece ser una tendencia que ha llegado para quedarse.

Sugerimos a las instituciones bancarias que observen de cerca estas amenazas, que mejoren sus procesos de autenticación, que mejoren sus tecnologías anti-fraude y su inteligencia de amenazas, para comprenderlas y mitigarlas. Todos los detalles, IoCs, reglas Yara y hashes de estas amenazas están disponibles para los clientes de nuestros servicios de Financial Threat Intel.






Category: Descripciones de malware
Date: Tue, 14 Jul 2020 10:00:16 +0000
Local date: Tue, 14 Jul 2020 10:00:16 +0000
Language: es-ES
Encoding: UTF-8
Feed type: RSS
itemImageWidth: 1200 px
itemImageHeight: 900 px
Citrix lanza parches para 11 vulnerabilidades en diferentes productos
Author: Securelist
Link :
Email :
Description: Citrix ha parchado 11 vulnerabilidades que afectaban varios de sus productos. La compañía aseguró que este paquete de parches resuelve por completo todos los problemas de seguridad que se conocen, por lo que recomienda a sus usuarios que lo instalen… Leer el artículo completo
Full content:


Citrix ha parchado 11 vulnerabilidades que afectaban varios de sus productos. La compañía aseguró que este paquete de parches resuelve por completo todos los problemas de seguridad que se conocen, por lo que recomienda a sus usuarios que lo instalen cuanto antes.

La compañía asegura que no ha encontrado casos en los que se estén explotando estas vulnerabilidades en el mundo real. Además, aclaró que 5 de las 11 vulnerabilidades tienen barreras adicionales para su explotación.

Los productos afectados incluyen el Controlador de Distribución de Aplicaciones de Citrix (ADC), Citrix Gateway y Citrix SD-WAN WANOP. “El paquete incluye parches para una falla de inyección de código, tres fallas de divulgación de información, tres vulnerabilidades de elevación de privilegios, dos vulnerabilidades cross-site scripting, una falla de negación de servicio y una de evasión de autorizaciones”, explicó la compañía.

Citrix no ha hecho públicos los detalles técnicos de las vulnerabilidades para evitar que los cibercriminales la utilicen a su favor, pero indicó que la explotación de estas fallas podría comprometer la seguridad de un usuario autentificado mediante la administración de la interfaz de los productos o mediante Cross-site scripting (XSS) de la interfaz de administración.

Un criminal también podría crear un link de descarga para un dispositivo vulnerable y comprometerlo al permitir que un usuario que no ha sido autentificado administre la red. O podría usar IPs virtuales (VIPs) para escanear los portales de la red interna o lanzar ataques de negación de servicio contra el portal de entrada.

Citrix aclaró que las vulnerabilidades parchadas no están relacionadas con CVE-2019-19781, la vulnerabilidad de ejecución remota de códigos que parchó en 2020: y que ninguna de ellas es tan grave ni fácil de explotar como la infame “Shitrix”, que hizo estragos el diciembre pasado. Asimismo, aseguró que las fallas solucionadas no afectan a las versiones en la nube de sus productos.

Citrix Issues Critical Patches for 11 New Flaws Affecting Multiple Products • The Hacker News
Citrix limits technical info on vulnerabilities and patches after exploits • IT News
Citrix tells everyone not to worry too much over its latest security patches. NSA’s former top hacker disagrees • The Register

Category: News
Date: Mon, 13 Jul 2020 08:33:47 +0000
Local date: Mon, 13 Jul 2020 08:33:47 +0000
Language: es-ES
Encoding: UTF-8
Feed type: RSS
itemImageWidth: px
itemImageHeight: px
Redirect auction
Author: Dmitry Kondratyev
Link :
Email :
Description: We've already looked at links under old YouTube videos or in Wikipedia articles which at some point turned bad and began pointing to partner program pages, phishing sites, or even malware. It was as if the attackers were purposely buying up domains, but such a scenario always seemed to us too complicated.
Full content:

We’ve already looked at links under old YouTube videos or in Wikipedia articles which at some point turned bad and began pointing to partner program pages, phishing sites, or even malware. It was as if the attackers were purposely buying up domains, but such a scenario always seemed to us too complicated. Recently, while examining the behavior of one not-so-new program, we discovered how links get converted into malicious ones.

Razor Enhanced, a legitimate assistant tool for Ultima Online, caught our eye when it started trying to access a malicious URL.

C# program code for installing an update

Since we didn’t find anything suspicious in the program code, it was clear that the problem was on the other side. Going to the site that the program had tried to access, we found a stub for a popular domain auction stating that the domain was up for sale. The WHOIS data told us that its owner had stopped paying for the domain name, and that it had been purchased using a service for tracking released domains, and then put up for sale on the auction site.

To sell a domain at auction, it must first be parked on the DNS servers of the trading platform, where it remains until being transferred to the new owner. Anyone who visits the site sees that stub.

Stub on the domain up for sale

Having observed this page for a while, we noticed that from time to time visitors who initially went to the now inactive website of the app developer did not land on the auction stub, but on a malicious resource (which is basically what happened with Razor Enhanced when it decided to check for updates). Next, we learned that the stub site redirects visitors not to a specific resource, but to different websites, including ones on partner networks. What’s more, the type of redirect can vary depending on the country and user agent: when accessing from a macOS device, the victim might land on a page that downloads the Shlayer Trojan.

We checked the list of addresses from which Shlayer was downloaded, and found that the vast majority of domain names had been put up for auction on the same trading platform. Then we decided to check the requests to the resource that Razor Enhanced users got redirected to, and found that around 100 other stubs on this trading platform sent their visitors to the same address. During the study, we found about 1,000 of these pages in total, but the real figure is probably much higher.

According to data for March 2019–February 2020, 89% of the sites to which requests from stub pages got redirected were ad-related. The remaining 11% posed a far more serious threat: they prompt the user to install malware or download malicious MS Office or PDF documents with links to fake websites and the like.

We can assume that one source of income for the cybercriminals comes from generating traffic to partner program pages, both advertising and malicious (malvertising). For instance, one such resource in ten days receives (on average) around 600 redirect requests from programs which, like Razor Enhanced, were trying to access a developer site.

Who’s behind it?

There are various hypotheses. More likely: the malicious redirects are the work of a module that displays the content of a third-party ad network. Malicious traffic can appear due to the lack of ad filtering or because the attackers use vulnerabilities in the advertising module (or the trading platform itself) to change settings and substitute redirects.

It’s too early to draw any definite conclusions, but based on the data collected so far, it can be assumed that we are dealing with a well-organized (and presumably managed) network that can divert traffic flows to cybercriminal sites, using redirects from legitimate domain names and the resources of one of the largest and oldest domain auctions.

The main problem for visitors to legitimate resources is that without a security solution they will not be able to prevent getting redirected to a malicious site. Moreover, some visitors of such sites might go there by typing in the address from memory, clicking a link in the About window of an app they are using, or finding them in search engines.

Category: Featured
Date: Wed, 08 Jul 2020 12:00:34 +0000
Local date: Wed, 08 Jul 2020 12:00:34 +0000
Language: en-US
Encoding: UTF-8
Feed type: RSS
itemImageWidth: 1200 px
itemImageHeight: 879 px
Aquí hay gato encerrado: Programas publicitarios en teléfonos inteligentes
Author: Igor Golovin
Link :
Email :
Description: Nuestro servicio de asistencia técnica recibe cada vez más cartas de usuarios que se quejan de anuncios molestos, y de origen desconocido, en sus teléfonos inteligentes.
Full content:

Nuestro servicio de asistencia técnica recibe cada vez más cartas de usuarios que se quejan de anuncios molestos, y de origen desconocido, en sus teléfonos inteligentes. En algunos casos, es bastante fácil resolver el problema. En otros, la tarea de eliminar los anuncios es mucho más difícil: si el programa publicitario se ha instalado en la partición del sistema, los intentos de deshacerse de él pueden provocar fallas en el dispositivo. Además, los anuncios pueden venir incrustados en bibliotecas y aplicaciones de sistema a nivel de código que no se pueden eliminar. Según nuestros datos, cada año, el 14,8% de todos los usuarios atacados por malware o adware lidian con la infección de la partición del sistema.

Pero ¿por qué sucede así? Vemos que existen dos estrategias principales para introducir publicidad no eliminable en un dispositivo:

  • El software malicioso obtiene derechos de root en el dispositivo e instala aplicaciones publicitarias en las particiones del sistema.
  • El código responsable de mostrar anuncios (o su descargador) está contenido en el firmware del dispositivo, incluso antes de llegar a manos del consumidor.

El modelo de seguridad del sistema operativo Android supone que el antivirus es una aplicación normal y, por lo tanto, en el marco de este concepto, físicamente no puede hacer nada contra el adware o malware instalado en los directorios del sistema. Esto se convierte en un problema, incluso cuando se trata de programas publicitarios. Los delincuentes detrás de ellos no dudan en anunciar (en realidad, obligan a instalar) casi todo por lo que reciben un pago. Como resultado, cualquier aplicación maliciosa puede terminar en el dispositivo del usuario, por ejemplo  CookieStealer.

Como regla general, la proporción de usuarios que se las ha tenido que ver con el adware es del 1 al 5% del número total de usuarios de nuestras soluciones de seguridad (para una marca en particular). Sobre todo, se trata de propietarios de teléfonos inteligentes y tabletas de ciertas marcas de la gama más baja. Sin embargo, para algunas marcas populares que ofrecen dispositivos de bajo costo, esta cifra puede alcanzar hasta el 27%.

Porcentaje de usuarios que encontraron malware o adware en las particiones del sistema, del total de usuarios de productos de Kaspersky Lab en el país, mayo de 2019 – mayo de 2020

¿Quién es?

Entre los ejemplos más comunes de malware que se instala en la partición del sistema del teléfono inteligente, se encuentran los troyanos Lezok y Triada. El segundo es notable porque el código publicitario se incrusta nada menos que en libandroid_runtime, una biblioteca clave, utilizada por casi todas las aplicaciones del dispositivo. A pesar de que estas amenazas se identificaron hace varios años, los usuarios continúan enfrentándolas.

Pero Lezok y Triada son solo la punta del iceberg. A continuación, contaremos con qué otras cosas se enfrentan los usuarios hoy en día y en qué aplicaciones del sistema hemos encontrado códigos “adicionales”.

Este troyano enmarañado suele esconderse en la aplicación responsable de la interfaz gráfica del sistema, o en la utilidad de configuración, sin la cual el teléfono inteligente no funciona. Este malware descarga una carga útil desde sus sitos web, la que a su vez puede descargar y ejecutar archivos arbitrarios en el dispositivo.

Funciones presentes en la carga útil de

Una observación interesante: en algunos casos, la carga útil no está presente y el troyano no puede completar su tarea.


El troyano Sivu es un dropper que se camufla como la aplicación HTMLViewer. Consta de dos módulos y puede usar derechos de root en el dispositivo. El primer módulo del dropper tiene la función de mostrar anuncios superpuestos a otras ventanas, como también en las notificaciones.

El troyano comprueba si es posible mostrar anuncios superpuestos a la aplicación que está en primer plano.

El segundo módulo es una puerta trasera de control remoto del teléfono inteligente. Entre sus capacidades están: instalar, desinstalar y ejecutar aplicaciones, que pueden usarse para la instalación oculta de aplicaciones tanto legítimas como maliciosas, dependiendo de los objetivos que persiga su propietario.

Descargar, instalar y ejecutar aplicaciones


Esta aplicación publicitaria simula ser un servicio del sistema y se hace llamar Android Services ( Sin el conocimiento del usuario, puede descargar e instalar aplicaciones, así como mostrar anuncios en las notificaciones.

Instalación silenciosa de aplicaciones después de apagar la pantalla

Además, Plague.f puede mostrar anuncios en SYSTEM_ALERT_WINDOW, una ventana emergente que se superpone a las demás aplicaciones.


Agent.pac puede hacerse pasar por una aplicación CIT TEST diseñada para verificar el correcto funcionamiento de los componentes del dispositivo. Permite iniciar aplicaciones con un comando recibido de su servidor de administración, abrir URLs (también recibidas del servidor de comandos), descargar y ejecutar archivos DEX arbitrarios, instalar y eliminar aplicaciones, mostrar notificaciones, iniciar servicios.

Ejecución del archivo DEX descargado


Este troyano dropper se esconde en una aplicación llamada STS, cuya única función es mostrar anuncios. El código de descarga está enmarañado. Puede mostrar Toast Window; en este contexto, es un análogo de SYSTEM_ALERT_WINDOW, una ventana que se superpone a las demás aplicaciones.

También puede descargar y ejecutar códigos.

ToastWindow y la ejecución de códigos de terceros


A diferencia de los troyanos anteriores, Necro.d es una biblioteca nativa ubicada en el directorio del sistema. Su lanzamiento está integrado en otra biblioteca del sistema:, que es responsable del funcionamiento de los servicios de Android.

Lanzamiento del troyano

Por orden del servidor de administración, Necro.d puede descargar, instalar, desinstalar y ejecutar aplicaciones. Además, los desarrolladores decidieron mantener una puerta trasera para ejecutar comandos de shell arbitrarios.

Ejecución de los comandos recibidos

Además, Necro.d puede descargar el paquete de privilegios de súperusuario kingroot, aparentemente, para que el sistema de seguridad del sistema operativo no estorbe al entregar contenido “extremadamente necesario” al usuario.

Descarga de Kingroot


Hemos encontrado al malware Facmod.a hasta en aplicaciones esenciales para el funcionamiento normal del teléfono inteligente: Configuración, Modo de fábrica, SystemUI. Hemos encontrado dispositivos en los que dos módulos maliciosos estaban integrados a la vez en SystemUI.

Descifrado de la dirección del servidor de administración

El primero,, puede recibir del servidor ufz.doesxyz [.]com una dirección de descarga del código arbitrario llamado DynamicPack, para luego descargarlo y ejecutarlo:

Descarga y ejecución de códigos de terceros

El segundo módulo,, inyecta la carga útil del archivo cifrado en los recursos de la aplicación. La carga útil resuelve las tareas habituales de este tipo de amenazas para instalar y ejecutar aplicaciones:

Instalación silenciosa de aplicaciones

Además, Facmod.a tiene funciones para iniciar periódicamente el navegador y abrir la página de publicidad.


El troyano Guerrilla.i suele encontrarse en la aplicación del sistema Launcher, que es responsable del funcionamiento del “escritorio” del teléfono inteligente. Las tareas del troyano son mostrar periódicamente anuncios y abrir páginas publicitarias en el navegador. Guerrilla.i recibe el archivo de configuración después de conectarse a la dirección htapi.getapiv8[.]com/api.php?rq=plug. El mismo archivo también puede contener una dirección para descargar un módulo adicional que amplía la funcionalidad.

Trojan-Dropper.AndroidOS.Guerrilla.i, publicación de anuncios ocasionales


Este dropper puede estar escondido en la aplicación Theme (com.nbc.willcloud.themestore). Las características de Virtualinst.c no son originales: descarga, instalación y ejecución de aplicaciones sin el conocimiento del usuario.

Trojan-Dropper.AndroidOS.Virtualinst.c, instalación de la aplicación


Otro adware que descubrimos venía incrustado en el catálogo de fondos de escritorio. La carga útil de Secretad.c está contenida en el archivo kgallery.c1ass. Se desempaqueta y se lanza, por ejemplo, cuando se enciende la pantalla o se instalan aplicaciones:

Desempaque de la carga útil

Secretad.c puede mostrar anuncios en modo de pantalla completa, abrir la página deseada en un navegador o lanzar la aplicación anunciada. Como muchos otros programas de adware, Secretad.c puede instalar aplicaciones sin que el usuario se dé cuenta.

Instalación oculta de aplicaciones.

Además, la aplicación tiene otro módulo publicitario:

Su carga útil está cifrada en el archivo assets/1498203975110.dat. Como resultado de su trabajo, por ejemplo, la página de la aplicación anunciada en Google Play puede abrirse inesperadamente, y algunas de las aplicaciones instaladas pueden iniciarse o el navegador abrirse.

Publicidad del fabricante

Hay teléfonos inteligentes con módulos publicitarios preinstalados por los propios desarrolladores. Algunos fabricantes dicen honestamente que incorporan publicidad en la interfaz de sus teléfonos inteligentes y, al mismo tiempo, dejan la posibilidad de  deshabilitar su visualización, mientras que otros, por el contrario, no la dan y llaman a este enfoque “modelo de negocio” que permite reducir el costo del dispositivo para el usuario final.

A su vez, el usuario no suele tener otra opción: o compra el dispositivo por el precio completo, o un poco más barato, pero con publicidad de por vida. Además, en ninguna tienda de electrónica vimos una advertencia notable y comprensible de que después de comprar un teléfono, el usuario se verá obligado a mirar anuncios. En otras palabras, los compradores pueden no sospechar que están comprando una valla publicitaria con su propio dinero.


Meizu no oculta que muestra publicidad en sus aplicaciones. Es bastante discreta, e incluso se la puede desactivar en la configuración. Sin embargo, en la aplicación AppStore preinstalada, hemos descubierto “publicidad oculta” que puede cargarse silenciosamente y aparecer en ventanas invisibles (generalmente este enfoque se usa para aumentar la estadística de supuestas “visualizaciones”), y que consume tráfico y energía de la batería:

Carga invisible de anuncios

Pero aún hay más. Una aplicación puede descargar código JavaScript de terceros y ejecutarlo:

Descarga y ejecución de código JS

Además, la tienda de aplicaciones AppStore preinstalada puede desactivar el sonido, acceder a SMS, copiar su contenido y pegarlo en las páginas descargadas.


Lectura de SMS y uso de sus contenidos en una página web

Este enfoque suele emplearse en aplicaciones francamente maliciosas que sirven para formalizar suscripciones pagas sin el conocimiento del usuario. Solo nos queda creer en la decencia de las organizaciones que administran el módulo de publicidad y esperar que terceros no tengan acceso a él.

Pero la AppStore no es la única aplicación sospechosa en los dispositivos Meizu. Descubrimos que Meizu Music ( contiene un archivo ejecutable cifrado que se usa para descargar y ejecutar algunos SDK de Ginkgo:

Descarga de Ginkgo SDK

Uno solo puede adivinar qué funciones cumple este SDK: los dispositivos Meizu no siempre lo descargan y no pudimos obtener la versión actual. Sin embargo, las versiones del SDK de Ginkgo que nos llegaron de otras fuentes muestran anuncios e instalan aplicaciones sin el conocimiento del usuario.

La aplicación com.vlife.mxlock.wallpaper también contiene un archivo ejecutable cifrado y, en última instancia, tiene las funciones estándar para los módulos publicitarios grises, entre ellos la posibilidad de instalación oculta de aplicaciones.

Instalación oculta de aplicaciones.

Informamos a Meizu sobre los hallazgos anteriores, pero no recibimos una respuesta.


Además de archivos dudosos en dispositivos de cierto proveedor encontramos un problema que atañe a un enorme número de smartphones. En la memoria de muchos de ellos se encuentra el archivo file/bin/fotabinder, que puede descargar archivos a los dispositivos de los usuarios y ejecutar códigos recibidos de uno de los servidores remotos: adsunflower [.] com, adfuture [.] Cn o mayitek [.] com.

Lo más probable es que este archivo sea parte de un sistema de actualización o prueba, pero nos ponen en guardia las direcciones y funciones cifradas de servidor de administración que pueden proporcionar acceso remoto al dispositivo.

Pero ¿qué significa todo esto?

Los ejemplos que hemos examinado demuestran que el enfoque de algunos proveedores de dispositivos móviles puede desplazarse hacia la maximización de las ganancias gracias a todo tipo de herramientas publicitarias. Incluso si estas herramientas causan algunos inconvenientes al propietario del dispositivo. Si las redes publicitarias están listas para pagar dinero por vistas, clics e instalaciones, sin importar su fuente, vale la pena introducir bloques de anuncios en los dispositivos de manera forzada; esto aumentará las ganancias por cada dispositivo vendido.

Desafortunadamente, si un usuario compra un dispositivo con un “anuncio” preinstalado, a menudo es imposible eliminarlo sin riesgo de dañar el sistema. En estos casos, sólo queda esperar que los entusiastas creen un firmware alternativo para estos dispositivos. Pero hay que comprender que cambiar el firmware puede provocar la pérdida de la garantía e incluso dañar el dispositivo.

En el caso de aquellos módulos publicitarios que aún no han hecho nada dañino, al usuario solo le queda esperar que los desarrolladores, sin darse cuenta, no agreguen anuncios de ninguna red de afiliación maliciosa.







Category: Destacados
Date: Mon, 06 Jul 2020 10:00:18 +0000
Local date: Mon, 06 Jul 2020 10:00:18 +0000
Language: es-ES
Encoding: UTF-8
Feed type: RSS
itemImageWidth: 1174 px
itemImageHeight: 734 px
Pig in a poke: smartphone adware
Author: Igor Golovin
Link :
Email :
Description: Our support team continues to receive more and more requests from users complaining about intrusive ads on their smartphones from unknown sources.
Full content:

Our support team continues to receive more and more requests from users complaining about intrusive ads on their smartphones from unknown sources. In some cases, the solution is quite simple. In others, the task is far harder: the adware plants itself in the system partition, and trying to get rid of it can lead to device failure. In addition, ads can be embedded in undeletable system apps and libraries at the code level. According to our data, 14.8% of all users attacked by malware or adware in the past year suffered an infection of the system partition.

Why is that? We observe two main strategies for introducing undeletable adware onto a device:

  • The malware gains root access on the device and installs adware in the system partition.
  • The code for displaying ads (or its loader) gets into the firmware of the device even before it ends up in the hands of the consumer.

The Android security model assumes that an antivirus is a normal app, and according to this concept, it physically can not do anything with adware or malware in system directories. This makes adware a problem. The cybercriminals behind it stop at nothing that will earn them money from advertising (or rather, the forced installation of apps). As a result, malware can end up on the user’s device, such as CookieStealer.

As a rule, 1–5% of the total number of users of our security solutions encounter this adware (depending on the particular device brand). In the main, these are owners of smartphones and tablets of certain brands in the lower price segment. However, for some popular vendors offering low-cost devices, this figure can reach up to 27%.

Users who encountered malware or adware in the system partition as a percentage of the total number of Kaspersky users in the country, May 2019 — May 2020

Who’s there?

Among the most common types of malware installed in the system partition of smartphones are the Lezok and Triada Trojans. The latter is notable for its ad code embedded not just anywhere, but directly in libandroid_runtime — a key library used by almost all apps on the device. Although these threats were identified several years ago, users continue to run into them.

But Lezok and Triada are just the tip of the cyber iceberg. Below, we examine what else users face today and which system apps were found to contain “additional” code.

This obfuscated Trojan usually hides in the app that handles the graphical interface of the system, or in the Settings utility, without which the smartphone cannot function properly. The malware delivers its payload, which in turn can download and run arbitrary files on the device. payload functions

It’s interesting to note that sometimes there is no payload, and the Trojan is unable to perform its task.


The Sivu Trojan is a dropper masquerading as an HTMLViewer app. The malware consists of two modules and can use root permissions on the device. The first module displays ads on top of other windows, and in notifications.

The Trojan checks if it can show ads on top of an on-screen app

The second module is a backdoor allowing remote control of the smartphone. Its capabilities include installing, uninstalling, and running apps, which can be used to covertly install both legitimate and malicious apps, depending on the intruder’s goals.

Downloading, installing, and running apps


This adware app pretends to be a system service, calling itself Android Services ( It can download and install apps behind the user’s back, as well as display ads in notifications.

Secretly installing apps after the screen turns off

What’s more, Plague.f can display ads in SYSTEM_ALERT_WINDOW — a pop-up window that sits on top of all apps.


Agent.pac can imitate the CIT TEST app, which checks the correct operation of device components. At C&C’s command, it can run apps, open URLs, download and run arbitrary DEX files, install/uninstall apps, show notifications, and start services.

Running a downloaded DEX file


This Trojan dropper hides in an app called STS, which has no functions other than displaying ads. The downloaded code is obfuscated. It can deploy the ToastWindow function, which in this context is analogous to SYSTEM_ALERT_WINDOW — a window that sits on top of all apps.

It can also download and run code.

ToastWindow and launching third-party code


Unlike the previous Trojans, Necro.d is a native library located in the system directory. Its launch mechanism is built into another system library,, which handles the operation of Android services.

Launching the Trojan

At the command of C&C, Necro.d can download, install, uninstall, and run apps. In addition, the developers decided to leave themselves a backdoor for executing arbitrary shell commands.

Executing received commands

On top of that, Necro.d can download Kingroot superuser rights utility — seemingly so that the OS security system does not interfere with delivering “very important” content for the user.

Downloading Kingroot


We came across the malware Facmod.a in apps required for the smartphone to operate normally: Settings, Factory Mode, SystemUI. Our eye was caught by devices with not one, but two malicious modules embedded in SystemUI.

Decrypting the C&C address

The first module ( receives an address from the server ufz.doesxyz[.]com for downloading and running arbitrary code under the name DynamicPack:

Downloading and running third-party code

The second ( loads the payload from the encrypted file in the app’s resources. The payload solves the usual tasks (for this type of threat) of installing and running apps:

Stealthy installation of apps

In addition, Facmod.a has functions for periodically starting the browser and opening a page in it with advertising.


The Guerrilla.i Trojan is found in the Launcher system app, responsible for the functioning of the smartphone “desktop.” The Trojan is tasked with periodically displaying ads and opening advertising pages in the browser. Guerrilla.i receives the configuration file by calling htapi.getapiv8[.]com/api.php?rq=plug. This file can also contain an address for downloading an additional module extending the functionality.

Trojan-Dropper.AndroidOS.Guerrilla.i periodically displaying ads


This dropper can take cover in the Theme app (com.nbc.willcloud.themestore). Its features are not original: downloading, installing, and running apps without the user’s knowledge.

Trojan-Dropper.AndroidOS.Virtualinst.c installing apps


Another piece of adware that we discovered was built into the wallpaper catalog app. The payload of Secretad.c is contained in the file kgallery.c1ass. It gets unpacked and launched, for example, when the device is unlocked on or apps are installed:

Unpacking the payload

Secretad.c can display ads in full screen mode, open pages in the browser, or launch the advertised app itself. Like many other adware programs, Secretad.c can install apps without the user knowing about it.

Secretly installing apps

The app also has one more ad module:

Its payload is encrypted in the file assets/1498203975110.dat. Among other things, it can cause the advertised app’s page on Google Play to unexpectedly open, installed apps to start, or the browser to open.

Adware from the manufacturer

Some smartphones contain adware modules pre-installed by the manufacturers themselves. A few vendors openly admit to embedding adware under the hood of their smartphones; some allow it to be disabled, while others do not, describing it as part of their business model to reduce the cost of the device for the end user.

The user generally has no choice between buying the device at the full price, or a little cheaper with lifetime advertising. What’s more, we did not find any electronics store offering a clear warning to users that they would be forced to watch ads. In other words, buyers might not suspect that they are spending their cash on a pocket-sized billboard.


Meizu devices make no secret that they display ads in apps. The advertising is fairly unobtrusive, and you can even turn it off in the settings. However, in the preinstalled AppStore app (c4296581148a1a1a008f233d75f71821), we uncovered hidden adware able to load under the radar and display itself in invisible windows (such method is usually used to boost the number of showings), which eats up data and battery power:

Loading ads on the quiet

But that’s not all. The app can download and execute third-party JavaScript code:

Downloading and executing JS code

Furthermore, the pre-installed AppStore app can mute the sound, access text messages, and cut and paste their contents into loaded pages.

Reading text messages and using their contents in a web page

This approach is often used in outright malicious apps which, unbeknown to the user, sign up to paid subscriptions. One can only trust in the decency of the adware controllers, and hope that third parties do not gain access to it.

But AppStore is not the only suspicious app on Meizu devices. In Meizu Music ( 19e481d60c139af3d9881927a213ed88), we found an encrypted executable file used to download and execute a certain Ginkgo SDK:

Downloading Ginkgo SDK

What this SDK does can only be guessed at: not all Meizu devices download it, and we were unable to get hold of the latest version. However, the versions of Ginkgo SDK that we obtained from other sources display ads and install apps without the user’s knowledge.

The com.vlife.mxlock.wallpaper app (04fe069d7d638d55c796d7ec7ed794a6) also contains an encrypted executable file, and basically offers standard functions for gray-market adware modules, including the ability to install apps on the sly.

Secretly installing apps

We contacted Meizu to report our findings, but did not receive a response.


In addition to dubious files in devices from particular vendors, we found a problem affecting a huge number of smartphones. The memory of many devices contains the file /bin/fotabinder (3fdd84b7136d5871afd170ab6dfde6ca), which can download files to user devices and execute code on them received from one of the following remote servers: adsunflower[.]com, adfuture[.]cn, or mayitek[.]com.

This file is most likely part of the update or testing system, but the encrypted C&C addresses and functions providing remote access to the device raise a red flag.

What does it all mean?

The examples in our investigation show that the focus of some mobile device suppliers is on maximizing profits through all kinds of advertising tools, even if those tools cause inconvenience to the device owners. If advertising networks are ready to pay for views, clicks, and installations regardless of their source, it makes sense to embed ad modules into devices to increase the profit from each device sold.

Unfortunately, if a user purchases a device with such pre-installed advertising, it is often impossible to remove it without risking damage to the system.

In this case, all hopes rest on enthusiasts who are busy creating alternative firmware for devices. But it’s important to understand that reflashing can void the warranty and even damage the device.

As for ad modules have not yet done anything malicious, the user can only hope that the developers do not tack on ads from a malicious partner network without even realizing it themselves.









Category: Featured
Date: Mon, 06 Jul 2020 10:00:11 +0000
Local date: Mon, 06 Jul 2020 10:00:11 +0000
Language: en-US
Encoding: UTF-8
Feed type: RSS
itemImageWidth: 1174 px
itemImageHeight: 734 px
EncroChat: policías arrestan a 746 personas tras infiltrarse en una red cifrada de comunicación para criminales
Author: Securelist
Link :
Email :
Description: Una operación internacional ha resultado en el arresto de cientos de personas después de que la policía se infiltrara en una red de chat cifrado donde se organizaban y facilitaban crímenes de diferentes índoles. Los arrestos se pudieron ejecutar gracias… Leer el artículo completo
Full content:


Una operación internacional ha resultado en el arresto de cientos de personas después de que la policía se infiltrara en una red de chat cifrado donde se organizaban y facilitaban crímenes de diferentes índoles.

Los arrestos se pudieron ejecutar gracias a una acción conjunta entre la policía europea y la policía británica, que habían hecho el seguimiento de centenares de criminales que utilizaban los teléfonos ultra-seguros conocidos como EncroChat. EncroChat tenía alrededor de 60.000 usuarios en todo el mundo que pagaban una suscripción de casi 1.700 dólares por seis meses de servicio. Alrededor de 10.000 de esos usuarios se encontraban en el Reino Unido, lo que involucró a la policía británica en el operativo.El negocio de EncroChat consistía en poner a disposición de los usuarios equipos Android modificados de tal modo que se exacerbaban sus medidas de seguridad para garantizar el anonimato de quien los usara. Se alteraba el hardware para quitarle el GPS, cámara y micrófono y de este modo no poder ser rastreado, y se los equipaba con aplicaciones que permitían intercambiar mensajes cifrados y auto-destruibles. Además, tenían una funcionalidad para eliminar los datos del dispositivo de forma remota aunque no tuviesen acceso físico a él.

El servicio era utilizado principalmente por criminales para coordinar operaciones de lavado de dinero, entregas de drogas, tráfico de armas y hasta asesinatos. El operativo policial, que adoptó el nombre de Operación Venetic, es tan significativo que la policía británica lo considera el más grande de su historia: se arrestaron a 746 personas y se decomisaron 60 millones de dólares en efectivo, 77 armas de fuego y más de 2 toneladas de drogas.

La Agencia Nacional de lucha contra el Crimen del Reino Unido (NCA) ha estado tratando de desarticular EncroChat desde 2016. Finalmente dieron un paso importante hace dos meses, cuando las autoridades de Francia y Holanda lograron infiltrarse en la plataforma para vigilar a sus usuarios.

De esta manera, las autoridades tuvieron acceso directo a millones de mensajes y miles de imágenes en tiempo real. Toda esta información se compartió como evidencia con la Europol, que a su vez la derivó a diferentes países en los que se habían detectado evidencias de actividad criminal.

“Los efectos del operativo seguirán haciendo eco en los círculos criminales por muchos años, ya que la información se compartió con cientos de investigaciones activas y, a la vez, inició nuevas investigaciones sobre crimen organizado dentro y fuera del continente europeo”, dijo un portavoz de la Europol.

Police take down encrypted criminal chat platform EncroChat  • ZDNet
Hundreds arrested after police infiltrate secret criminal phone network • CNN
Police Arrested Hundreds of Criminals After Hacking Into Encrypted Chat Network • The Hacker

Category: News
Date: Mon, 06 Jul 2020 08:14:51 +0000
Local date: Mon, 06 Jul 2020 08:14:51 +0000
Language: es-ES
Encoding: UTF-8
Feed type: RSS
itemImageWidth: px
itemImageHeight: px
BlueLeaks: hackers filtran 269 GB de archivos de miles de policías y agentes del orden
Author: Securelist
Link :
Email :
Description: Un grupo de hackers ha expuesto una base de datos que contiene correos electrónicos, memos e información personal que identifica a miles de policías y agentes del orden de Estados Unidos. La filtración se da en el contexto de las… Leer el artículo completo
Full content:


Un grupo de hackers ha expuesto una base de datos que contiene correos electrónicos, memos e información personal que identifica a miles de policías y agentes del orden de Estados Unidos. La filtración se da en el contexto de las protestas del movimiento Black Lives Matter por el asesinato de George Floyd, que ha conmocionado al país norteamericano y al mundo por haber evidenciado un crimen racial a manos de la policía de Minneapolis.

La filtración, denominada “Blue Leaks”, fue publicada el viernes por un colectivo de hackers que se hace llamar DDoSecrets. Según informó The Wired, los datos fueron obtenidos por miembros del grupo Anonymous.

Los documentos filtrados incluyen algunos mensajes que exponen estrategias de la policía y sus formas de operación. Entre ellos, se encuentran archivos que indican que las agencias han estado siguiendo de cerca las actividades en las redes sociales relacionadas con Black Lives Matter para detectar a los responsables de organizar las protestas. También se ha mostrado que las autoridades intercambian fotografías de los autos y ropa de sospechosos.

El volumen de información expuesta es enorme: son 269 GB de información que pertenece al FBI y a departamentos de policías de todo Estados Unidos. Los datos registran las actividades de las autoridades durante la última década.

Pero los datos también incluyen información personal de los policías, incluyendo datos bancarios y direcciones de correo electrónico. Por esa razón, se mantiene la alerta ante la posibilidad de que las personas afectadas sufran todavía más ataques cibernéticos que traten de explotar los datos expuestos para llevar a cabo, por ejemplo, ataques phishing.

El mes pasado, Anonymous publicó un video demostrando su apoyo al movimiento Black Lives Matter y amenazando con exponer otros crímenes realizados por la policía de Minneapolis. Esta filtración se realiza en ese contexto.

El investigador de seguridad Brian Krebs ha confirmado que los datos filtrados son legítimos. Además, la National Fusion Center Association –que coordina los datos que se comparten entre las autoridades federales y locales- publicó un tweet que valida la información expuesta: “los análisis preliminares de los datos que contiene esta filtración sugieren que Netsential, una compañía que ofrece servicios web a varias agencias legales, de seguridad y otras entidades en Estados Unidos, fue el origen de la filtración”.

Twitter ha desactivado una cuenta que DDoSecrets estaba utilizando para difundir la información filtrada, y también está bloqueando los enlaces que dirigen a la base de datos. Si un usuario intenta ingresar, recibe un mensaje que le advierte que el contenido podría ser peligroso.

BlueLeaks: Huge Leak Of Police Department Data Follows George Floyd Protests • Forbes
‘BlueLeaks’ Data Dump Exposes 269GB of Files From Hundreds of Police Departments • PC Magazine
Hackers just leaked sensitive files from over 200 police departments that are searchable by badge number • Business Insider


Category: News
Date: Thu, 25 Jun 2020 14:07:36 +0000
Local date: Thu, 25 Jun 2020 14:07:36 +0000
Language: es-ES
Encoding: UTF-8
Feed type: RSS
itemImageWidth: px
itemImageHeight: px
Magnitude exploit kit – evolution
Author: Boris Larin
Link :
Email :
Description: Exploit kits still play a role in today’s threat landscape and continue to evolve. For this blogpost I studied and analyzed the evolution of one of the most sophisticated exploit kits out there – Magnitude EK – for a whole year.
Full content:

Exploit kits are not as widespread as they used to be. In the past, they relied on the use of already patched vulnerabilities. Newer and more secure web browsers with automatic updates simply do not allow known vulnerabilities to be exploited. It was very different back in the heyday of Adobe Flash because it’s just a plugin for a web browser, meaning that even if the user has an up-to-date browser, there’s a non-zero chance that Adobe Flash may still be vulnerable to 1-day exploits. Now that Adobe Flash is about to reach its end-of-life date at the end of this year, it is disabled by default in all web browser and has pretty much been replaced with open standards such as HTML5, WebGL, WebAssembly. The decline of exploit kits can be linked to the decline of Adobe Flash, but exploit kits have not disappeared completely. They have adapted and switched to target users of Internet Explorer without the latest security updates installed.

Microsoft Edge replaced Internet Explorer as a default web browser with the release of Windows 10 in 2015, but Internet Explorer is still installed for backward compatibility on machines running Windows 10 and it has remained a default web browser for Windows 7/8/8.1. The switch to Microsoft Edge development also meant that Internet Explorer would no longer be actively developed and would only receive vulnerability patches without general security improvements. Still, somehow, Internet Explorer remains a relatively popular web browser. According to NetMarketShare, as of April 2020 Internet Explorer is used on 5.45% of desktop computers (for comparison, Firefox accounts for 7.25%, Safari 3.94%, Edge 7.76%). Despite the security of Internet Explorer being five years behind that of its modern counterparts, it supports a number of legacy script engines. CVE-2018-8174 is a vulnerability in a legacy VBScript engine that was originally discovered in the wild as an exploited zero-day. The majority of exploit kits quickly adopted it as their primary exploit.

Since the discovery of CVE-2018-8174 a few more vulnerabilities for Internet Explorer have been discovered as in-the-wild zero-days: CVE-2018-8653, CVE-2019-1367, CVE-2019-1429, and CVE-2020-0674. All of them exploited another legacy component of Internet Explorer – a JScript engine. It felt like it was just a matter of time until exploit kits adopted these new exploits.

Exploit kits still play a role in today’s threat landscape and continue to evolve. For this blogpost I studied and analyzed the evolution of one of the most sophisticated exploit kits out there – Magnitude EK – for a whole year.

This blogpost in a nutshell:

  • Magnitude EK continues to deliver ransomware to Asia Pacific (APAC) countries via malvertising
  • Study of the exploit kit’s activity over a period of 12 months shows that Magnitude EK is actively maintained and undergoes continuous development
  • In February this year Magnitude EK switched to an exploit for the more recent vulnerability CVE-2019-1367 in Internet Explorer (originally discovered as an exploited zero-day in the wild)
  • Magnitude EK uses a previously unknown elevation of privilege exploit for CVE-2018-8641 developed by a prolific exploit writer


Magnitude EK is one of the longest-standing exploit kits. It was on offer in underground forums from 2013 and later became a private exploit kit. As well as a change of actors, the exploit kit has switched its focus to deliver ransomware to users from specific Asia Pacific (APAC) countries via malvertising.

Active attacks by Magnitude EK in 2019 according to Kaspersky Security Network (KSN) (download)

Active attacks by Magnitude EK in 2020 according to Kaspersky Security Network (KSN) (download)

Our statistic shows that this campaign continues to target APAC countries to this day and during the year in question Magnitude EK always used its own ransomware as a final payload.

Infection vector

Like the majority of exploit kits out there, in 2019 Magnitude EK used CVE-2018-8174. However, the attackers behind Magnitude EK were one of the first to adopt the much newer vulnerability CVE-2019-1367 and they have been using it as their primary exploit since February 11, 2020. As was the case with CVE-2018-8174, they didn’t develop their own exploit for CVE-2019-1367, instead reusing the original zero-day and modifying it with their own shellcode and obfuscation.

CVE-2019-1367 is a Use-After-Free vulnerability due to a garbage collector not tracking a value that was not rooted in the legacy JavaScript engine jscript.dll. By default, Internet Explorer 11 uses Jscript9.dll, but it’s still possible to execute the script using the legacy engine by enabling compatibility mode with Internet Explorer 7/8. This can be done with the following script attributes:

<meta http-equiv="x-ua-compatible" content="IE=EmulateIE8" />
        <script language="JScript.Compact">…</script>

        <meta http-equiv="x-ua-compatible" content="IE=EmulateIE8" />
        <script language="JScript.Encode">…</script>

The original exploit uses JScript.Compact, a special profile defined for embedded devices. But JScript.Encode is much more interesting because it was developed by Microsoft to protect scripts and prevent source code from being copied. This script attribute can execute scripts encoded with Microsoft Script Encoder (screnc.exe) and it also disables script debugging. Basically, it’s a DRM for JavaScript. Magnitude EK changed from its original exploit to take advantage of this feature.

Exploit packed with JScript.Encode technique

Unpacked exploit. Shellcode, names and some strings are obfuscated


Their shellcodes piqued my interest. They use a huge number of different shellcode encoders, from the classical Metasploit shikata_ga_nai encoder and DotNetToJScript to a variety of custom encoders and stagers.

It was also impossible not to notice the changes happening to their main shellcode responsible for launching the ransomware payload. The attackers are fine-tuning their arsenal on a regular basis.

Magnitude EK has existed since at least 2013, but below you can see just the changes to payload/shellcode that occurred over the period of one year (June 2019 to June 2020). During this period we observed attacks happening almost every day.

Timeline of shellcode/payload changes

Date Description
June 2019 Shellcode downloads a payload that’s decrypted with a custom xor-based algorithm. All strings are assembled on stack and to change payload the URL shellcode needs to be recompiled. The payload is a PE module. The module export function name is hardcoded to “GrfeFVGRe”. The payload is executed in an Internet Explorer process. It contains an elevation of privilege exploit with support for x86 and x64 versions of Windows and an encrypted ransomware payload. After elevation of privilege it injects the ransomware payload to other processes, spawns the wuapp.exe process and injects there as well. If process creation fails, it also runs the ransomware from the current process.
July 20, 2019 Payload module export function name is auto-generated.
November 11, 2019 Shellcode tries to inject the payload to other processes. If API function Process32First fails, it spawns the process wuapp.exe from Windows directory and injects the payload there. The injection method is WriteProcessMemory + CreateRemoteThread.

The payload is ransomware without elevation of privilege. The payload module export function name is hardcoded again, but now to “lssrcdxhg”.

November 20, 2019 Looks like they messed up the folder with shellcodes; in some attacks they use a shellcode from June, and later the same day they start to use their November shellcode with the new hardcoded export name “by5eftgdbfgsq323”.
November 23, 2019 They start to use the elevation of privilege exploit again, but now they also check the integrity level of the process. If it’s a low integrity process, then they execute the payload with the exploit in the current process; if that’s not the case, then it’s injected into other processes. The process is no longer created from shellcode, but it’s still created from the payload. The payload module export name is hardcoded to “gv65eytervsawer2”.
January 17, 2020 It looks like the attackers had a short holiday at the beginning of the year. The shellcode remains the same, but the payload module export function name is hardcoded to “i4eg65tgq3f4”. The payload changed a bit. The name of the created process is now assembled on stack. The name of the process also changed – it no longer spawns a wuapp.exe, but instead launches the calculator calc.exe and injects the ransomware payload there.
January 27, 2020 The payload is no longer a PE module but plain shellcode. The payload consists of ransomware without elevation of privilege.
February 4, 2020 The payload is a PE module again, but once again the export name is auto-generated.
February 10, 2020 The shellcode comes with two URLs for different payloads. The shellcode checks the integrity level and depending on process integrity level, it executes the elevation of privilege payload or uses the ransomware payload straightaway. All strings and function imports in the exploit are now obfuscated. The payload does not spawn a new process, and only injects to others.
February 11, 2020 Magnitude EK starts using CVE-2019-1367 as its primary exploit. The attackers use the shellcode from January 27, 2020, but they have modified it to check for the name of a particular process. If the process exists, they don’t execute the payload from Internet Explorer. The process name is “ASDSvc” (AhnLab, Inc.).
February 17, 2020 The attackers switch to the shellcode from February 10, 2020, but the payload module export function name is hardcoded to “xs324qsawezzse”.
February 28, 2020 Shellcode encryption is removed. The payload module export function name is hardcoded to “sawd6vf3y5”.
March 1, 2020 Strings are no longer stored on stack.
March 6, 2020 Back to the shellcode from February 17, 2020.
March 10, 2020 The attackers add some functionality implemented after February 17, 2020: payload encryption is removed and strings are no longer stored on stack. The payload module export function name is still hardcoded to “xs324qsawezzse”.
March 16, 2020 Functionality added so as not to inject into a particular process (explorer.exe). The injection method is also changed to NtCreateSection + NtMapViewOfSection + RtlCreateUserThread.
April 2, 2020 The attackers add some functionality similar to that used in November 2019. They check the integrity level of a process and if it’s a low integrity process, they execute the payload from the current process. If that’s not the case, they inject it to other processes (other than explorer.exe) and at the end create a new process and inject it there as well. The created processes are C:\Program Files\Windows Media Player\wmlaunch.exe or C:\Program Files (x86)\Windows Media Player\wmlaunch.exe depending on whether it’s a WOW64 process or not.
April 4, 2020 Shellcode updated to use a new injection technique: NtQueueApcThread. The shellcode also comes with a URL for a ransomware payload without elevation of privilege. The shellcode checks the integrity level and if it’s a low integrity process, the shellcode calls ExitProcess(). Use of the hardcoded export name “xs324qsawezzse” is also stopped.
April 7, 2020 Back to the shellcode from April 2, 2020.
May 5, 2020 Previously the attackers adjusted their injection method, but now they revert back to injection via the WriteProcessMemory + CreateRemoteThread technique.
May 6, 2020 They continue to make changes to the code injection method. From now on they use NtCreateThreadEx.


Elevation of privilege exploit

The elevation of privilege exploit used by Magnitude EK is quite interesting. When I saw it for the first time, I wasn’t able to recognize this particular exploit. It exploited a vulnerability in the win32k kernel driver and closer analysis revealed that this particular vulnerability was fixed in December 2018. According to Microsoft, only two win32k-related elevation of privilege vulnerabilities were fixed that month – CVE-2018-8639 and CVE-2018-8641. Microsoft previously shared more information with us about CVE-2018-8639, so we can say with some certainty that the encountered exploit uses vulnerability CVE-2018-8641. The exploit has huge code similarities with another zero-day that we had found previously – CVE-2019-0859. Based on these similarities, we attribute this exploit to the prolific exploit writer known as “Volodya”, “Volodimir” or “BuggiCorp”. Volodya is famous for selling zero-day exploits to both APT groups and criminals. In the past, Volodya advertised his services at exploit(dot)in, the same underground forum where Magnitude EK was once advertised. We don’t currently know if the exploit for CVE-2018-8641 was initially used as a zero-day exploit or it was developed as a 1-day exploit through patch diffing. It’s also important to note that a public exploit for CVE-2018-8641 also exists, but it’s incorrectly designated to CVE-2018-8639 and it exploits the vulnerability in another fashion, meaning there are two completely different exploits for the same vulnerability.


Magnitude EK uses its own ransomware as its final payload. The ransomware comes with a temporary encryption key and list of domain names and the attackers change them frequently. Files are encrypted with the use of Microsoft CryptoAPI and the attackers use Microsoft Enhanced RSA and AES Cryptographic Provider (PROV_RSA_AES). The initialization vector (IV) is generated pseudo randomly for each file and a 0x100 byte long blob with encrypted IV is appended to the end of the file. The ransomware doesn’t encrypt the files located in common folders such as documents and settings, appdata, local settings, sample music, tor browser, etc. Before encryption, the extensions of files are checked against a hash table of allowed file extensions that contains 715 entries. A ransom note is left in each folder with encrypted files and at the end a notepad.exe process is created to display the ransom note. To hide the origin of the executed process, the ransomware uses one of two techniques: “wmic process call create” or “pcalua.exe –a … -c …”. After encryption the ransomware also attempts to delete backups of the files with the “wmic shadowcopy delete” command that is executed with a UAC-bypass.

Example of Magnitude EK ransom note

The core of the ransomware did not undergo many changes throughout the year. If we compare old samples with more recent versions, there are only a few notable changes:

  • In older versions, immediately at launch the payload gets the default UI language of the operating system using the GetSystemDefaultUILanguage API function and compares the returned value against a couple of hardcoded language IDs (e.g. zh-HK – Hong Kong S.A.R., zh-MO – Macao S.A.R., zh-CN – People’s Republic of China, zh-SG – Singapore, zh-TW – Taiwan, ko-KR – Korea, ms-BN – Brunei Darussalam, ms-MY – Malaysia). If the language ID doesn’t match, then ExitProcess() will be executed. In newer versions, the check for the language ID was removed.
  • In older versions, the ransomware deletes file backups with the command “cmd.exe /c “%SystemRoot%\system32\wbem\wmic shadowcopy delete” via UAC-bypass in eventvwr.exe. In the newer version, the command is obfuscated with caret character insertion “cmd.exe /c “%SystemRoot%\system32\wbem\wmic ^s^h^a^d^o^w^c^o^p^y^ ^d^e^l^e^t^e” and executed via UAC-bypass in CompMgmtLauncher.exe.


The total volume of attacks performed by exploit kits has decreased, but they still exist, are still active, and still pose a threat, and therefore need to be treated seriously. Magnitude is not the only active exploit kit and we see other exploit kits that are also switching to newer exploits for Internet Explorer. We recommend installing security updates, migrating to a newer operating system (make sure you stay up to date with Windows 10 builds) and also not using Internet Explorer as your web browser. Throughout the entire Magnitude EK campaign we have detected the use of Internet Explorer exploits with the verdict PDM:Exploit.Win32.Generic.


Category: Featured
Date: Wed, 24 Jun 2020 10:00:16 +0000
Local date: Wed, 24 Jun 2020 10:00:16 +0000
Language: en-US
Encoding: UTF-8
Feed type: RSS
itemImageWidth: 1200 px
itemImageHeight: 776 px
Contenidos explícitos y ciberamenazas: Informe de 2019
Author: Kaspersky
Link :
Email :
Description: En el último par de años hemos escrito varios artículos sobre cómo se usaron los contenidos para adultos para propagar malware y abusar de la privacidad de los usuarios. Se trata de una tendencia que no está en riesgo de desaparecer, especialmente bajo las circunstancias actuales.
Full content:

“Quédate en casa” es el nuevo lema para 2020 y ha llevado a muchos cambios en nuestra vida diaria, especialmente en cuanto a nuestro consumo de contenidos digitales. El confinamiento ha hecho que los usuarios opten por buscar entretenimiento en línea, con lo que las actividades maliciosas relacionadas también han experimentado un aumento. En el último par de años hemos escrito varios artículos sobre cómo se usaron los contenidos para adultos para propagar malware y abusar de la privacidad de los usuarios. Se trata de una tendencia que no está en riesgo de desaparecer, especialmente bajo las circunstancias actuales. Si bien muchas plataformas de pornografía están disfrutando de la afluencia de nuevos usuarios y proveen servicios legítimos y seguros, los riesgos de seguridad se mantienen, si es que no han aumentado.

Una de las principales preocupaciones relacionadas con los contenidos para adultos son los riesgos que representan para la privacidad. Cada año que pasa, la privacidad es un recurso cada vez más escaso, y los dispositivos móviles son los nuevos objetivos favoritos de las infecciones. Con las fugas de datos que son cada vez más frecuentes, el abuso de la privacidad y su valor han vuelto al debate, y es ahora un motivo de preocupación para muchos usuarios que en el pasado podrían haberle restado importancia. La nueva realidad muestra que esta tendencia es real y bastante tangible. Hoy en día es ampliamente aceptado el acuerdo social que implica el intercambio de datos personales por servicios. Sin embargo, es algo completamente diferente si los datos que el usuario no tenía la intención de compartir terminan siendo expuestos. Una situación de esta naturaleza puede traer consecuencias devastadoras e incluso poner en riesgo la propia vida. Nuestras preferencias sexuales y nuestra vida sexual probablemente encabecen la lista de cosas que todos nosotros, como sociedad, preferimos mantener en privado, con un 28% de usuarios que creen que las búsquedas relacionadas con sexo deben mantenerse en el anonimato. Sin embargo, los ciberdelincuentes parecen tener otra opinión.

Las últimas noticias sobre fugas de datos relacionados con pornografía confirman esta tendencia. La fuga de contenidos para adultos que sufrió OnlyFans, creados por trabajadoras sexuales, que no solo son una fuente de ingresos para ellas, sino que también es información que no eligieron compartir públicamente, es otro incidente notable. Este y otros ejemplos muestran cómo las fugas de información violan las vidas personales, por qué son dañinas e incluso peligrosas. La fuga de datos personales de más de 1195 millones de usuarios desde un sitio de pornografía Hentai es otro ejemplo de cómo se abusó de datos que no estaban destinados a ser de conocimiento público, que puso en peligro a numerosos usuarios. Estos incidentes suceden con cada vez mayor frecuencia, y las organizaciones que administran estos datos no pueden deslindarse de su responsabilidad: con gran frecuencia, los datos de los usuarios no están cifrados ni bajo la debida protección, a pesar de ser un blanco tentador para los ciberdelincuentes que buscan lucrar con ellos.

Pero, por supuesto, hay mucho más debajo de la superficie. Para conocer qué amenazas acechan a los consumidores de contenidos para adultos, llevamos a cabo la siguiente investigación.

Metodología y principales resultados

Para comprender los riesgos que pueden estar asociados con los contenidos pornográficos en línea, investigamos diferentes tipos de amenazas. Evaluamos malware para PCs y dispositivos móviles disfrazado de contenidos para adultos para ver qué tipo de archivos peligrosos podrían estar descargando los usuarios. También hicimos pruebas para ver en qué medida los ciberdelincuentes utilizan contenidos violentos y aplicaciones de citas “para adultos” como camuflaje para distribuir sus programas maliciosos. Analizamos el aspecto de la privacidad del consumo de contenidos para adultos y los peligros asociados con las violaciones a la privacidad, desde el malware dedicado a la caza de credenciales, sitios web pornográficos, hasta qué tipo de contenidos relacionados con sexo se filtran a la web oscura. También estudiamos el phishing y spam relacionados con pornografía y citas sexuales para ver qué tipo de contenidos deberían preocupar a los usuarios. Mediante Kaspersky Security Network (KSN, una infraestructura dedicada al procesamiento de flujos de datos relacionados con la ciberseguridad, y que cuenta con el aporte de millones de participantes voluntarios de todo el mundo) medimos el número y el tipo de amenazas con que los usuarios se toparon en los últimos años.

Además, nos sumergimos en los mercados clandestinos en línea para averiguar qué tipo de datos personales vinculados con sexo estaban a la venta y qué tipo de estafas se discutían en las fraternidades de ciberdelincuentes.

Como resultado, descubrimos lo siguiente:

  • Las amenazas para dispositivos móviles están en alza, mientras que el malware y las aplicaciones potencialmente no deseadas para PC han ido perdiendo su atractivo para los ciberdelincuentes. La cantidad de usuarios móviles atacados aumentó más del doble, de 19 699 en 2018 a 42 973 en 2019. Por el contrario, hubo una caída en las amenazas basadas en PC, de 135 780 usuarios atacados en 2018 a 106 928 en 2019.
  • A los ciberdelincuentes les interesa sobre todo la flexibilidad del malware que distribuyen: casi dos de cada cinco usuarios atacados por amenazas para PC relacionadas con pornografía han sido atacados por troyanos descargadores (39,6%), que permiten la instalación posterior de otros tipos de programas maliciosos.
  • La cantidad de usuarios atacados por malware diseñado para recopilar credenciales de acceso a sitios web de pornografía ha disminuido, mientras que el número de ataques con malware sigue aumentando, del 37% desde 2018 a 2019, llegó a un total de 1 169 153 en 2019. Esto revela la persistencia de las redes zombi, o botnets, en sus ataques contra los mismos usuarios, un escenario completamente diferente al de 2018.
  • La privacidad se ha convertido en una gran preocupación para los usuarios de contenidos para adultos. Cosas como la filtración de imágenes personales y el robo de suscripciones premium para sitios de pornografía siguen teniendo una alta demanda, y el tema del sexo sigue siendo utilizado por los ciberdelincuentes como una forma fácil de ganar dinero.

Amenazas para PC

El malware se propaga por la red, disfrazado de archivos o actualizaciones para software, y se distribuye a través de numerosos sitios web en todo el espacio digital. El sistema de distribución es vital para el éxito del malware. En el pasado, era muy popular la técnica conocida como ‘black SEO‘, que permitía que sitios maliciosos aparecieran entre los primeros resultados de búsqueda, pero ahora los motores de búsqueda han tomado medidas efectivas para impedirlo, y los ciberdelincuentes han recurrido a otros canales.

Los programas maliciosos suelen distribuirse mediante redes afiliadas de sitios web para compartir contenidos pornográficos (vimos un caso similar, aunque sobre un tema menos carnal, en uno de nuestros últimos informes sobre el troyano Shlayer). Más aun, los ciberdelincuentes pueden crear estos sitios web usando sitios web de plantillas pornográficas: estos servicios están disponibles de forma gratuita, y su objetivo principal es vender publicidad para crear una fuente de ingresos para los propietarios. Teniendo el control sobre el contenido de un sitio web desde donde se distribuye malware de extorsión sexual, los ciberdelincuentes pueden limitar sus víctimas a su público objetivo.

Los sitios web legítimos también pueden convertirse en fuente de amenazas, a menudo sin notarlo, con enlaces maliciosos plantados en la sección de comentarios o a través del uso de programas publicitarios maliciosos, o malvertising. Si bien los sitios web de pornografía más populares están bien protegidos y muy raras veces son fuente de malware, no pasa lo mismo con muchos otros. En general, esto muestra que la descarga de cualquier elemento desde la web siempre conlleva riesgos que el usuario debe sopesar.

Etiquetas porno = etiquetas malware

Casi cualquier contenido que tenga demanda puede ser usado como carnada por los ciberdelincuentes, y esto es particularmente cierto para el entretenimiento en línea. Nuestra anterior investigación demostró que la mejor manera de hacer llegar los archivos infectados a los dispositivos de las víctimas es camuflarlos como algo que están buscando. En el caso de los contenidos para adultos, el uso de etiquetas porno ha resultado ser un método popular. El término ‘etiqueta porno’, o ‘porn tag’, se utiliza para clasificar los videos pornográficos por géneros. Cada sitio web de pornografía tiene una página dedicada a las etiquetas porno, y la cantidad de videos disponibles con estas etiquetas reflejan la popularidad de sus contenidos.

Anteriormente, para determinar la prevalencia de las amenazas que se camufla como contenido pornográfico, analizamos las 100 etiquetas más populares. El análisis reveló una correlación entre la popularidad de las etiquetas porno y los archivos infectados disfrazados como contenidos para adultos: gran parte de los programas maliciosos se distribuyen camuflados o usando algunas de las etiquetas más comunes. Esto significa que no es necesario analizar las 100 etiquetas para comprender el panorama de las amenazas. Este año nos limitamos a analizar las 10 etiquetas más populares y las comparamos con nuestra base de datos de amenazas y con la telemetría de Kaspersky. Seleccionamos las etiquetas más populares en base a la información de los tres sitios web de pornografía más visitados, y elegimos aquellos con la mayor cantidad de video subidos.

La comparación entre los resultados de 2018 y 2019 mostró que disminuyó la cantidad de usuarios atacados por esta amenaza: de 135 780 a 106 928, así como el número de ataques: de 148 419 a 108 973. Sin embargo, esto no es señal de que la amenaza haya perdido importancia. Los resultados mostraron una amplia variedad de archivos infectados tanto por malware como por amenazas del tipo not-a-virus, entre ellas herramientas peligrosas, adware y descargadores. De hecho, en 2019 se propagaron 473 familias de malware y amenazas del tipo not-a-virus pertenecientes a 32 variedades, un poco menos que en 2018: 527 familias y 30 variedades.

Archivos únicos propagados, cantidad de usuarios afectados y número de detecciones de archivos maliciosos camuflados como contenido para adultos para PC en 2018 y 2019. Fuente: Kaspersky Security Network (descargar)

Observando las amenazas que atacaron a la mayoría de los usuarios, vemos un incremento en el porcentaje de los troyanos descargadores: un tipo de programa malicioso que una vez instalado en el dispositivo de la víctima, es capaz de descargar cualquier otro programa. Dos de cada tres usuarios (39%) que descargaron malware disfrazado como contenidos pornográficos fueron atacados por esta amenaza. Los troyanos descargadores permiten que los atacantes adapten su estrategia e infecten a sus víctimas con cualquier programa malicioso que consideren más efectivo y rentable.

Una vez lanzado, Trojan-Downloader.Win32.Autoit.vzu distrae al usuario con el video deseado mientras descarga y ejecuta, sin que el usuario se entere, otro archivo malicioso en el dispositivo infectado

Otros tipos de troyanos también son atractivos para los ciberdelincuentes, seguidos por amenazas no virales, como descargadores y adware. Es importante notar que los troyanos secuestradores y las puertas traseras, relativamente peligrosos, siguen en el TOP 10. Estas amenazas han ido disminuyendo desde hace tiempo, pero vemos que no se han vuelto obsoletas. En particular, es probable que los programas secuestradores, o ransomware, que propagan archivos con contenidos pornográficos se concentren en usuarios de contenidos ilícitos que no desean que nadie se entere.

TOP 10 de tipos de amenazas camufladas como categorías de pornografía, por el número de usuarios atacados en 2018 y 2019. Fuente: Kaspersky Security Network (descargar)

Una mirada más atenta a los nombres de detección más comunes revela que la diferencia entre las amenazas más importantes en 2018 y 2019 es mínima. Los descargadores se popularizaron por su ya mencionada flexibilidad: seis de las 10 principales detecciones en 2019. El adware y los descargadores no virales también han seguido propagándose.

Top 10 de nombres de detección para amenazas disfrazadas como contenidos pornográficos, por el número de usuarios de PC atacados, en 2018 y 2019. Fuente: Kaspersky Security Network (descargar)

Cazadores de credenciales

En plena era digital, virtualmente cualquier persona corre el riesgo de perder su información personal, y en particular, sus valiosas credenciales. Para automatizar la recopilación de estos datos, los ciberdelincuentes utilizan los cazadores de credenciales: un tipo de malware cuyo propósito es robar los datos de inicio de sesión para varios sitios y servicios. Rastreamos este tipo de malware utilizando nuestra tecnología de rastreo de redes zombi, que permite el monitoreo de estas redes activas, recopila inteligencia y previene contra amenazas emergentes.

Una vez instalado en una PC, este malware puede monitorear qué páginas web se abren, o puede crear otras falsas donde le pide al usuario que introduzca su inicio de sesión y su contraseña. Esta técnica es muy utilizada para robar datos bancarios, aunque los sitios de pornografía tampoco le son inmunes.

La dinámica de las actividades de las botnets en relación a los contenidos pornográficos durante los tres últimos años muestra una tendencia curiosa: habiendo captado la atención de varios grupos en 2018, comenzó a declinar en 2019, aunque el número total de ataques siguió creciendo. Esto se refleja tanto en una significativa disminución de la cantidad de usuarios afectados por los robos de sus cuentas en sitios pornográficos mediante redes zombi en 2019, así como una baja en la variedad de redes zombi utilizadas para cazar credenciales. Por ejemplo, en 2017 solo tres familias cazaban cuentas relacionadas con pornografía; en 2018, este número subió a cinco familias, mientras que en 2019 se redujo a una sola, llamada Ramnit. Esto confirma además que en algún momento en 2018 más actores se involucraron en el robo de contraseñas para sitios de pornografía, pero por alguna razón este interés decayó en 2019.

Número de usuarios atacados y detecciones de ataques desde redes zombi que cazan cuentas premium de pornografía, 2017-2019. Fuente: Kaspersky Security Network (descargar)

La cantidad de sitios afectados en 2019 fue la misma que en el año anterior. Los sitios web y, ambos entre los tres sitios de pornografía más visitados según las estadísticas publicadas en 2020 de, fueron atacados en 2019. Puesto que los ataques se concentraron en una sola familia, el número de usuarios afectados también disminuyó en un 65%: de 110 000 en 2018, a 38 846 en 2019. Sin embargo, la cantidad de ataques siguió creciendo en un 37% entre 2018 y 2019, llegando a 1 169 153, lo que muestra la persistencia de las redes zombi en sus ataques contra los mismos usuarios.

En general, podemos afirmar que, aunque menos ciberdelincuentes se interesaron en robar credenciales desde sitios de pornografía, la amenaza sigue vigente y se concentra solo en los sitios más visitados, lo que significa que los ciberdelincuentes comprenden muy bien el potencial de la demanda de credenciales en el mercado negro.

Amenazas móviles

Para conocer más las amenazas móviles relacionadas con contenidos ilícitos, revisamos todos los archivos camuflados como videos porno o paquetes de instalación de contenidos para adultos para Android en 2018 y 2019. Si bien seguimos usando etiquetas porno como criterio de filtrado, tal como lo hicimos para el análisis de amenazas basadas en PC, la metodología fue levemente distinta. Cotejamos 200 etiquetas porno populares con nuestra base de datos de amenazas para comprender mejor las amenazas móviles relacionadas con pornografía. El análisis arrojó resultados para 105 etiquetas en 2018 y para 99 en 2019, lo que demuestra que no todo lo porno atrae a los ciberdelincuentes. Aunque se usaron menos etiquetas para la propagación de archivos maliciosos disfrazados como pornografía, en 2019 la cantidad de usuarios atacados por malware relacionado con pornografía y amenazas del tipo not-a-virus se duplicó, alcanzado los 42 973, en comparación a los 19 699 en 2018.

También cotejamos por separado 40 etiquetas porno ‘violentas’ con la misma base de datos de detecciones en dispositivos Android. La categoría violenta incluía una variedad de etiquetas asociadas con violencia sexual contra otra persona. La hipótesis fue que más etiquetas prono inusuales pueden demostrar un desmesurado alto nivel de actividades maliciosas. Sin embargo, los resultados mostraron que estas etiquetas eran muy poco utilizadas para propagar malware, con 270 usuarios atacados en 2018, y 133 en 2019.

El análisis de los tipos de amenazas propagadas mediante estos archivos relacionados con pornografía demostró un ligero crecimiento en su variedad: en 2018 encontramos 180 programas maliciosos y familias de not-a-virus que pertenecían a 20 clases de amenazas, en comparación a los 203 de 20 clases en 2019. El adware, un programa utilizado para mostrar y desviar a los usuarios hacia páginas de publicidad no deseada, permaneció en el primer lugar en cuanto a variedad, con un quinto (19%) de archivos maliciosos que eran instaladores de adware. not-a-virus: Las herramientas peligrosas y los troyanos se mantuvieron entre los primeros tres tipos de amenazas en 2018 y 2019, aunque sus porcentajes apenas han variado.

Top 10 de tipos de amenazas móviles que conforman la variedad de categorías de pornografía, en 2018 y 2019. Fuente: Kaspersky Security Network (descargar)

La proporción de troyanos bancarios que cazan credenciales de tarjetas bancarias y de otras plataformas de pagos, cayó del 7% al 5%. Sin embargo, en general, podemos ver que los tipos de amenazas que se han propagado disfrazadas como contenido para adultos apenas ha cambiado en cuanto a su variedad.

Profundizando el análisis de los tipos de amenazas y la medida de su propagación, podemos ver que gran parte de los usuarios han sido atacados con adware detectado como AdWare.AndroidOS.Agent.f.: en 2018,  el 39,23% de los usuarios atacados fueron atacados por esta amenaza, y en 2019, el 35,18%. Además, en 2018 seis de las 10 principales amenazas para usuarios móviles eran adware, mientras que en 2019 eran siete. Esto también confirma que la popularidad del adware sigue en alza.

Top 10 de nombres de detección que representan categorías de pornografía, por el número de usuarios móviles atacados en 2018 y 2019. Fuente: Kaspersky Security Network (descargar)

Este tipo de amenaza suele propagarse a través de varios programas afiliados que ganan dinero por cada instalación o por cada descarga de las aplicaciones maliciosas por parte de las víctimas, un método que ya mencionamos anteriormente.

El análisis general de la prominencia de varios tipos de amenazas muestra que aunque la descarga de contenidos pornográficos desde fuentes no confiables lleva a infecciones con adware, otras amenazas más serias, como las puertas traseras, programas espía y programas secuestradores, también pueden terminar en los dispositivos de usuarios desprevenidos.

Aunque las citas de adultos es un tema que interesa a los ciberdelincuentes (ver la sección sobre phishing y spam), el desarrollo de aplicaciones maliciosas disfrazadas como aplicaciones de citas sexuales no parece llamar su atención. Este año analizamos una variedad de amenazas que se propagaron disfrazadas como aplicaciones populares de citas sexuales. Las aplicaciones de citas sexuales, a diferencia de las aplicaciones de citas comunes, se concentran en encontrar una pareja para encuentros sexuales, lo que significa que estas aplicaciones tienen un público claramente identificado.

Nos interesaba saber si los ciberdelincuentes usaban marcas populares de aplicaciones de citas sexuales para propagar su malware o amenazas del tipo not-a-virus. Sin embargo, el número de usuarios atacados resulto ser ínfimo: apenas 32 en todo 2019. Esto es muchas veces menos en comparación con las aplicaciones de citas comunes, como Bumble o Tinder, por lo que los archivos maliciosos camuflados como aplicaciones de citas sexuales no suelen ser una amenaza para los usuarios. Esto podría atribuirse a que la descarga de dichas aplicaciones exige una mayor privacidad y, por lo tanto, se presta más atención a la legitimidad del recurso.

Nuestra investigación reveló que las muestras de aplicaciones maliciosas usaban las siguientes marcas: Grindr, Down Dating and Tingle. Es importante notar que los programas maliciosos no están conectados de forma alguna con las aplicaciones de citas sexuales y solo utilizan sus marcas para engañar a los usuarios.

Nombre de detección %
not-a-virus:UDS:AdWare.AndroidOS.MobiDash.z 55,17%
not-a-virus:HEUR:AdWare.AndroidOS.MobiDash.z 51,72% 10,34% 6,90%
not-a-virus:HEUR:AdWare.AndroidOS.Mobidash.aj 6,90%

Top 5 de nombres de detecciones de amenazas móviles disfrazadas como aplicaciones de citas para adultos en 2019. Fuente: Kaspersky Security Network

Phishing y spam

Los phishers y los spammers no se resisten al uso de los temas de pornografía. Nuestras tecnologías de filtrado de contenidos nos revelan el tipo de spam y phishihg de pornografía que llegan a los usuarios, además que nos permiten protegerlos.

Es importante notar que las versiones phishing de sitios web no guardan ninguna relación con las plataformas originales. Los ciberdelincuentes copian los sitios web, a menudo hasta con el más mínimo detalle, por lo que un usuario poco preocupado por su seguridad no podría diferenciarlo del original. Para que los sitios webs aparezcan lo más confiables posible, los ciberdelincuentes optan por copiar las plataformas más populares y reconocidas por los usuarios, como,, y otras. Estos sitios de phishing suelen ser bloqueados por los motores de búsqueda, por lo que se propagan por mensajes de correo de phishing o spam, programas maliciosos o marcos maliciosos que desvían a los usuarios hacia sitios infectados o de publicidad maliciosa (malvertising).

El objetivo común de estas páginas de phishing es recopilar los datos personales de los usuarios (sus credenciales y datos de contacto) para después venderlos o usarlos con fines perversos. Algunos sitios web requieren autorizaciones de redes sociales para acceder al sitio web: esto se hace para confirmar que el usuario es mayor de 18 años. Los ciberdelincuentes replican estas páginas de autorización para capturar las credenciales de redes sociales de los usuarios cuando inician sesión.

Esta página de phishing imita la página de autorización para Pornhub mediante una conocida red social. Una vez que el usuario inicia sesión, sus credenciales de redes sociales caen en manos de los ciberdelincuentes

Las páginas de phishing de pornografía también se usan para propagar programas maliciosos: una vez que el usuario reproduce un video, recibe una notificación de que el reproductor de video necesita una actualización. Sin embargo, el programa que descarga es en realidad un programa malicioso.

Esta copia de phishing del popular sitio imita la página de inicio legítima del sitio, y es prácticamente imposible distinguirla de la original

Otros esquemas de phishing apuntan a las credenciales de billeteras electrónicas y tarjetas de crédito. En estos casos, se induce a la víctima a visitar sitios web de pornografía para ver un video que solo es accesible cuando el usuario se inscribe y proporciona sus datos de pago.

Estafas por spam

Por algunos años no vimos mucha actividad de contenidos de pornografía o sexo en el spam, pero en 2019 la situación cambió. Los mensajes de correo de spam no suelen concentrase en la promoción de contenidos de pornografía como tales, sino que, usando técnicas de ingeniería social, se usan para inducir al usuario a visitar sitios de phishing, extorsionarlos para arrebatarles su dinero o simplemente llevarlo a sitios de publicidad con contenidos explícitos.

El tipo más común de spam es el dedicado a las citas sexuales. Los usuarios reciben mensajes de correo supuestamente enviados por mujeres solitarias que les invitan a charlar en línea. Luego, los usuarios son desviados hacia un nuevo sitio web de citas sexuales con bots que fingen ser atractivas mujeres que luego engatusan a los usuarios para que gasten su dinero en distintos contenidos, como fotos eróticas o acceso premium al sitio web. Los ciberdelincuentes también piden a los usuarios que compartan los datos de sus tarjetas de crédito para poder ‘confirmar su edad’. Huelga decir que estos datos después serán utilizados o revendidos en foros de mercados clandestinos.

Los mensajes de correo dedicados a las citas sexuales pueden verse como publicidad o como mensajes enviados directamente por mujeres

Esta interfaz de una aplicación de citas sexuales muestra varios diálogos de bots que fingen ser atractivas mujeres

A los usuarios se les pide que compartan los datos de sus tarjetas de crédito que se utilizarán para activar una supuesta membresía gratuita en el sitio

También hemos visto spam que promueve juegos de pornografía en línea. Algunos de los mensajes de correo contienen publicidad de plataformas donde los usuarios pueden acceder a juegos para mayores de 18 años, como juegos arcade porno 3D y mirar contenidos explícitos que en realidad llevan a sitios web legítimos. El principal propósito de estos mensajes de correo de spam es la publicidad de estos contenidos.

El mensaje de correo arriba contiene publicidad de un sitio web de juegos porno 3D

Uno de los tipos más oscuros y posiblemente más dañinos de pornospam son los mensajes con chantajes o ‘estafas de extorsión sexual’, que los ciberdelincuentes han estado utilizando por más de tres años. Vimos el surgimiento de estos mensajes en 2018, y sus contenidos se han vuelto cada vez más sofisticados. Esta tendencia continuó en 2019, cuando en toda la web aparecieron nuevas variantes de las estafas.

El esquema funciona así: el usuario recibe mensajes de correo de estafadores que afirman haber hackeado su computadora y haberlo grabado mirando pornografía. Los mensajes continúan diciendo que el remitente tiene la información de contacto de los amigos y familiares de la víctima, así como sus credenciales de redes sociales y que los usará para difundir un video de la víctima grabado con una cámara web. Para que el mensaje suene más convincente aún, el ciberestafador también menciona las tecnologías que supuestamente utilizó para recopilar información sobre la víctima.

Para pretender mayor legitimidad, el extorsionista afirma tener información personal de la víctima, por ejemplo, su contraseña. El ciberestafador puede incluso llegar a revelar la contraseña que supuestamente usa la víctima. Para ello, los ciberdelincuentes usan bases de datos de contraseñas que compran en la web oscura. Puesto que los usuarios suelen tener la misma contraseña para diferentes sitios web, puede resultar fácil convencer a la víctima de que sus dispositivos están intervenidos, incluso si la contraseña no corresponde a ninguna cuenta. Tras asustar a la víctima y convencerla de que su reputación está en riesgo, el estafador exige un pago en bitcoins, e incluso proporciona instrucciones detalladas sobre cómo realizar la transferencia del dinero.

Este mensaje de extorsión sexual muestra la manera en que los ciberdelincuentes intentan convencer a la victima de que ha sido hackeada

El año pasado vimos algunas variaciones de estas estafas: mensaje de correo enviados en otro idioma y el número bitcoin partido en dos, de manera que los sistemas de detección no lo identifiquen como spam. Otro truco de ingeniería social: convencer a la victima de que la novia de uno de sus amigos fue descubierta en cierta situación y chantajeada, pero que se negó a pagar, y se induce al usuario, explotando su curiosidad, a hacer clic en adjuntos maliciosos del mensaje, cuyo único objetivo es descargar malware. Esto demuestra que los ciberdelincuentes no cesan en adaptar sus esquemas en función de los avances en las medidas de seguridad y del comportamiento de los usuarios.

La web oscura y más allá: Un vistazo al mercado detrás de la cortina

La web oscura es el lugar adecuado para entender cómo funciona el mercado de los ciberdelincuentes. Existen varios foros donde se negocia la venta de malware, datos personales, y el intercambio de conocimientos, y a menudo son bastantes prácticos. También reflejan el valor de mercado de los datos personales robados. La venta de datos es como cualquier otro negocio, y la forma en que está organizado es similar a la de cualquier mercado regular, con garantías de parte de los vendedores, una variedad de opciones y precios competitivos.

Ejemplo de una entrada en un foro en 2019, ofrecía cuentas robadas por un precio muy bajo y además proporcionaba recomendaciones para el precio de reventa

Las cuentas premium de sitios web con contenidos para adultos, que tratamos en la sección Cazadores de credenciales en este informe, terminan en los mercados de la web oscura, donde se venden al por mayor y al detalle a precios bajos: a partir de 0,50 USD por cuenta. Las cuentas suelen revenderse en plataformas en la web regular por 5-10 USD, y los vendedores incluso recomiendan los precios de reventa de las cuentas individuales. Además, los compradores de las cuentas robadas a menudo obtienen una garantía de por vida de que las cuentas seguirán funcionando y siendo accesibles, con la opción de remplazar aquellas que ya no estén disponibles. Los ejemplos de abajo muestran cuán extendida es esta práctica: en un solo foro encontramos 210 ofertas de cuentas robadas.

Un ejemplo de un foro ilegal que contiene 210 ofertas de cuentas de pornografía en venta

Las cuentas robadas, por irónico que suene, suelen ser compradas por individuos preocupados por su propia privacidad y que no quieren que sus datos personales, como los detalles de su tarjeta de crédito o su dirección de correo electrónico, queden expuestos. Los compradores a menudo pagan con criptomonedas, lo que les permite permanecer en el anonimato.

Ejemplo de una entrada en un foro en 2019, ofrecía cuentas robadas por un precio muy bajo y además proporcionaba recomendaciones para el precio de reventa. Se ofrecen descuentos por compras al por mayor

Las cuentas premium de sitios de pornografía no son el único contenido para adultos en venta en la web oscura y en foros ilegales en la web regular. Un vistazo al mercado en la web oscura reveló en detalle lo que sucede con una fuga de datos cuando el contenido revelado es crítico. El año pasado vimos numerosos casos de filtraciones desde sitios privados de contenido para adultos, como imágenes captadas por cámaras web, que junto a sus datos personales, devastaron a las víctimas. Pero los creadores de contenidos para adultos no son los únicos que están en riesgo. Si bien las celebridades son los blancos favoritos de estas filtraciones, los usuarios regulares también pueden correr el riesgo de que sus imágenes privadas queden expuestas en la web.

Las bases de datos de imágenes de desnudos suelen ser gratuitas (con un sistema de donaciones para el publicador), pero algunos contenidos de imágenes para adultos, incluyendo imágenes personales filtradas, se venden a precios bastante bajos, como 2 dólares americanos por colección. Este es el precio que los ciberdelincuentes ponen a la vida privada de miles de personas, lo que refleja una perturbadora tendencia que infravalora los datos personales de los usuarios.

Esta captura de pantalla muestra colecciones de imágenes de desnudos, filtradas y recopiladas, vendidas en precios tan bajos como 2 dólares estadounidenes por colección

Este sitio web ofrece la descarga gratuita de videos pornográficos e imágenes de desnudos de varias celebridades

Otra tendencia perturbadora que vimos en el mercado de la web oscura es la extensión del concepto ‘malware como servicio’, con paquetes de contenidos listos para usar e instrucciones diseñadas para usos fraudulentos. Mientras que antes los hackers intercambiaban información sobre cómo engañar a los usuarios o clonar tarjetas, ahora ofrecen su experiencia en otras áreas, incluyendo la extorsión monetaria a sus víctimas interesadas en sexo o simplemente en la atención humana, aunque íntima.

Por ejemplo, en el ejemplo debajo, un usuario ofrece un paquete completo de sextortion con instrucciones para los neófitos. El paquete está diseñado para engañar los usuarios haciéndoles creer que están hablando con una mujer de carne y hueso, y luego les extorsionan su dinero. El paquete incluye no solo imágenes y videos de una supuesta modelo, lo que sin duda le da más credibilidad al truco, sino que también contiene instrucciones sobre cómo usarlo para ganar dinero: según el aviso, es apropiado para “usuarios con y sin experiencia”. Como estímulo adicional, el vendedor ofrece acceso a varias cuentas de pornografía y ciertos regalos, y por si fuera poco, comparte información sobre tutoriales sobre fraudes de su propia creación.

Ejemplo de un paquete de extorsión vendido en el mercado negro

El vendedor incluso llega a describir el valor de su paquete y proporciona tutoriales sobre cómo usar su producto

Hemos visto publicaciones en blogs en las que los ciberdelincuentes comparten su experiencia en la creación y propagación de varios programas maliciosos, incluyendo los secuestradores y de extorsión sexual. Por ejemplo, uno de ellos describía el proceso para crear y propagar programas secuestradores móviles dedicados a la extorsión sexual. Una aplicación usa la cámara frontal para tomar fotos del usuario y, acusándolo de mirar contenidos ilícitos, se le amenaza con distribuir dicha imagen junto a capturas de pantalla del contenido que estaba mirando, a menos que pague para evitarlo. ¿Suena conocido? Eso es porque el método ha estado vigente por años, y no hay vistas de que desaparezcan: mientras haya usuarios desprotegidos y vulnerables, siempre habrá alguien que se aproveche de ellos.

Conclusiones y consejos

Para consumir y producir contenidos para adultos de forma segura, Kaspersky ofrece estos consejos:

Para los usuarios particulares:

  • Prestar atención a la autenticidad del sitio web. No entrar en un sitio web hasta estar completamente seguros de su legitimidad y que su dirección comience con ‘https’. Confirmar que el sitio web sea legítimo verificando el formato de la URL y la correcta ortografía del nombre de la compañía, además de leer las opiniones sobre los sitios que parezcan sospechosos.
  • En caso de comprar una suscripción a un sitios web con contenidos para adultos, solo hacerlo en el sitio web oficial. Verificar la URL del sitio web y asegurarse de que sea auténtica.
  • Verificar los adjuntos de correo con una solución de seguridad antes de abrirlos, especialmente si son de entidades de la web oscura (incluso si se supone que provienen de fuentes anónimas).
  • Parchar los programas instalados en el PC tan pronto como se publiquen las actualizaciones de seguridad.
  • No descargar software pirateado ni otros contenidos ilegales. Incluso si el usuario es desviado a la página web desde un sitio legítimo.
  • Verificar los permisos de las aplicaciones para dispositivos Android, para ver qué tienen permitido hacer cuando se instalan.
  • No instalar aplicaciones desde fuentes no confiables, incluso si son publicitadas de forma activa, y bloquear la instalación de programas desde fuentes desconocidas en la configuración del teléfono.
  • Usar soluciones de seguridad confiables y que cuenten con tecnologías anti-phishing basadas en el análisis de comportamiento, como Kaspersky Security Cloud , para detectar y bloquear ataques spam y phishing. La solución también debe contar con la función de verificación de permisos para Android, que ayuda a los usuarios a identificar peticiones potencialmente peligrosas o cuestionables hechas por la aplicación descargada, y explica los riesgos asociados con diferentes tipos de permisos comunes.

Para empresas:

  • Instruir a los empleados sobre los riesgos del comportamiento descuidado en línea, tanto para sí mismos como para la empresa. Programar capacitaciones sobre concientización sobre seguridad básica para los empleados, como Kaspersky Automated Security Awareness Platform que cubre la seguridad para el correo electrónico y para Internet, entre otras prácticas esenciales.
Category: Publicaciones
Date: Tue, 23 Jun 2020 11:00:12 +0000
Local date: Tue, 23 Jun 2020 11:00:12 +0000
Language: es-ES
Encoding: UTF-8
Feed type: RSS
itemImageWidth: 1200 px
itemImageHeight: 800 px
Más vale boot conocido, que nuevo por conocer
Author: Alexander Eremin
Link :
Email :
Description: A mediados de abril, nuestros sistemas de monitoreo de amenazas detectaron unos archivos maliciosos que se distribuían con los nombres "acerca de una nueva iniciativa del Banco Mundial en relación con la epidemia de coronavirus.exe" o "acerca de una nueva iniciativa del Banco Mundial en relación con la epidemia de coronavirus.rar". Dentro de los archivos estaba el conocido bootkit Rovnix.
Full content:

A mediados de abril, nuestros sistemas de monitoreo de amenazas detectaron unos archivos maliciosos que se distribuían con los nombres “acerca de una nueva iniciativa del Banco Mundial en relación con la epidemia de coronavirus.exe” o “acerca de una nueva iniciativa del Banco Mundial en relación con la epidemia de coronavirus.rar”. Dentro de los archivos estaba el conocido bootkit Rovnix. El uso del tema de la pandemia por parte de los ciberdelincuentes no es nuevo; la novedad es que Rovnix se ha convertido en una herramienta para evadir el UAC y se lo utiliza para propagar un inusual descargador. Entonces, procedamos al análisis del malware de acuerdo con todas las reglas de la dramaturgia.

Exposición: el archivo SFX entra en la habitación

El archivo “sobre una nueva iniciativa del Banco Mundial en relación con la epidemia de coronavirus.exe” es un archivo autoextraíble del que salen easymule.exe y 1211.doc.

Script SFX

El documento contiene información sobre una nueva iniciativa del Banco Mundial, y en los metadatos cita como autores a personas reales relacionadas con esta organización.

Contenido del documento 1211.doc

En cuanto a easymule.exe, sus recursos contienen una imagen de mapa de bits, que en realidad es un archivo ejecutable, que se desempaca y se carga en la memoria.

Extracción de la “imagen” contenida en los recursos

Nudo: evasión del UAC

En el código del PE cargado en la memoria, hay, notablemente, muchas partes similares a las del conocido kit de arranque Rovnix y sus módulos, cuyo código fuente “se filtró” en 2013.

A la izquierda está el código fuente del malware y a la derecha está el código fuente filtrado de Rovnix (bksetup.c)

Sin embargo, el archivo analizado contiene innovaciones que los nuevos autores obviamente agregaron, basadas en el código fuente original de Rovnix. Una de ellas es el mecanismo de evasión del UAC que utiliza una técnica conocida como “imitar el directorio de confianza”.

Su esencia es la siguiente: usando la API de Windows, el malware crea el directorio C:\Windows\ System32 (exactamente así, con un espacio después de Windows). Luego, copia allí el ejecutable firmado legítimo de C:\Windows\System32, que tiene derecho a elevar automáticamente los privilegios sin mostrar una solicitud de UAC (en este caso, wusa.exe).

Además, se usa la técnica de secuestro de DLL: en el directorio falso se pone una biblioteca maliciosa con el nombre de una de las bibliotecas importadas por el archivo legítimo (en este caso, wtsapi32.dll) Como resultado, al iniciarse desde un directorio falso, el archivo legítimo wusa.exe (o más bien, la ruta que conduce a éste) pasará la verificación de proxy debido a la API GetLongPathNameW, que elimina de la ruta el carácter de espacio. Sin embargo, el archivo legítimo se iniciará desde el directorio falso sin mediar una solicitud de UAC, y cargará una biblioteca maliciosa llamada wtsapi.dll.

Además de copiar el archivo legítimo del sistema en el directorio falso y crear una biblioteca maliciosa allí, el dropper crea otro archivo con el nombre uninstall.pdg. Después de eso, el malware crea y ejecuta archivos bat que primero ejecutarán wusa.exe  desde el directorio falso, y luego “limpiarán los rastros” eliminando el directorio creado y el cuentagotas easymule.exe.

Desarrollo: los mismos y Rovnix

El archivo uninstall.pdg contiene explícitamente un ejecutable empaquetado. Está diseñado para desempaquetar la misma biblioteca maliciosa que se descargó previamente mediante wusa.exe y el secuestro de DLL.


El código de la biblioteca maliciosa es diminuto: la función WTSQueryUserToken exportada, obviamente no tiene las funciones requeridas por el wusa.exe original que la importa. En cambio, la función lee el archivo. uninstall.pdg y desempaqueta e inicia un archivo ejecutable desde allí.

Código de la función de biblioteca maliciosa exportada

El uninstall.pdg  desempaquetado resulta ser una DLL con la función de exportación BkInstall, otro indicio de que el malware se basa en el código Rovnix “filtrado”. Un análisis más detallado del archivo lo confirma.

Uninstall.pdg contiene ejecutables “pegados” empaquetados por medio de aPLib. En este caso, el “pegado” se llevó a cabo utilizando la utilidad FJ (también de la suite Rovnix), como lo demuestra el algoritmo de desempaquetado de archivos y las firmas FJ que describen la ubicación del pegado en el archivo.

Firma de la utilidad FJ

Los archivos pegados son el controlador KLoader, elemento del conjunto Rovnix “filtrado” y el descargador. Uninstall.pdg los descomprime, sobrescribe el VBR con el gestor de arranque y coloca el VBR original empaquetado a su lado. Además,  se escribe en el disco controlador-inyector KLoader, cuyo propósito es inyectar la carga útil en los procesos en ejecución.

A la izquierda, el código fuente del malware y a la derecha, el código fuente filtrado de Rovnix (kloader.c)

Como se puede ver en la captura de pantalla, el código fuente del malware no es muy diferente del original. Aparentemente, para que el controlador funcione con la red el código original fue compilado para su uso sin VFS y sin una pila de protocolos.

En el ejemplar que diseccionamos, el controlador inyecta en los procesos una DLL, que es el mismo gestor de arranque atípico de Rovnix del que hablamos al principio.

Por lo tanto, el diagrama de flujo general se ve así.

Esquema de ejecución

Climax: el gestor de arranque

Analicemos en detalle el nuevo gestor de arranque. Lo primero que llama la atención es la ruta pdb en el archivo.

Ruta PDB

Al comienzo de la ejecución, el malware llena la estructura con punteros a funciones. La memoria asignada se llena con punteros a funciones, y en el futuro se los llamará mediante un desplazamiento en el área de memoria asignada.

Estructura con funciones

Después de eso, el proceso obtiene acceso a los objetos “Winsta0” y al escritorio “Predeterminado”, para sí mismo y para todos los procesos creados por este proceso, y crea un hilo con un ciclo de comunicación con el servidor de administración.

Creación del flujo de comunicación con el servidor de administración

Comunicación con el servidor de administración

Después de crear el hilo, el malware usa OpenMutexA para verificar su presencia en el sistema. Luego, comienza un ciclo de comunicación con el servidor de administración, en cuyo marco se forma un paquete de datos sobre el dispositivo infectado. Este paquete se cifra con XOR, con una clave de un solo byte 0xF7, y se envía al servidor de administración.

Estructura de los datos enviados

Como respuesta, el malware recibe un archivo ejecutable que se carga en la memoria. El control se pasa al punto de entrada de este archivo PE.

Visualización del archivo PE cargado en la memoria

Desenlace: la prueba en pleno apogeo

El gestor de arranque no era único: como parte del análisis, se descubrieron varias instancias más. Todos tienen características similares, pero con ligeras diferencias. Por ejemplo, uno de ellos intenta registrar el controlador del servicio NetService para verificar la corrección de su lanzamiento. Si falla (es decir, si el servicio no se está ejecutando en el sistema), el malware deja de funcionar.

Ejemplo de otra versión del gestor de arranque

Otras instancias del cargador no usan el bootkit, pero usan el mismo método para evadir el UAC. Todo parece indicar que en este momento, el gestor de arranque está en etapa de pruebas y se lo equipa con varios medios para evadir los métodos de protección.

También descubrimos instancias que podrían servir como carga útil para el gestor de arranque. Contienen rutas pdb similares y los mismos servidores de administración que los cargadores. Es curioso que las direcciones API requeridas se obtengan por el nombre de la función, que a su vez se obtiene gracias a un índice de la cadena de configuración.

Obtención de las direcciones de la API

Este malware puede, a pedido del servidor de administración, lanzar un archivo exe con los parámetros especificados, grabar sonido desde el micrófono y enviar el archivo de audio al propietario, apagar o reiniciar la computadora, etc.

Procesamiento del comando recibido

El nombre del módulo (E:\LtdProducts\Project\newproject\64bits\64AllSolutions\Release\PcConnect.pdb) indica que los desarrolladores lo posicionan como una puerta trasera, que, además, puede tener elementos de troyano espía, a juzgar por las líneas de configuraciones.

Un fragmento de la configuración. Las cadenas en chino significan “Usuario actual:”, “contraseña de usuario:”, “*** La cuenta del sistema y la contraseña se enumeran a continuación [%04d-%02d-%02d %02d:%02d:%02d] *** “


El análisis del malware camuflado como una “nueva iniciativa del Banco Mundial” mostró que hasta las amenazas bien conocidas como Rovnix pueden traer algunas sorpresas cuando su código fuente se hace público. Al no haber necesidad de desarrollar desde cero sus propios medios para eludir la protección del sistema, los atacantes pueden prestar más atención a las capacidades de su propio malware y agregar un par de “extras” al código fuente, como por ejemplo, omitir el UAC. Los productos de Kaspersky Lab detectan esta amenaza y sus módulos relacionados como Trojan.Win32.Cidox, Trojan.Win32.Genérico, Trojan.Win32.Hesv, Trojan.Win32.Inject.










Category: Destacados
Date: Tue, 23 Jun 2020 10:00:36 +0000
Local date: Tue, 23 Jun 2020 10:00:36 +0000
Language: es-ES
Encoding: UTF-8
Feed type: RSS
itemImageWidth: 1200 px
itemImageHeight: 800 px
Oh, what a boot-iful mornin’
Author: Alexander Eremin
Link :
Email :
Description: In mid-April, our threat monitoring systems detected malicious files being distributed under the name "on the new initiative of the World Bank in connection with the coronavirus pandemic" (in Russian) with the extension EXE or RAR. Inside the files was the well-known Rovnix bootkit.
Full content:

In mid-April, our threat monitoring systems detected malicious files being distributed under the name “on the new initiative of the World Bank in connection with the coronavirus pandemic” (in Russian) with the extension EXE or RAR. Inside the files was the well-known Rovnix bootkit. There is nothing new about cybercriminals exploiting the coronavirus topic; the novelty is that Rovnix has been updated with a UAC bypass tool and is being used to deliver a loader that is unusual for it. Without further ado, let’s proceed to an analysis of the malware according to the rules of dramatic structure.

Exposition: enter SFX archive

The file “on the new initiative of the World Bank in connection with the coronavirus pandemic.exe” is a self-extracting archive that dishes up easymule.exe and 1211.doc.

SFX script

The document does indeed contain information about a new initiative of the World Bank, and real individuals related to the organization are cited as the authors in the metadata.

Contents of 1211.doc

As for easymule.exe, its resources contain a bitmap image that is actually an executable file, which it unpacks and loads into memory.

Loading the “image”

Hook: enter UAC bypass

The code of the PE loaded into memory contains many sections remarkably similar to the known Rovnix bootkit and its modules, the source code of which leaked back in 2013.

Left: source of the malware; right: leaked Rovnix source code (bksetup.c)

However, the file under analysis reveals innovations clearly added by authors, based on the original Rovnix source code. One of them is a UAC bypass mechanism that uses the “mocking trusted directory” technique.

With the aid of the Windows API, the malware creates the directory C:\Windows \System32 (with the space after Windows). It then copies there a legitimate signed executable file from C:\Windows\System32 that has the right to automatically elevate privileges without displaying a UAC request (in this case, wusa.exe).

DLL hijacking is additionally used: a malicious library is placed in the fake directory under the name of one of the libraries imported by the legitimate file (in this case, wtsapi32.dll). As a result, when run from the fake directory, the legitimate file wusa.exe (or rather, the path to it) passes the authorization check due to the GetLongPathNameW API, which removes the space character from the path. At the same time, the legitimate file is run from the fake directory without a UAC request and loads a malicious library called wtsapi.dll.

Besides copying the legitimate system file to the fake directory and creating a malicious library there, the dropper creates another file named uninstall.pdg. After that, the malware creates and runs a series of BAT files that start wusa.exe from the fake directory and then clean up the traces by deleting the created directory and the easymule.exe dropper itself.

Development: enter Rovnix

The file uninstall.pdg clearly contains a packed executable file. It is designed to unpack the same malicious library that was previously downloaded using wusa.exe and DLL hijacking.


The code of the malicious library is kept minimal: the exported function WTSQueryUserToken obviously has no features required by the original wusa.exe, which imports it. Instead, the function reads uninstall.pdg, and unpacks and runs the executable from it.

Code of exported malicious library function

The unpacked uninstall.pdg turns out to be a DLL with the exported function BkInstall — another indicator that the malware is based on the leaked Rovnix code. Further analysis of the file confirms this.

Glued inside uninstall.pdg are executable files packed with aPLib. The gluing was done using the FJ utility (also from the Rovnix bootkit), as evidenced by the file-unpacking algorithm and the FJ signatures indicating the location of the joint in the file.

FJ utility signature

The glued files are the KLoader driver from the leaked Rovnix bootkit and a bootloader. Uninstall.pdg unpacks them, overwrites the VBR with the bootloader, and places the packed original VBR next to it. In addition, KLoader is written to the disk; its purpose is to inject the payload into running processes.

Left: source code of the malware; right: leaked Rovnix source code (kloader.c)

As seen in the screenshot, the source code of the malware is not much different from the original. The original code was seemingly compiled for use without a VFS and a protocol stack for the driver to operate with the network.

In this instance, the driver injects a DLL into the processes, which is that same un-Rovnix-like loader that we spoke about at the very beginning.

Thus, the general execution scheme looks as follows.

Execution scheme

Climax: enter loader

Let’s consider the new loader in more detail. The first thing to catch the eye is the PDB path in the file.

PDB path

When run, the malware first fills the structure with pointers to functions. The allocated memory is filled with pointers to functions, to be called subsequently by their offset in the allocated memory area.

Structure with functions

Next, the process obtains access to the Winsta0 and Default desktop objects for itself and all processes created by this process, and creates a thread with the C&C communication cycle.

Creating a C&C communication thread

Communication with C&C

Having created the thread, the malware checks its presence in the system using OpenMutexA. It then starts a C&C communication cycle, within which a data packet about the infected device is generated. This packet is XOR-encrypted with the single-byte key 0xF7, and sent to C&C.

Structure of sent data

In response, the malware receives an executable file that is loaded into memory. Control is transferred to the entry point of this PE file.

Displaying the PE file loaded into memory

Denouement: enter testing

The loader turns out not to be unique: several more instances were discovered during the analysis. They all have similar features, but with slight differences. For example, one of them checks that it is running properly by trying to register a NetService handler. If it fails (that is, the service is not running in the system), the malware stops working.

Example of a different version of the loader

Other instances of the loader do not use the bootkit, but do apply the same UAC bypass method. All indications are that the loader is currently being actively tested and equipped with various tools to bypass protection.

We also discovered instances that could serve as a payload for a loader. They contain similar PDB paths and the same C&Cs as the loaders. Interestingly, the addresses of the required APIs are got from the function name, which is obtained from the index in the configuration line.

Getting the API addresses

At the command of C&C, this malware can run an EXE file with the specified parameters, record sound from the microphone and send the audio file to the cybercriminals, turn off or restart the computer, and so on.

Processing a received command

The module name (E:\LtdProducts\Project\newproject\64bits\64AllSolutions\Release\PcConnect.pdb) suggests that the developers are positioning it as a backdoor, which could additionally have Trojan-Spy elements, judging by some configuration lines.

Configuration snippet; the lines in Chinese mean “Current user:”, “user password:”, “***Below are the system account and password [%04d-%02d-%02d %02d:%02d:%02d]***”


Our analysis of malware masquerading as a “new initiative of the World Bank” shows that even well-known threats like Rovnix can throw up a couple of surprises when their source code goes public. Freed from the need to develop their own protection-bypassing tools from scratch, cybercriminals can pay more attention to the capabilities of their own malware and add extra “goodies” to the source code, such as UAC bypass. Kaspersky products detect this threat and its related modules as Trojan.Win32.Cidox, Trojan.Win32.Generic, Trojan.Win32.Hesv, and Trojan.Win32.Inject.



Category: Featured
Date: Tue, 23 Jun 2020 10:00:08 +0000
Local date: Tue, 23 Jun 2020 10:00:08 +0000
Language: en-US
Encoding: UTF-8
Feed type: RSS
itemImageWidth: 1200 px
itemImageHeight: 800 px
Web skimming with Google Analytics
Author: Victoria Vlasova
Link :
Email :
Description: Recently, we identified several cases where Google Analytics was misused: attackers injected malicious code into sites, which collected all the data entered by users, and then sent it via Analytics.
Full content:

Web skimming is a common class of attacks generally aimed at online shoppers. The principle is quite simple: malicious code is injected into the compromised site, which collects and sends user-entered data to a cybercriminal resource. If the attack is successful, the cybercriminals gain access to shoppers’ payment information.

To make the data flow to a third-party resource less visible, fraudsters often register domains resembling the names of popular web services, and in particular, Google Analytics (google-anatytics[.]com, google-analytcsapi[.]com, google-analytc[.]com, google-anaiytlcs[.]com, google-analytics[.]top, google-analytics[.]cm, google-analytics[.]to, google-analytics-js[.]com, googlc-analytics[.]com, etc.). But attack of this kind were also found to sometimes use the authentic service.

To harvest data about visitors using Google Analytics, the site owner must configure the tracking parameters in their account on, get the tracking ID (trackingId, a string like this: UA-XXXX-Y), and insert it into the web pages together with the tracking code (a special snippet of code). Several tracking codes can rub shoulders on one site, sending data about visitors to different Analytics accounts.

Recently, we identified several cases where this service was misused: attackers injected malicious code into sites, which collected all the data entered by users, and then sent it via Analytics. As a result, the attackers could access the stolen data in their Google Analytics account. We found about two dozen infected sites worldwide. The victims included stores in Europe and North and South America selling digital equipment, cosmetics, food products, spare parts etc.

The screenshot below shows how the infection looks — malicious code with the attacker’s tracking code and tracking ID:

Screenshot 1

The attacker tries to hide their malicious activity using a classic anti-debugging technique. Screenshot 2 shows code for checking whether Developer mode is enabled in the visitor’s browser. The code in the screenshot above is executed only if the result is negative.

Screenshot 2

Curiously, the attackers left themselves a loophole — the option to monitor the script in Debug mode. If the browser’s local storage (localStorage) contains the value ‘debug_mode’==’11’, the malicious code will spring into life even with the developer tools open, and will go as far as to write comments to the console in clumsy English with errors. In screenshot 3, the line with the ‘debug_mode’ check follows the implementation of the RC4 encryption algorithm (used to encrypt the harvested data before sending it).

Screenshot 3

If the anti-debugging is passed, the script collects everything anyone inputs on the site (as well as information about the user who entered the data: IP address, UserAgent, time zone). The collected data is encrypted and sent using the Google Analytics Measurement Protocol. The collection and sending process is shown in screenshot 4.

Screenshot 4

The stolen data is sent by invoking the send event method in the ‘eventAction’ field.

The function signature in this case is:

ga('send', 'event', {
  'eventCategory': 'Category',  //Protocol Parameter: ec; Value type: text; Max Lenght: 150 Bytes
  'eventAction': 'Action',    //Protocol Parameter: ea; Value type: text; Max Lenght: 500 Bytes
  'eventLabel': 'Label'     //Protocol Parameter: el; Value type: text; Max Lenght: 500 Bytes

This leads to an HTTP request being sent to the URL

In the above-described case, malicious code is inserted into a script on the infected site in “readable” form. In other cases, however, the injection can be obfuscated. Malicious code also can be downloaded from a third-party resource. Screenshot 5 shows an example obfuscation option. In this variant, a call to a malicious script from firebasestorage.googleapis[.]com is inserted into the infected site.

Screenshot 5

After deobfuscation, we obtain a similar script with the same distinctive comments. Part of its code is presented in screenshot 6 (a different tracking ID is used).

Screenshot 6

What’s the danger

Google Analytics is an extremely popular service (used on more than 29 million sites, according to BuiltWith) and is blindly trusted by users: administrators write * into the Content-Security-Policy header (used for listing resources from which third-party code can be downloaded), allowing the service to collect data. What’s more, the attack can be implemented without downloading code from external sources.

How to avoid the issues


  • Install security software. Kaspersky solutions detect malicious scripts used in such attacks as HEUR:Trojan-PSW.Script.Generic.


  • Do not install web applications and CMS components from untrusted sources. Keep all software up to date. Follow news about vulnerabilities and take recommended actions to patch them.
  • Create strong passwords for all administration accounts.
  • Limit user rights to the minimum necessary. Keep track of the number of users who have access to service interfaces.
  • Filter user-entered data and query parameters to prevent third-party code injection.
  • For e-commerce sites, it is recommended to use PCI DSS-compliant payment gateways.




Category: Featured
Date: Mon, 22 Jun 2020 10:00:53 +0000
Local date: Mon, 22 Jun 2020 10:00:53 +0000
Language: en-US
Encoding: UTF-8
Feed type: RSS
itemImageWidth: 1200 px
itemImageHeight: 800 px
Web-Skimming con Google Analytics
Author: Victoria Vlasova
Link :
Email :
Description: Hace poco, identificamos varios casos de uso abusivo del Google Analytics: el atacante inyectaba en el sitio web un código malicioso que recopilaba todos los datos introducidos por los usuarios y luego los enviaba utilizando el protocolo de "análisis".
Full content:

El web-skimming es un tipo común de ataques cuyo objetivo suelen ser los visitantes de las tiendas en línea. El principio es bastante simple: en un sitio web hackeado se inyecta un código malicioso que recopila los datos introducidos por el usuario y los envía a un sitio controlado por el atacante. Si el ataque tiene éxito, el atacante responsable de la infección del sitio obtiene los datos de pago de los visitantes.

Para que el envío de datos a un sitio web de terceros sea menos llamativo, los estafadores a menudo registran dominios con nombres parecidos a los de servicios web populares, en particular Google Analytics (google-anatytics[.]com, google-analytcsapi[.]com, google-analytc[.]com, google-anaiytlcs[.]com, google-analytics[.]top, google-analytics[.]cm, google-analytics[.]to, google-analytics-js[.]com, googlc-analytics[.]com,  etc.). Pero logramos establecer que los ataques de este tipo pueden también utilizar el servicio original.

Para recopilar datos sobre los visitantes que utilizan Google Analytics, el propietario del sitio debe configurar los parámetros de seguimiento en su cuenta personal de, obtener un código de seguimiento (trackingId, una cadena similar a UA-XXXX-Y) e insertar junto con éste un código de seguimiento en las páginas del sitio web. En un sitio web pueden coexistir varios códigos de seguimiento que envían datos sobre los visitantes a diferentes cuentas “analíticas”.

Hace poco, identificamos varios casos de uso abusivo del servicio de Google: el atacante inyectaba en el sitio web un código malicioso que recopilaba todos los datos introducidos por los usuarios y luego los enviaba utilizando el protocolo de “análisis”. Como resultado, el atacante recibía los datos robados en su cuenta de Google Analytics. Descubrimos alrededor de una veintena de sitios infectados en todo el mundo. Entre las víctimas se encuentran tiendas de Europa, América del Norte y del Sur que venden equipos digitales, cosméticos, alimentos y repuestos.

En la captura de pantalla a continuación podemos ver cómo luce la “infección”: código malicioso con un código de seguimiento y el ID de seguimiento del atacante:

Captura de pantalla 1

El atacante intenta ocultar la actividad maliciosa utilizando la clásica técnica anti-depuración. En la captura de pantalla 2, realiza una comprobación para ver si el modo de desarrollador está habilitado en el navegador del visitante. El código en la captura de pantalla anterior se ejecutará solo si se logra pasar la prueba.

Captura de pantalla 2

Es curioso que el atacante haya dejado una laguna: la capacidad de observar el funcionamiento del script en modo de depuración. Si el almacenamiento local del navegador (Local Storage) contiene el valor ‘debug_mode’ == ’11’, el código malicioso funcionará incluso si las herramientas de desarrollador están abiertas e incluso escribirá comentarios en la consola en un inglés rudimentario (con errores). En la captura de pantalla 3, la línea con la prueba ‘debug_mode’ vigila la implementación del algoritmo de cifrado RC4 (que se usa para cifrar los datos recopilados antes de enviarlos).

Captura de pantalla 3

Al completarse la eliminación de errores, la secuencia de comandos recopilará los datos que el usuario ha introducido en el sitio, además de otros como dirección IP, Agente de usuario, zona horaria. Los datos recopilados se cifran y envían utilizando el Protocolo de medición de Google Analytics (Google Analytics Measurement Protocol). El proceso de recopilación y envío se muestra en la captura de pantalla 4.

Captura de pantalla 4

Los datos robados se envían utilizando el llamado del método .sendevent en el campo ‘eventAction’.

La firma de la llamada en este caso es la siguiente:

ga('send', 'event', {
  'eventCategory': 'Category',  //Protocol Parameter: ec; Value type: text; Max Lenght: 150 Bytes
  'eventAction': 'Action',    //Protocol Parameter: ea; Value type: text; Max Lenght: 500 Bytes
  'eventLabel': 'Label'     //Protocol Parameter: el; Value type: text; Max Lenght: 500 Bytes

Esto hace que se envíe una solicitud HTTP a la URL

En el caso que acabamos de describir, el código malicioso se inserta en uno de los scripts del sitio infectado en una forma “legible”. Sin embargo, en otros casos, la inyección puede usar técnicas de ofuscación. Además, el código malicioso se puede descargar desde un sitio perteneciente a terceros. En la captura de pantalla 5, un ejemplo de la opción ofuscada. En esta variante, en el sitio infectado se ha insertado la llamada de un script malicioso desde firebasestorage.googleapis[.]com.

Captura de pantalla 5

Después de la desofuscación, obtenemos un script similar, con los mismos comentarios característicos. Parte de su código se muestra en la captura de pantalla 6 (donde se usa otro trackingId).

Captura de pantalla 6

¿Cuál es el peligro?

Google Analytics es un servicio extremadamente popular (según BuiltWith, se utiliza en más de 29 millones de sitios) que goza de la confianza de los usuarios: los administradores escriben * en el encabezado Content-Security-Policy (utilizado para enumerar los recursos desde los que se puede descargar el código de terceros), lo que permite que este servicio recopile datos. Además, el ataque se puede implementar sin descargar el código “desde otro lado”.

¿Cómo evitar problemas?

Consejos para los usuarios:

  • Instalar software de seguridad. Las soluciones de seguridad de Kaspersky Lab detectan los scripts maliciosos que se utilizan en ataques y les asignan el nombre HEUR:Trojan-PSW.Script.Generic.

Para webmasters:

  • No instalar distribuciones de aplicaciones web y componentes de CMS desde fuentes no confiables.
  • Mantener actualizado el software. Mantenerse atento a las nuevas vulnerabilidades y seguir las recomendaciones para solucionarlas.
  • Crear contraseñas seguras para las cuentas de administración.
  • Limitar los derechos de usuario al conjunto mínimo necesario. Realizar seguimiento del número de usuarios que tienen acceso a las interfaces de servicio.
  • Filtrar los datos y parámetros de consulta que el usuario introduce para evitar la inyección de código de terceros.
  • Para los sitios web de comercio electrónico, es aconsejable utilizar pasarelas de pago que cumplan con los requisitos de PCI DSS.



Category: Destacados
Date: Mon, 22 Jun 2020 10:00:14 +0000
Local date: Mon, 22 Jun 2020 10:00:14 +0000
Language: es-ES
Encoding: UTF-8
Feed type: RSS
itemImageWidth: 1200 px
itemImageHeight: 800 px
Investigadores exponen detalles sobre las operaciones de los hackers “en alquiler” de Dark Basin
Author: Securelist
Link :
Email :
Description: Un equipo de investigadores de seguridad informática ha sacado a la luz una operación de hackers “en alquiler” que prestaron sus servicios para elaborar decenas de miles de ataques dirigidos a individuos a cambio de dinero. Se descubrió que la… Leer el artículo completo
Full content:


Un equipo de investigadores de seguridad informática ha sacado a la luz una operación de hackers “en alquiler” que prestaron sus servicios para elaborar decenas de miles de ataques dirigidos a individuos a cambio de dinero. Se descubrió que la operación, conocida como Dark Basin, se coordinó desde India para espiar y atacar por encargo a activistas, políticos, periodistas y empresarios.

El grupo de investigadores canadienses Citizen Lab investigó la operación conocida como Dark Basin que, según la Universidad de Toronto, realizaba “espionajes comerciales a pedido de sus clientes contra oponentes involucrados en asuntos públicos, casos criminales, transacciones financieras, periodismo y activismo”.

Las investigaciones de Citizen Lab lo llevaron a rastrear el origen de las amenazas a India, encontrando vínculos con una empresa llamada BellTroX InfoTech Services. La compañía ha negado su participación en los ataques.

Los investigadores descubrieron que, a lo largo de los últimos siete años, los cibercriminales a cargo de Dark Basin habían enviado 10.000 correos electrónicos fraudulentos para atacar a ciudadanos. Los correos electrónicos engañaban a sus destinatarios con la intención de instalar en sus equipos programas espía que robaban y filtraban la información almacenada en sus equipos.

Citizen Lab dijo que había comenzado su investigación a partir del ataque a un periodista. Al notar que las tácticas usadas eran “descuidadas”, los atacantes pudieron profundizar sobre su funcionamiento, orígenes y posibles víctimas. Según los investigadores, los hackers usaban documentos personales, incluyendo Currículum Vitaes cuando ponían a prueba sus URL cortos. También hicieron publicaciones en redes sociales tomando crédito por las técnicas de ataque y evidenciándolo con capturas de pantalla de la infraestructura de Dark Basin”.

Asimismo, los nombres que se incluían en algunos de los servicios para acortar URLs de Dark Basin estaban relacionados con nombres de festivales en India, y muchas de las marcas de tiempo de los correos fraudulentos tenían correlación con las horas de trabajo de la zona horaria de India.

Los investigadores han publicado un listado de las compañías que fueron afectadas y accedieron a hacer esto de conocimiento público. Entre ellas se encuentran: el Fondo Familiar Rockefeller, Centro de Investigaciones del Clima, Centro Greenpeace Center de Leyes Nacionales y Medioambientales, Oil Change International, Union of Concerned Scientists, etc.

A partir de la exposición de esta información, se eliminó el sitio web de BellTroX y se ha quitado de la red el material que vinculaba a la firma con las operaciones criminales.

Researchers unmask Indian ‘infosec’ firm to reveal hacker-for-hire op that targeted pretty much anyone clients wanted • The Register
Toronto’s Citizen Lab uncovers massive hackers-for-hire organization ‘Dark Basin’ that has targeted hundreds of institutions on six continents • Financial Post
Massive Hack-for-Hire-Service Exposed • Computer Business Review

Category: News
Date: Fri, 19 Jun 2020 14:32:25 +0000
Local date: Fri, 19 Jun 2020 14:32:25 +0000
Language: es-ES
Encoding: UTF-8
Feed type: RSS
itemImageWidth: px
itemImageHeight: px
Microcin is here
Author: Denis Legezo
Link :
Email :
Description: In February 2020, we observed a Trojan injected into the system process memory on a particular host. The target turned out to be a diplomatic entity. We attribute this campaign with high confidence to the SixLittleMonkeys (aka Microcin) threat actor.
Full content:

In February 2020, we observed a Trojan injected into the system process memory on a particular host. The target turned out to be a diplomatic entity. What initially attracted our attention was the enterprise-grade API-like (application programming interface) programming style. Such an approach is not that common in the malware world and is mostly used by top-notch actors.

Due to control server reuse (Choopa VPS service), target profiling techniques and code similarities, we attribute this campaign with high confidence to the SixLittleMonkeys (aka Microcin) threat actor. Having said that, we should note that they haven’t previously applied the aforementioned coding style and software architecture. During our analysis we didn’t observe any similar open source tools, and we consider this to be the actor’s own custom code.

To deliver a new network module with a coding style that we consider enterprise-grade, Microcin used steganography inside photos, including this one of a sock (payload removed here)

SixLittleMonkeys’ sphere of interest remains the same – espionage against diplomatic entities. The actor is still also using steganography to deliver configuration data and additional modules, this time from the legitimate public image hosting service The images include one related to the notorious GitLab hiring ban on Russian and Chinese citizens. In programming terms, the API-like architecture and asynchronous work with sockets is a step forward for the actor.

Why we consider the current software architecture interesting

By “enterprise-grade API-like programming style” we mean, firstly, asynchronous work with sockets. In terms of Windows user-space entities, it was I/O completion ports. In the OS kernel space, this mechanism is actually a queue for asynchronous procedure calls (APC). We believe there’s a reason for using it in backend applications on the high-loaded server-side. Obviously, however, neither client-side software nor Trojans of this kind need this server-side programming approach. So, it looks to us like the developers have applied some habits from server-side programming.

Secondly, the exported function parameters in the injected library look more like an API: the arguments are two callback functions – encryptor/decryptor and logger. So, if the authors decide to change encryption or logging algorithms, they could do so easily without even touching the network module. Once again, even targeted malicious samples rarely take such architectural issues into consideration.

Another injected library’s exported function parameter is the host name. If the caller doesn’t pass the infected host name as this parameter, the following commands will not be executed. It filters out all messages to other hosts.

Initial infection

Module features File name Detection time
Backdoor sideloaded by legit GoogleCrashHandler version.dll 2019.12.31
Downloader/decryptor inside spoolsv.exe address space spoolsv.dll 2020.01.16
Bitmap picture with steganography inside Random .bmp name 2020.01.16
Network module in the same spoolsv.exe address space Module.dll 2020.01.16

Infection timeline

The backdoor is started by GoogleCrashHandler.exe, due to .dll search order hijacking (version.dll). Bitmap files with a steganography downloader and decryptor (spoolsv.dll), injected into the spoolsv.exe API-like network module, are injected into the same system process.

Let’s cover the modules one at a time. Our telemetry shows that another Microcin backdoor was already on the host before this new network module. It’s most probably a reinfection with newer malware.

Backdoor MD5 File name Compilation timestamp Size
c9b7acb2f7caf88d14c9a670ebb18c62 version.dll 2020.05.20 02:37:58 407552

This UPX packed .dll was executed with the legitimate GoogleCrashHandler.exe (very common library search order hijacking) just before the New Year. The compilation timestamp is obviously spoofed. In this case we don’t know how the backdoor, along with the legitimate application, was delivered.

We won’t concentrate on this backdoor in this report, because it’s fairly typical for Microcin. We just want to emphasize that the timeline above shows it existed on the host before the analyzed module.


The campaign in question starts with the 64-bit spoolsv.dll downloader/decryptor module that has to be loaded by spoolsv.exe into its address space.

Downloader/decryptor MD5 Modified time Size Build Target ID
c7e11bec874a088a088b677aaa1175a1 2020.03.04 12:20:13 155291 20200304L02f @TNozi96
ef9c82c481203ada31867c43825baff4 2019.10.15 11:46:04 145233 20200120L03o @TNozi96
1169abdf350b138f8243498db8d3451e 2019.01.25 04:58:15 150195 20191119L 123456

So far, we have registered three samples of this module. The file tails contains the following encrypted configuration data.

Parameter Length (bytes) Possible values
.bmp URL len 4 82
.bmp URL .bmp URL len<random_name>.bmp
Sleep time 2 17211 and other non-round random numbers
Module build length 4 15
Module build Module build length Date based on the previous table
Target ID length 4 9
Target ID Target ID length Readable strings from the previous table
Random ASCII chars 16 Randomly generated on host
Hardcoded canary 4 0x5D3A48B6

We have published the source code of our decryptor for Microcin’s configuration and steganography at

The bitmap URL serves to download the image (like the one with the sock shown above) with the next stage network module. The module build, target ID and random ASCII chars are for the next network module, which includes them in the control server communications.

To get the bitmap, the downloader sends an HTTP GET request to The steganography is inside the color palette part of the .bmp file. A typical decryption algorithm includes four stages:

  1. Combine neighboring half bytes into one byte
  2. Decrypt data length with custom XOR-based algorithm
  3. Decrypt six-byte XOR key for main data
  4. Decrypt data itself using decrypted length and key

Besides the configuration data and steganography, the same algorithm is used for the C2 traffic. As we mentioned, due to the malware architecture, the latter can easily be changed. Encryption is XOR-based, but the key scheduling is quite specific and tricky. In the corresponding appendix we provide the part of the decryptor containing the algorithm.

Bitmap images and steganography

Besides the sock image, the campaign operators use more social-oriented photos (payload removed here). The background here is the GitLab hiring ban on Russian and Chinese citizens

So far, we have registered four different images. The encrypted content in all cases are PE files with the following network module and C2 domain for the files. This is the only parameter that comes from bitmap; all others are provided by the downloader.

Image content C2 domain Network module MD5
Sock in washing machine apps.uzdarakchi[.]com 445b78b750279c8059b5e966b628950e
Two people in hoodies forum.mediaok[.]info 06fd6b47b1413e37b0c0baf55f885525
GitLab hiring ban forum.uzdarakchi[.]com 06fd6b47b1413e37b0c0baf55f885525
Woman with child, militaries owa.obokay[.]com 06fd6b47b1413e37b0c0baf55f885525

Network in-memory module

The downloader decrypts the configuration data and C2 domain from the bitmap and then everything is ready to start the last stage inside the same spoolsv.exe virtual address space. We consider the architectural approach in this module to be the most interesting part of the chain.

The network module’s entry point is the exported function SystemFunction000() with multiple arguments. As a beacon, the Trojan prepares an HTTP POST request with the target’s fingerprinting data. And a lot of the parameters become part of the request.

Exported function argument Parameter meaning
Target host name This has to be the same as the infected machine host name. Only then will the Trojan start and receive commands. Initialized by the downloader
Target ID We already enumerated these readable ASCII strings from the decrypted downloader’s config, e.g., @TNozi96
Build version Inside these readable ASCII strings the dates are clearly mentioned. The C2 uses them to understand which build it’s currently working with
WORD field of fingerprint structure Initialized with 0x4004 by the downloader. We don’t have enough data to describe this field’s meaning
C2 IP address and port number The coordinates of the C2, initialized from the decrypted bitmap image
ASCII string in fingerprint structure Unique random string generated by the downloader
BYTE to fingerprint structure Initialized with 0x4004 by the downloader. We don’t have enough data to describe this field’s meaning
Half of maximum sleep time Sleep time before the working cycle. Half because the full time is counted <this arg> + <random>%<this arg>. It’s effectively a maximum of a maximum sleep time
Logger address First callback function address. In this case it’s a logger function inside the downloader
Encryptor/decryptor address Second callback function address. In this case it’s an encryptor/decryptor function inside the downloader

The last two arguments illustrate why we call the network module API-like: any encryption and logging routine could be used without even touching the module code. We consider this programming approach as scalable and useful for large systems. Let’s take a look at these two callback arguments.

Callback and its arguments Callback features
Logger takes ASCII string as a log message Logger function whose parameter is the message text. In this module all the messages are shortenings like “LIOO”, “RDOE”, etc.
Encryptor/decryptor to deal with the traffic between host and C2, takes its length, encryption key, and the flag (0 to encrypt and 1 to decrypt) as argument data Encryptor/decryptor function first used to encrypt beacon with target’s fingerprint. It then decrypts C2 command structures and encrypts replies to them

The module uses the Windows API function WSAIoctl() – something rarely seen in malware – to get the ConnectEx() address and sends a prepared request. Another Windows API function, GetQueuedCompletionStatus(), is in charge of asynchronous work with I/O. In other words, the malware uses I/O completion ports for Windows user-space entities, which is effectively an APC queue in the OS kernel.

The same data structure is used for both sides of the communication: from host to C2 and back. Let’s describe its main fields here.

Field Features
Command code One byte in the structure is the command code, which could vary from 0x00 to 0x16 (22). We describe the main network module commands in the table below
Error code Another byte is used for the error code
Command argument The main command field that takes all the necessary strings, etc. and also keeps fingerprinting data in the case of the beacon

So far, we have described the infection chain, module architecture, custom encryption and HTTP POST-based C2 communication protocol. Last, but not least, is the command set shown in the table below.

Command code Command features
3 Check if target’s ID meets the parameter
4 List logical drives
5 List files
6 Create directory
7 Remove directory
8 Copy file
9 Move file
10 Delete file
11 Execute PE
12 Execute Windows shell command
14 Terminate program
15 File download
16 Read from downloaded file
17 File upload
18 Write to file
19 Stop
20 Sleep


Domain IP First seen ASN
apps.uzdarakchi[.]com 95.179.136[.]10 November 11, 2019 20473
forum.uzdarakchi[.]com 172.107.95[.]246 February 7, 2020 40676
forum.mediaok[.]info 23.152.0[.]225 March 19, 2020 8100
owa.obokay[.]com N/A (now parked)

To sum up

This time the Microcin campaign has made an interesting step forward, not in terms of a fancy initial infection vector, but as programmers. The API-like network module is much easier to support and update. This improvement is not only about anti-detection or anti-analysis; it’s about software architecture and a step towards a normal non-monolithic framework implementation.



Network module

Domains and IPs

Category: APT reports
Date: Fri, 19 Jun 2020 10:00:10 +0000
Local date: Fri, 19 Jun 2020 10:00:10 +0000
Language: en-US
Encoding: UTF-8
Feed type: RSS
itemImageWidth: 1000 px
itemImageHeight: 563 px
¿Ciberpiratas juegan ciberjuegos durante la cuarentena?
Author: Maria Namestnikova
Link :
Email :
Description: Gracias a la pandemia de Coronavirus, el rol de Internet en nuestras vidas ha sufrido cambios, incluyendo algunos irreversibles. Algunos de estos cambios son definitivamente para bien, otros no son muy buenos, pero casi todos, de alguna manera, impactan en la seguridad digital. Decidimos echarle un vistazo más profundo a estos cambios a través del prisma de la seguridad de la información, comenzando con la industria de los juegos de video.
Full content:

Gracias a la pandemia de Coronavirus, el rol de Internet en nuestras vidas ha sufrido cambios, incluyendo algunos irreversibles. Algunos de estos cambios son definitivamente para bien, otros no son muy buenos, pero casi todos, de alguna manera, impactan en la seguridad digital.

Decidimos echarle un vistazo más profundo a estos cambios a través del prisma de la seguridad de la información, comenzando con la industria de los juegos de video.

Principales hallazgos:

  • El número diario de intentos bloqueados de visitar sitios maliciosos relacionados con juegos, o de navegar hacia ellos desde sitios (o foros) relacionados con juegos, aumentó en un 54% en abril, en comparación con enero de este año. En mayo vimos una disminución en la tendencia de este indicador: -18% en comparación con abril.
  • El número de intentos bloqueados de visitar sitios de phishing dedicados a explotar el tema de los juegos en líena ha aumentado. En particular, el número de notificaciones provenientes de sitios falsos de plataformas de juegos Steam se incrementó en un 40% entre febrero y abril.
  • Los atacantes usan Minecraft, Counter-Strike: Global Offensive y The Witcher 3: Wild Hunt con frecuencia.
  • Los usuarios más atacados son de Vietnam (7,9%), Argelia (6,6%), Corea (6,2%), Hungría (6,2%) y Rumania (6%)

Juguemos mientras el jefe no nos ve

Las cifras provenientes de varias fuentes muestran que la pandemia ha ocasionado un significativo aumento en las actividades de los jugadores. Según, las ventas de juegos, tanto para computadoras como para consolas, aumentaron notablemente en marzo.

Aumento en las ventas de juegos entre el 16 y el 22 de marzo. Fuente: gamesindustry.bizIn (descargar)

En abril, la cantidad de descargas, y de jugadores simultáneos en línea, de Steam alcanzó niveles inéditos. El gráfico de actividad de los usuarios de Steam (tanto al jugar como solo al instalar el cliente) (Steam Database) muestra que el 4 de abril se alcanzó el pico de actividades. Después, esta actividad comenzó a disminuir, aunque paulatinamente. Además, los gráficos de actividad de los jugadores son notablemente diferentes de los usuales: los periodos de inactividad son menos pronunciados que en los días normales previos a la cuarentena, y los picos duran menos.

Número de usuarios de Steam por día. Fuente:

Todos estos datos son totalmente comprensibles. Primero, la gente tiene más tiempo libre para jugar. Los datos recopilados por Nielsen Games, como parte de su encuesta regular entre sus usuarios, confirman esta tesis:

Aumento del tiempo que los jugadores dedican a juegos de video en diferentes países. Fuente: Hollywood ReporterSecond (descargar)

Aparentemente, no todos los que querían pasar su tiempo con los juegos de video tenían una computadora en casa para hacerlo. Es eso lo que podemos inferir de los datos estadísticos sobre el hardware que Stream publica en su sitio. Si observamos con detenimiento los gráficos sobre tarjetas de video que usan los usuarios de Steam, notaremos un cambio evidente en los datos de las tarjetas de video, que eran completamente planos antes de marzo de 2020. Hasta ahora, la proporción entre los porcentajes de las tarjetas de video Nvidia, Intel y AMD se han mantenido en el mismo nivel. Desde el inicio de la cuarentena, la proporción de las tarjetas de video Intel y AMD ha crecido de forma pronunciada. Este crecimiento, que estuvo dentro del 2%, podría parecer insignificante si olvidamos que Steam tiene más de 20 millones de usuarios. Es decir, la cantidad adicional de dispositivos con tarjetas gráficas Intel y AMD significaron cientos de miles de computadoras. Dadas las especificaciones de tarjetas de video de distintas marcas, podemos suponer con certeza que estos cientos de miles de equipos son computadoras portátiles empresariales que llegaron a casa durante la cuarentena y en los que los usuarios instalaron Steam sabiendo que el jefe no podía verlos.


Esto también queda confirmado con las repentinas fracturas en los gráficos que muestran la tasa de los procesadores Intel y AMD (Intel también aumentó desde el principio de la cuarentena); y los procesadores usados por los jugadores en términos de la cantidad de núcleos (los procesadores de 4 y de 2 núcleos mostraron un inusual aumento de este porcentaje):


¿Jugamos con los piratas?

El aumento en el número de jugadores y del tiempo que dedican a los juegos en línea, por supuesto que no pasó desapercibido para los ciberpiratas. Los jugadores hace mucho que son blanco de los ataques de los ciberpiratas, cuyo principal interés son los inicios de sesión y en las contraseñas de las cuentas de juegos. Ahora, con la conexión de las computadoras empresariales a las redes domésticas, y viceversa, con el ingreso de computadoras particulares en las redes empresariales que en su mayoría no estaban preparadas para ello, los ataques contra los jugadores se están convirtiendo no solo en una forma de llegar al bolsillo de los usuarios individuales, sino también de acceder a infraestructuras corporativas. En los cinco primeros meses de 2020, la cantidad de vulnerabilidades encontradas en Steam ya superó a la de aquellas descubiertas en cualquiera de los años anteriores. Este hecho, entre otros, indica el creciente interés por encontrar estas vulnerabilidades.

Fuente: (descargar)

No olvidemos que también a fines de abril de 2020, Valve confirmó la filtración del código fuente de los conocidos juegos en red CS: GO y Team Fortress 2. Es muy probable que los atacantes estén examinando dichos códigos en busca de vulnerabilidades que sirvan a sus objetivos. Es importante comprender que no se trata de juegos fuera de línea, sino de juegos en línea que requieren de una conexión constante a los servidores y de actualizaciones frecuentes. Esto hace que los usuarios sean más vulnerables aún, ya que sus equipos están, obviamente, siempre en línea, y los jugadores siempre están prestos a instalar una “actualización” con tal de no dejar de jugar. Pero incluso si no cuentan con sus ataques técnicamente complejos que usan vulnerabilidades de día cero, los ciberpiratas gozan de un amplio campo para sus actividades. A partir de que la industria de los juegos en línea está experimentando un aumento inesperado en la cantidad de jugadores, los ciberpiratas han diseñado ataques con “poder aumentado” para explotar el tema de los juegos de una u otra forma. El siguiente paso lógico de los atacantes era incrementar la cantidad de ataques de phishing. Kaspersky AntiPhishing y Kaspersky Security Network (KSN) confirman este hecho. En comparación con febrero, ha aumentado llamativamente la cantidad de clics en los mil sitios más populares de phishing que contienen la palabra “Steam” como parte de su nombre. Este aumento llegó a su pico en abril.

Aumento en el número de clics en sitios de phishing relacionados con temas de Steam en febrero de 2020. Fuente: Kaspersky Security Network (descargar)

Vemos un claro incremento en los datos de las detecciones del antivirus web de sitios con nombres que explotan el tema de los juegos en su conjunto; por ejemplo, que contienen los nombres de conocidos juegos de video o de plataformas de juegos.

Cantidad de ataques web que usaron temas de juegos, entre enero y mayo de 2020. Fuente: KSN (descargar)

Se ha propagado una amplia variedad de programas maliciosos mediante enlaces maliciosos de este tipo: desde malware diseñado para el robo de contraseñas hasta programas secuestradores y mineros. Como siempre, crean versiones gratuitas, actualizaciones o complementos gratuitos para los juegos más conocidos, además de programas estafadores. Se observa un escenario similar entre los archivos maliciosos con nombres relacionados con juegos para no llamar la atención.

Amenazas locales que usan temas relacionados con juegos como camuflaje

Veredicto % de todos los ataques
1 UDS: DangerousObject.Multi.Generic 8,5%
2 5,4%
3 PDM: Trojan.Win32.Generic 3,8%
4 HEUR: Trojan.Multi.StartPage. b 3,5%
5 PDM: Trojan.Win32.Bazon.a 3,5%
6 Trojan.WinLNK.Agent.ra 3,4 %
7 HEUR: Trojan.Win32.Generic 3,2 %
8 Email-Worm.Win32. Brontok.q 3,2 %
9 HEUR: Trojan.WinLNK.Agent.gen 2,7%
10 Trojan.WinLNK.Agent.rx 2,3%

Los datos estadísticos no toman en cuenta la categoría Hacktool de amenazas (son herramientas que suelen instalar los mismos usuarios pero que pueden usarse con fines maliciosos). En esta categoría incluimos clientes de acceso remoto, analizadores de tráfico, etc. Esta categoría reviste interés aquí ya que los modernos programas estafadores suelen usar las mismas técnicas que el malware, como la inyección en la memoria y la explotación de vulnerabilidades para evitar la detección. Si añadiéramos este tipo de detección a los datos, ocuparían el primer lugar con el 10%.

A juzgar por los datos obtenidos de nuestros antivirus web, los atacantes se enfocan preferentemente en el uso de programas mineros. The Witcher 3: Wild Hunt También ataca al TOP 3 de los juegos más explotados, cuya popularidad ha aumentado gracias a las series basadas en las novelas de Andrzej Sapkowski.

Cantidad de ataques que usan el tema de un juego en línea, enero-mayo 2020 Fuente: KSN (descargar)

Según la dinámica de las respuestas a los enlaces que contienen nombres de juegos, llegamos a la conclusión de que, entre abril y principios de mayo, los atacantes lanzaron una campaña en la que usaron varios juegos de forma simultánea. En particular, Overwatch y Players Unknown Battlegrounds fueron detectados por nuestro radar. Si miramos con detenimiento el gráfico, podemos ver muchos picos paralelos. Antes y después del periodo indicado, no persiste esta tendencia.

Ataques web que usan nombres de temas de Overwatch y PUBG, enero-mayo de 2020. Fuente: KSN (descargar)

Los usuarios en Vietnam son más susceptibles a ataques que usan temas relacionados con juegos: casi el 8% de todas las detecciones del antivirus web en este país ocurrieron en sitios cuyos nombres usaban temas de juegos.

TOP 20 de países por porcentaje de intentos bloqueados de ingresar a sitios maliciosos que usan temas de juegos de juegos en línea, enero-mayo 2020. Fuente: KSN

País Porcentaje de usuarios atacados
Vietnam 7,90%
Argelia 6,67%
Corea del Sur 6,23%
Hungría 6,20%
Rumanía 5,98%
Polonia 5,96 %
Egipto 5,20%
Portugal 4,84%
Malasia 4,75%
Grecia 4,56%
Filipinas 4,51%
Uzbekistán 4,48%
Túnez 4,41%
Marruecos 4,06%
Irak 3,82%
Brasil 3,61%
Italia 3,59%
Indonesia 3,54%
Birmania 3,52%
Francia 3,52%

Después de Vietnam, el TOP 5 de países en esta categoría incluye a Argelia, Corea, Hungría y Rumanía. En general, el TOP 20 incluye muchos países de África del Norte, Asia y Europa, especialmente del sur y del este.


Decenas de millones de personas que se encuentran confinadas en sus hogares (en combinación con mucho tiempo libre) han provocado un fuerte impulso a la industria de los juegos en línea. Por supuesto, los ciberpiratas no podían dejar de aprovechar esta nueva situación, por lo que hemos visto un impresionante aumento en los intentos de acceder a sitios de phishing que explotan los temas de juegos.

Sin embargo, debemos tener en cuenta que esto se ha visto facilitado no solo por los esfuerzos de los atacantes, sino también por las acciones descuidadas de los mismos usuarios, que son engañados por mensajes de correo aparentemente enviados en nombre de los servicios de juegos, o que buscaban versiones pirateadas de algunos juegos populares, o cayeron víctimas de programas estafadores.

Por desgracia, en la mayoría de los casos, los ciberpiratas no necesitan esquemas con sofisticada tecnología para lanzar ataques exitosos. Es suficiente recurrir a temas relevantes, uno de los cuales, en la primavera de 2020, fue el de los videojuegos.

Category: Destacados
Date: Wed, 17 Jun 2020 10:00:28 +0000
Local date: Wed, 17 Jun 2020 10:00:28 +0000
Language: es-ES
Encoding: UTF-8
Feed type: RSS
itemImageWidth: 1200 px
itemImageHeight: 800 px
Do cybercriminals play cyber games during quarantine?
Author: Maria Namestnikova
Link :
Email :
Description: Thanks to the coronavirus pandemic, the role of the Internet in our lives has undergone changes, including irreversible ones. We decided to take a closer look at the changes around us through the prism of information security, starting with the video game industry.
Full content:

Thanks to the coronavirus pandemic, the role of the Internet in our lives has undergone changes, including irreversible ones. Some of these changes are definitely for the better, some are not very good, but almost all of them in some way affect digital security issues.

We decided to take a closer look at the changes around us through the prism of information security, starting with the video game industry.

Key findings:

  • The daily number of blocked attempts to visit malicious gaming-related websites, or browse to such sites from gaming-related websites (or forums), increased by 54% in Aprilcompared to January of this year. In May, we saw a downward trend in this indicator: -18% compared to April.
  • The number of blocked attempts to visit phishing sites that exploit online gaming topics has increased. In particular, the number of notifications from fake Steam gaming platform sites increased by 40% from February to April.
  • Attackers use Minecraft, Counter-Strike: Global Offensive and The Witcher 3: Wild Hunt most often.
  • The users most targeted by such attacks are from Vietnam (7.9%), Algeria (6.6%), Korea (6.2%), Hungary (6.2%) and Romania (6%)

I play until the boss sees

Figures from various sources show that the pandemic has led to a sharp increase in player activity. In March, according to, sales of games, both computer and console, increased significantly.

Growth in game sales in the week of March 16-22. Source: (download)

In April, the number of downloads, as well as the number of simultaneous online players, of Steam reached record levels. The Steam user activity graph (both in-game and just installing the client) (Steam Database) shows the peak of activity on April 4. After that, activity started to reduce, but only slowly. Moreover, the activity graphs of the players are noticeably different from the usual ones – periods of inactivity are less pronounced than in ordinary pre-quarantine days, and the peaks last longer.

The number of Steam users per day. Source:

All these stats are totally understandable. First, people have more free time for games. Statistics collected by Nielsen Games as part of their regular survey of gamers confirms this thesis:

The increase in the amount of time spent playing video games by players in different countries. Source: Hollywood Reporter (download)

Second, apparently not all people who wanted to spend time playing video games had a computer at home that would let them do it. That’s what you can figure out checking out the hardware statistics displayed on the Steam site.

If you look closely at the graphics containing information on the video cards used by Steam users, you can see a clear change in graphics cards, which were completely flat before, occurring in March 2020. Until now, the proportions of Nvidia, Intel and AMD video cards have remained at the same level relative to each other. Since the beginning of quarantine, the share of Intel and AMD video cards has grown quite noticeably. This growth was within 2%, which might seem insignificant, until you remember that there are more than 20 million Steam users. That is, the additional number of devices with Intel and AMD graphics cards amounted to hundreds of thousands of computers. Given the specifics of video cards from different manufacturers, we can safely assume that these hundreds of thousands of devices are office laptops that arrived at home during quarantine and that people installed Steam while the boss wasn’t able to see it anyway.


This is also confirmed by the sudden  in the graphs showing the ratio of Intel and AMD processors (Intel also grew from the beginning of quarantine); and the processors used by players in terms of the number of cores (atypical growth in this proportion was shown by 4-core and 2-core processors) :


Let’s play with the bad guys?

The increase in the number of players and the time they spend in games, of course, did not go unnoticed by cybercriminals. Gamers have long been the target of attacks by bad guys, who are mainly interested in logins and passwords for game accounts. Now, with the connection of work computers to home networks, and, conversely, with the entry of home devices into work networks that are often poorly prepared for this, attacks on players are becoming not only a way to get to an individual user’s wallet, but also a way to access the corporate infrastructure.

In the first five months of 2020, the number of vulnerabilities discovered on Steam has already exceeded the number of vulnerabilities discovered in any of the previous years. This fact, among other things, indicates a growing interest in finding such vulnerabilities.

Source: (download)

We shouldn’t forget also that at the end of April 2020, Valve confirmed the leak of the source code of the popular network games CS: GO and Team Fortress 2. Attackers are most probably already trying to parse their code in search of vulnerabilities that can be used for their own purposes. It is important to understand that these are not offline games, but online games that need a constant connection to game servers and frequent updates. This makes their users even more vulnerable, because their devices are obviously always online, and players are always ready to install an “update” so as not to lose the ability to play.

But even without technically complex attacks using zero-day vulnerabilities, attackers have a large field for their activities. Realizing that the gaming industry is experiencing an unexpected increase in the number of players, they have “increased power” in the field of attacks that exploit the gaming theme in one way or another.

The logical step on the part of the attackers was to increase the number of phishing attacks. This is confirmed by Kaspersky AntiPhishing and the Kaspersky Security Network (KSN). By comparison with February, the number of hits on the thousand most popular phishing sites containing the word “Steam” in the name has significantly increased. Such triggering peaked in April.

An increase in the number of hits on phishing Steam-related topics relative to February 2020. Source: Kaspersky Security Network (download)

There is a clear increase in the statistics of web antivirus detections of sites with names exploiting the game theme as a whole, for example, containing the names of popular video games and gaming platforms.

The number of web attacks using game subjects during the period from January to May 2020. Source: KSN (download)

A wide variety of malicious programs are spread with such malicious links: from password stealing malware to ransomware and miners. As always, they fake free versions, updates or extensions for popular games, as well as cheat programs. A similar picture is observed among malicious files that use game-related names to stay unnoticed.

Local threats that use game-related themes as a cover 

Verdict % of all attacks
1 UDS: DangerousObject.Multi.Generic 8.5%
2 5.4%
3 PDM: Trojan.Win32.Generic 3.8%
4 HEUR: Trojan.Multi.StartPage. b 3.5%
5 PDM: Trojan.Win32.Bazon.a 3.5%
6 Trojan.WinLNK.Agent.ra 3.4%
7 HEUR: Trojan.Win32.Generic 3.2%
8 Email-Worm.Win32. Brontok.q 3.2%
9 HEUR: Trojan.WinLNK.Agent.gen 2.7%
10 Trojan.WinLNK.Agent.rx 2.3%

The statistics do not take into account the Hacktool category of threats – tools that are usually installed by the users themselves but can be used for malicious purposes. We include remote access clients, traffic analyzers, etc. in this category. This category is of interest here because modern cheat programs often use the same techniques as malware, such as memory injection and exploiting vulnerabilities to bypass protection. If we add this kind of detection to the statistics, it will take first place with a share of 10%.

Judging by the statistics obtained from our web antivirus, the attackers focus the most on Minecraft usage. The Witcher 3: Wild Hunt also hits the TOP 3 of the most exploited games, the popularity of which has grown sharply thanks to the series based on the novels by Andrzej Sapkowski.

The number of attacks using the theme of an online game, January-May 2020. Source: KSN (download)

 Following the dynamics of the responses to the links containing the names of the games, we came to the conclusion that from April to early May, the attackers conducted a campaign in which they used several games at once. In particular, Overwatch and Players Unknown Battlegrounds came into the view of our radar. If you look closely at the graph, you can see many parallel peaks. Before and after the indicated period, this trend does not persist.

Web attacks using the themes of Overwatch and PUBG, January-May 2020. Source: KSN (download)

Users in Vietnam are most susceptible to attacks using game-related topics: almost 8% of all web antivirus detections in this country occurred on sites whose names used the theme of games.

TOP 20 countries by the proportion of blocked attempts to enter malicious sites using the theme of online games, January-May 2020. Source: KSN

Country Percentage of attacked users
Vietnam 7.90%
Algeria 6.67%
South Korea 6.23%
Hungary 6.20%
Romania 5.98%
Poland 5.96%
Egypt 5.20%
Portugal 4.84%
Malaysia 4.75%
Greece 4.56%
Philippines 4.51%
Uzbekistan 4.48%
Tunisia 4.41%
Morocco 4.06%
Iraq 3.82%
Brazil 3.61%
Italy 3.59%
Indonesia 3.54%
Myanmar 3.52%
France 3.52%

Following Vietnam, the TOP 5 countries for this parameter include Algeria, Korea, Hungary and Romania. In general, the TOP 20 includes many countries in North Africa, Asia and Europe, especially Southern and Eastern Europe.


Tens of millions of people who find themselves isolated at home (combined with plenty of free time) have given a serious boost to the gaming industry. Of course, the attackers could not help but take advantage of this situation and we have seen an impressive increase in attempts to switch to phishing sites that exploit gaming topics.

However, we should keep in mind that this was facilitated not only by the efforts of attackers, but also by the careless actions of the users themselves, who fell for fake emails apparently sent on behalf of game services, or who were looking for hacked versions of some popular games and cheat programs for others.

Unfortunately, in most cases, cybercriminals do not need technologically sophisticated schemes to carry out successful attacks. It is enough to use relevant topics, one of which in the spring of 2020 was video games.

Category: Featured
Date: Wed, 17 Jun 2020 10:00:24 +0000
Local date: Wed, 17 Jun 2020 10:00:24 +0000
Language: en-US
Encoding: UTF-8
Feed type: RSS
itemImageWidth: 1200 px
itemImageHeight: 800 px
Explicit content and cyberthreats: 2019 report
Author: Kaspersky
Link :
Email :
Description: Over the past two years we have reviewed how adult content has been used to spread malware and abuse users' privacy. This is a trend that's unlikely to go away, especially under current circumstances. While many pornography platforms are enjoying an influx of new users and providing legitimate and safe services, the security risks remain, if not increase.
Full content:

‘Stay at home’ is the new motto for 2020 and it has entailed many changes to our daily lives, most importantly, in terms of our digital content consumption. With users opting to entertain themselves online, malicious activity has grown. Over the past two years we have reviewed how adult content has been used to spread malware and abuse users’ privacy. This is a trend that’s unlikely to go away, especially under current circumstances. While many pornography platforms are enjoying an influx of new users and providing legitimate and safe services, the security risks remain, if not increase.

One of the key concerns that arises when it comes to adult content is the risk to privacy. Every passing year shows privacy is becoming an ever scarcer resource, with mobile devices becoming a popular new infection point. With data leaks happening more frequently than ever, abuse of privacy and its value has yet again become a popular topic of discussion, and a point of concern for many users who may have previously overlooked the issue altogether. The new reality shows this threat is real and quite tangible. Agreeing to a social contract that entails giving up your data in exchange for services, is now widely accepted in our society. It is, however, a completely different story if the data you had no intention of sharing ends up in the open. A situation like that can have devastating consequences and even put lives at risk. Our sexual preferences and sex life most probably top the list of things that we as a society still prefer to keep private, with 28% of users believing porn-related searches must be kept private. However, cybercriminals seem to think otherwise.

Recent news about data leaks relating to pornography confirm the trend. The OnlyFans leak of adult content created by sex workers, which is not only a source of income for them but also information that they did not choose to share publicly, is just one notable incident. This and other examples demonstrate how leaks lead to personal lives being violated, why it is harmful and may even be dangerous. The leak of over 1.195 million users’ personal information from a hentai pornography site is yet another example of how data not meant to be in any way exposed publicly was abused, putting numerous users at risk. Such incidents are happening more and more frequently, and the fault of the organizations that handle such data cannot be overlooked – too often user data is unsecured and unencrypted, despite being a tempting target for cybercriminals looking to make money.

But, of course, there’s more to it than that. To understand which threats await viewers of adult content we conducted the following research.

Methodology and key findings

To understand the risks that may be associated with pornographic content online, we researched several types of threats. We evaluated mobile and PC-focused malware disguised as adult content to see what kind of files users might be downloading and thus putting themselves at risks. We tested whether and to what extent violent content and adult dating apps are used by cybercriminals as a disguise for malware distribution. We examined the privacy aspect of adult content consumption and dangers associated with privacy breaches – from malware hunting for credentials to pornographic websites, to what kind of sex-related content gets leaked into the dark web. We also analyzed phishing and spam linked to porn and sex dating to see what kind of content users should be wary of. Using Kaspersky Security Network – the infrastructure dedicated to processing cybersecurity-related data streams from millions of voluntary participants around the world – we measured the number and type of threats users have encountered in recent years.

Additionally, we dived into underground online markets and learnt what kind of sex-related personal data is for sale and what kind of scams are discussed among the cybercriminal fraternity.

As a result, we discovered the following:

  • Mobile porn-related threats are growing, while PC-focused malware and potentially unwanted applications are becoming less appealing to cybercriminals. The number of mobile users attacked more than doubled from 19,699 in 2018 to 42,973 in 2019. By contrast, there was a drop in PC-based threats from 135,780 attacked users in 2018 to 106,928 in 2019.
  • Cybercriminals strive for more flexibility when it comes to choosing the kind of malware to distribute – almost two out of every five users attacked by porn-related PC threats have been hit by Trojan-Downloaders (39.6%) that enable other types of malware to be installed later.
  • The number of users attacked by malware hunting for credentials to access pornography websites has dropped, while the number of the malware attacks continues to grow, increasing by 37% from 2018 to 2019 and reaching a total of 1,169,153 in 2019. This demonstrates the persistence of botnets in attacking the same users – a radically different picture to 2018.
  • Privacy becomes an even bigger concern for users when it comes to adult content. Things like leaked personal images and stolen premium subscriptions for pornography sites remain in high demand, with the theme of sex continuing to be used by cybercriminals as an easy way to make money.

PC threats

Malware is spread through the web – disguised as software updates or files, it is distributed across numerous websites all over the digital space. The distribution system is vital for malware. In the past, ‘black SEO‘ – a technique that enabled malicious sites to appear higher up in search results – was the most prevalent, but now that search engines have taken effective steps to hinder it, cybercriminals have turned to other channels.

Malicious software is often distributed via an affiliate network of websites that share pornographic content (we looked into a similar case, though on a less carnal theme, in one of our recent reports on Shlayer Trojan). Moreover, these websites can be created by cybercriminals using template pornographic websites – such services are freely available and their main aim is to create a source of income for the owners from advertising. With control of the content on a website where sextortion malware is distributed, cybercriminals can narrow down the victims to their target audience.

Legitimate websites can also be a source of threats, often unknowingly, with malicious links placed in the comments sections or through the use of malvertising. While the most popular online porn websites are well protected and rarely become a source of malware, this is not necessarily the case for many others. All in all, this shows that downloading anything from the web always comes with risks that have to be considered by any user.

Porn tags = malware tags

Pretty much any content that is in demand can be used as bait by cybercriminals, and this is especially true when it comes to online entertainment. Our previous research has shown that the best way to deliver infected files to victims’ devices is to disguise them as something that they are actually looking for. In the case of adult content, using porn tags has proven to be a popular method. ‘Porn tag’ is a term used to categorize the pornographic video genre. Each porn website has a dedicated page with porn tags and the number of videos available with these tags, reflecting the popularity of the content.

Previously, to determine how prevalent threats disguised as pornographic content were, we analyzed the 100 most popular tags. This showed a correlation between the popularity of porn tags and infected files under the guise of adult content – most malware is distributed under the guise of just a few of the most popular tags. This means it’s not necessary to analyze all 100 tags to understand the threat landscape. This year we limited the analysis to the 10 most popular tags – these we ran against our database of threats and Kaspersky telemetry. We selected the most popular tags based on information from the top three most visited porn websites, choosing those with the most videos uploaded.

The comparison between results for 2018 and 2019 showed that the number of users attacked by this threat has decreased, from 135,780 to 106,928, as did the number of attacks – from 148,419 to 108,973. This, however, does not signal that the threat has become less significant. The results showed a wide variety of files infected both by malware and not-a-virus threats – these included RiskTools, Adware and Downloaders. In fact, in 2019, 473 families of malware and not-a-virus threats belonging to 32 varieties were spread, slightly less than 2018 with 527 families and 30 varieties.

Unique files distributed, the number of users affected and the number of detections of malicious files masked as adult content for PCs in 2018 and 2019. Source: Kaspersky Security Network (download)

Looking at the threats that attacked most users, we see a growth in the share of Trojan-Downloaders – a type of malicious software capable of downloading any other software after installation of the Trojan on a device. Two out of every five users (39%) that downloaded malware under the guise of porn-related content were attacked by this threat. Trojan-Downloaders enable attackers to adapt their strategy and target infected users with whichever malware they deem most effective and profitable.

Once launched, the Trojan-Downloader.Win32.Autoit.vzu distracts the user with the desired video while simultaneously trying to covertly download and launch another malicious file on the infected device

Other types of Trojans are also a popular choice for cybercriminals, followed by not-a-virus threats such as Downloaders and Adware. It’s important to note that Trojan-Ransom and Backdoors, relatively dangerous threats, still remain in the top 10. These threats have been decreasing for a while, but we see that they have not been rendered obsolete. In particular, ransomware that spreads via porn-related docs is more likely to be targeted activity focused on users that view illicit content and wouldn’t want anyone to find out about it.

Top 10 classes of threat that went under the guise of porn-related categories by the number of attacked users in 2018 and 2019. Source: Kaspersky Security Network (download)

A closer look at the most popular detection names demonstrates that the difference between the most prevalent threats in 2018 and 2019 is very minor. Downloaders became even more popular due to their aforementioned flexibility, accounting for six of the top 10 detections in 2019. Adware and not-a-virus Downloaders also remained widespread.

Top 10 detection names for threats disguised as porn-related content, by the number of attacked PC users, in 2018 and 2019. Source: Kaspersky Security Network (download)

Credential hunters

In the digital age, virtually anyone is at risk of losing personal information, particularly valuable credentials. In order to automate the gathering of this information, cybercriminals use credential hunters – a type of malware, whose purpose is to steal login information from various websites and services. We track this sort of malware using our botnet-tracking technology, which enables monitoring of active botnets, gathers intelligence and prevents emerging threats.

Once installed on a PC, this malware can monitor web pages that are opened or create fake ones prompting the user to enter their login and password credentials. This technique is most often used for stealing banking details, though porn sites have not been immune to this malicious activity either.

The dynamics of botnet activity in relation to porn content over the past three years shows a curious tendency – it drew more interest from various groups in 2018, but started declining in 2019, even though the overall number of attacks continued to grow. This is reflected both by a significant decline in the number of users affected by botnets that stole porn accounts in 2019, as well as a decrease in the variety of botnets used to hunt for credentials. For instance, in 2017 only three malware families hunted for porn-related accounts; in 2018 the number grew to five families, while in 2019 it dropped to just one named Ramnit. This further confirms that at some point in 2018 more actors engaged in stealing password credentials from porn sites, but for some reason their interest waned in 2019.

The number of attacked users and detections of attacks by botnets hunting premium porn accounts, 2017-2019. Source: Kaspersky Security Network (download)

The number of sites affected in 2019 remained the same as the previous year – and, both among the top three most visited porn sites according to statistics in 2020, were targeted in 2019. As attacks consolidated into the activity of just one family, the number of users affected also dropped by 65% from 110,000 in 2018 to 38,846 in 2019. Nevertheless, the number of attacks continued to grow, increasing by 37% from 2018 to 2019 and reaching a total of 1,169,153 attacks, showing the persistence of botnets in attacking the same users.

Overall, we can conclude that even though less cybercriminals demonstrated an interest in credential hunting from porn sites, the threat is still real and focused only on the most visited sites, reflecting the cybercriminals’ understanding of potential demand for credentials on the black market.

Mobile threats

To learn more about mobile threats related to illicit content, we checked all files disguised as porn videos or adult-content installation packages for Android in 2018 and 2019. While we still used porn tags as a filtering criterion – as we did for the analysis of PC-based threats – the methodology was slightly different. We ran 200 popular porn tags against our database of threats in order to gain the fullest insight into porn-related mobile threats. The analysis showed results for 105 tags in 2018 and for 99 tags in 2019, demonstrating that not all porn attracts cybercriminals. Even though less tags were used to spread malicious files disguised as porn, in 2019 the number of users attacked by porn-related malware and not-a-virus threats grew two-fold, reaching 42,973 compared to 19,699 users attacked in 2018.

We also separately ran 40 ‘violent’ porn tags against the same database of detections on Android devices. The violent category included a variety of tags associated with sexual violence against another person. The hypothesis was that more unusual porn tags might demonstrate a disproportionally higher level of malicious activity. However, the results showed that these tags are hardly used for spreading malware, with 270 and 133 attacked users in 2018 and 2019 respectively.

Analysis of the types of threats distributed via such porn-related files demonstrated a slight growth in their variety – in 2018 we found 180 malware and not-a-virus threat families belonging to 20 classes of threats, while in 2019 the numbers were 203 and 20 respectively. Adware, software that’s used to show and redirect users to unwanted advertising pages, remained in first place in terms of variety, with a fifth (19%) of malicious files being AdWare installers. Not-a-virus: RiskTools and Trojans remained among the top three types of threat both in 2018 and 2019, even though their proportions have changed slightly.

Top 10 types of mobile threat that make up the variety of porn-related categories, in 2018 and 2019. Source: Kaspersky Security Network (download)

The proportion of Trojan-Bankers, which hunt for banking cards and other payment credentials, dropped from 7% to 5%. Overall, however, we can see that the types of threat distributed under the guise of adult content has hardly changed in terms of variety.

Looking deeper into the types of threats and how widespread they are, we can see that most users have been targeted by adware detected as AdWare.AndroidOS.Agent.f. This was true for 2018 when 39.23% of attacked users were targeted by this threat, and for 2019 with 35.18% of users attacked by it. Furthermore, six of the top 10 porn-related threats for mobile users were adware in 2018 and seven in 2019. This further confirms that the popularity of adware continues to grow.

Top 10 detection names that represent porn-related categories, by the number of attacked mobile users in 2018 and 2019. Source: Kaspersky Security Network (download)

This type of threat is typically distributed through various affiliate programs whose purpose is to earn money per installation or per download of malicious applications by victims, a method we mentioned in earlier sections.

Overall analysis of the prominence of various types of threats shows that although downloading porn-related content from untrustworthy sources typically leads to infection with adware, more serious threats, including backdoors, spyware and ransomware, can still end up on the devices of unwitting users.

Although adult dating is a topic of interest for cybercriminals (see the Phishing and spam section), creating malicious applications that pretend to be sex dating apps doesn’t appear to be worth the effort. This year we analyzed a variety of threats distributed under the guise of popular sex dating applications. Sex dating apps, unlike regular dating apps, are focused on finding a date for a sexual encounter, meaning such apps have a much clearer targeted audience.

We were interested in seeing whether cybercriminals use popular brand names of sex dating apps in order to distribute malware or not-a-virus threats. The number of attacked users, however, turned out to be miniscule – just 32 over the whole of 2019. This is many times less compared to regular dating apps such as Bumble or Tinder, thus proving that malicious files under the guise of sex dating apps are rarely a source of threat to users. This could be due to the fact that downloading such apps involves greater privacy concerns and is therefore carried out with more attention to the legitimacy of the resource.

Our research found that malicious samples of apps used the names of the following brands: Grindr, Down Dating and Tingle. It’s important to note that the malicious software is no connected in any way to the actual sex dating apps and only uses their brand name to trick users.

Detection name %
not-a-virus:UDS:AdWare.AndroidOS.MobiDash.z 55,17%
not-a-virus:HEUR:AdWare.AndroidOS.MobiDash.z 51,72% 10,34% 6,90%
not-a-virus:HEUR:AdWare.AndroidOS.Mobidash.aj 6,90%

 Top 5 detection names for mobile threats pretending to be adult dating apps in 2019. Source: Kaspersky Security Network

Phishing and spam

Phishers and spammers are also not averse to using the porn theme. Our content-filtering technologies give us an insight into the kind of porn-related spam and phishing that users are targeted with, as well as enabling us to protect those users.

It’s important to note that the phishing versions of websites are not connected to the original platforms in any way. Cybercriminals copy the websites, often replicating them down to the smallest detail, making it hard for an unwitting user to tell a phishing page from an original. To make the websites appear as trustworthy as possible, fraudsters usually opt to copy the most popular platforms that are widely recognized by users, such as, and several others. Such phishing websites are generally blocked by search engines and are therefore usually reached via phishing or spam emails, malware or malicious frames redirecting users to compromised websites or malvertising.

The most common goal of these phishing pages is to gather the personal information of users – their credentials and contact details, which can later be sold or used for malicious purposes. Certain websites employ social media authorization for access to the website – this is done to confirm that a user is over 18. Cybercriminals replicate these authorization pages, so they can get their hands on users’ social media credentials when then log in.

This phishing page replicates the authorization page to Pornhub through a popular social network. Once a user logs in, their social media credentials are stolen by the fraudsters

Pornographic phishing pages are also used to spread malware – once a user starts playing a video, they receive a notification that a video player update is required. The downloaded program, however, is in fact malware.

This phishing copy of the popular site mimics the legitimate website’s homepage and is practically impossible to differentiate from the original

Other phishing schemes target e-wallets and credit card credentials. In such cases the victim is lured to pornographic websites to watch a video that is only accessible if the user registers and provides their payment details.

Spam scam

For a few years we didn’t see much activity in terms of pornographic or sex-related content in spam, but then in 2019 the situation changed. Spam emails usually don’t focus on promoting pornographic content as such, but they are used to lure users to phishing sites using social engineering techniques, extort money or simply to advertise sites with explicit content.

The most common type of spam is that focusing on sex dating. Users receive emails allegedly from lonely ladies who invite them to chat on a website. The user is then directed to a new sex dating website with bots pretending to be attractive women, who then coax money from the victims for various content, such as erotic photos or premium access to the website. Cybercriminals also ask users to share their credit card data in order to ‘confirm their age’. Needless to say, this credit card data will later be used or resold on black market forums.

Emails dedicated to sex dating can either look like advertising or messages sent directly from women

This sex dating app interface shows various dialogues from bots pretending to be attractive women

Users are asked to share their credit card details that will be used to activate an allegedly free membership on the site

We have also seen the spread of spam promoting web porn games, with samples of emails advertising platforms where users can play 18+ games, such as 3D porn arcades, and watch explicit content that actually does lead to genuine websites. The main purpose of these spam emails is to advertise the availability of such content.

The email above advertises a website hosting 3D porn games

One of the darkest and possibly most harmful types of sex-related spam is blackmail or ‘sextortion scams’, which have been used by cybercriminals for over three years. We saw the rise of such emails in 2018 with the email content becoming more and more sophisticated. The trend continued in 2019, with new variations of the scams popping up across the web.

The scheme usually works as follows: users receive emails from scammers that claim to have hacked their computers and recorded them watching porn. The emails claim that the threat actor has contact information for friends and family as well as the social media credentials of the users that the actor will use to spread a video of the victim recorded via webcam. The cybercriminal also lists the technologies he allegedly used to gather information about the user to make the email sound more convincing.

In order to lend further legitimacy, the extortionist will claim to have personal information about the user, for instance, their password. The scammer may even cite a password that is allegedly used by the victim. For this purpose, cybercriminals often make use of databases purchased on the dark web. Because users often have the same passwords for different websites, it can be easy to convince victims that their devices have been compromised, even if the password doesn’t match a specific account. Having scared the victim into believing their reputation could be ruined, the scammers demand payment in bitcoin and even provide basic instructions on how to transfer the money.

This sextortion email demonstrates how cybercriminals try to convince a victim that they have been hacked

Last year the industry also saw variations of these scams: emails were distributed in a different language and the bitcoin number was split in two, so that detection systems wouldn’t identify it as spam. Another social engineering trick – convincing the victim that the girlfriend of one of his friends was compromised and blackmailed, but refused to pay – prompts the user out of sheer curiosity to click on malicious attachments in the emails that then download malware. This shows that the cybercriminals continue to adapt their schemes, taking into account developments in security measures and user behavior.

The dark web and beyond – a peek into the market behind the curtain

The dark web is the go-to place when it comes to understanding how the cybercriminal market operates. Various forums are used for the sale of malware, personal data, and the exchange of knowledge, often, quite practical. They also reflect the market value of stolen personal data. The sale of data is like any other business and the way it is organized resembles regular marketplaces, with guarantees from the sellers, a variety of choice and competitive pricing.

An example of a post made in 2019 on a forum offering stolen accounts for a very low price and providing pricing recommendations for resale

Premium adult website accounts, which we addressed in the Credential hunters section of this report, end up on dark web marketplaces where they are sold both in bulk and individually at low prices – starting from as little as US$0.50 per account. The accounts are usually resold at surface web platforms for up to US$5-10, with sellers even recommending prices for the resale of individual accounts. Furthermore, the buyers of stolen accounts often get a lifetime guarantee that the accounts will continue to work and remain accessible, with an option to replace those that become unavailable. The examples below demonstrate how widespread this practice is – on one forum alone we saw 210 offers of stolen accounts.

An example of an illegal forum that contains 210 offers of porn-related accounts for sale

Stolen accounts, somewhat ironically, are often purchased by individuals who care about their privacy and don’t want their personal information such as credit card data or email addresses revealed. Buyers often pay with cryptocurrency, thus remaining completely anonymous.

An example of an advertisement selling stolen Pornhub premium accounts on a regular forum for a low price. Buyers are offered discounts for buying in bulk

Premium porn site accounts are not the only adult content sold on the dark web and illegal forums on the surface web. A glimpse into the dark web market showed the twists and turns a data leak can take when the exposed content is sensitive. In the past year we have seen numerous cases of private adult content sites leaking content created by webcam models, along with their personal details, devastating the victims. But the creators of adult content are not the only ones at risk. While celebrities are the intended targets of such leaks, regular users may also see their private images end up on the web.

While databases of nude images are often available for free (with a donation-based support system for the publisher), some adult image content, including leaked personal images, is sold, albeit quite cheap – for as little as US$2.00 for a collection. This is the price tag cybercriminals put on the private lives of thousands of individuals, underlining a disturbing tendency that places little value on users’ personal data.

This screenshot showcases collections of nude images, both leaked and collected, sold for as low as US$2.00 per collection

This website offers to download sex tapes and nude content of various celebrities for free

Another disturbing trend that we have seen on the dark market is the extension of malware-as-a-service concept, with ready-to-use packages of content and instructions created for fraud. While in the past hackers may have exchanged information on how to trick users or skim cards, now some offer their expertise in other fields, including money extortion from victims interested in sex or simply human attention, albeit intimate.

For instance, in the example below a user offers a full sextortion package with instructions for new users. The package has been created for fooling users into believing they are talking to a real girl and as a result extorting money from them. It not only includes images and videos of a supposed model, which certainly lends more credibility to the trick, it also contains instructions on how to use it to make money – according to the ad, suitable “both for experienced and beginner user”. As a bonus the seller offers access to various porn accounts and certain gifts, and on top of that, shares information about fraud tutorials that the seller has created.

An example of an extortion package sold on the dark market

The seller goes as far as describing the value of his package and providing tutorials on how to use his product

We have seen blog posts where cybercriminals share their experience of creating and distributing various malware, including sextortion ransomware. For instance, one of them described a process for creating and distributing mobile ransomware focused on sextortion. An app would use a frontal camera to take a picture of a user and, accusing one of watching illicit content, would threaten to distribute the user’s photograph along with screenshots of the content they were watching unless the victim pays. Sound familiar? That’s because the method has been around for years, and is unlikely to go away – as long as there are unprotected and vulnerable users, there will always be someone taking advantage.

Conclusions and advice

The overview of porn-related threats allows us to draw a few substantial conclusions. While we have not seen many changes in the techniques used by cybercriminals, statistics show that this topic remains a steady source of threats. Although PC malware distribution has been dropping – a trend that we have seen lately for a variety of threats – mobile malware is on the rise. With users increasingly using mobile devices for more tasks than ever (and that includes different types of entertainment), it is likely that cybercriminals have responded to this trend. While we cannot confirm a correlation, significant changes in the number of users affected both by PC and mobile malware relating to adult content allows us to at least theorize that this is one of the reasons for the change.

Another important conclusion to draw attention to is that of abuse of privacy. While some users have taken their privacy to a new level by anonymously purchasing online accounts, others remain at more risk than ever of compromising their data. Both the leaks we have seen in the media in the past year and the availability of personal or private information on the dark market for minimal sums suggest that the risks to users are increasing. With cybercriminals able to cross-reference various leaked databases of users, they are able to make more informed decisions on who to target and how, making sextortion and scamming more effective. More than ever, users need to take serious steps to protect themselves by applying advanced security measures and educating themselves on handling their data on the web and evaluating what risks exposure entails.

To consume and produce adult content safely, Kaspersky advises the following:

For consumers:

  • Pay attention to the website’s authenticity. Do not visit websites until you are sure they are legitimate and start with ‘https’. Confirm that the website is genuine by double-checking the format of the URL or the spelling of the company name and try looking for reviews of sites that seem suspicious;
  • If you want to buy a paid subscription to an adult content website, only purchase it on the official website. Double-check the URL of the website and make sure it’s authentic;
  • Check any email attachments with a security solution before opening them – especially from dark web entities (even if they are expected to come from an anonymous source);
  • Patch the software on your PC as soon as security updates for the latest bugs are available;
  • Do not download pirated software and other illegal content. Even if you were redirected to the webpage from a legitimate website;
  • Check application permissions on Android devices to see what your installed apps are allowed to do;
  • Do not install applications from untrusted sources, even if they are actively advertised, and block the installation of programs from unknown sources in your smartphone settings;
  • Use a reliable security solution with behavior-based anti-phishing technologies – such as Kaspersky Security Cloud to detect and block spam and phishing attacks. The solution also incorporates the Permission Checker feature for Android that helps users identify potentially dangerous or questionable requests made by the downloaded app, and explain the risks associated with different types of common permissions.

For businesses:

  • Educate employees on the risks of reckless online behavior – both for themselves and for the business. Schedule basic security awareness training for your employees, such as Kaspersky Automated Security Awareness Platform that covers email security and internet security, among other essential practices.
Category: Featured
Date: Mon, 15 Jun 2020 10:00:05 +0000
Local date: Mon, 15 Jun 2020 10:00:05 +0000
Language: en-US
Encoding: UTF-8
Feed type: RSS
itemImageWidth: 1200 px
itemImageHeight: 800 px
Looking at Big Threats Using Code Similarity. Part 1
Author: Costin Raiu
Link :
Email :
Description: Today, we are announcing the release of KTAE, the Kaspersky Threat Attribution Engine. This code attribution technology, developed initially for internal use by the Kaspersky Global Research and Analysis Team, is now being made available to a wider audience.
Full content:

Today, we are announcing the release of KTAE, the Kaspersky Threat Attribution Engine. This code attribution technology, developed initially for internal use by the Kaspersky Global Research and Analysis Team, is now being made available to a wider audience. You can read more about KTAE in our official press release, or go directly to its info page on the Kaspersky Enterprise site. From an internal tool, to prototype and product, this is a road which took about 3 years. We tell the story of this trip below, while throwing in a few code examples as well. However, before diving into KTAE, it’s important to talk about how it all started, on a sunny day, approximately three years ago.

May 12, 2017, a Friday, started in a very similar fashion to many other Fridays: I woke up, made coffee, showered and drove to work. As I was reading e-mails, one message from a colleague in Spain caught my attention. Its subject said “Crisis … (and more)”. Now, crisis (and more!) is not something that people appreciate on a Friday, and it wasn’t April 1st either. Going through the e-mail from my colleague, it became obvious something was going on in several companies around the world. The e-mail even had an attachment with a photo, which is now world famous:

Soon after that, Spain’s Computer Emergency Response Team CCN-CERT, posted an alert on their site about a massive ransomware attack affecting several Spanish organizations. The alert recommended the installation of updates in the Microsoft March 2017 Security Bulletin as a means of stopping the spread of the attack. Meanwhile, the National Health Service (NHS) in the U.K. also issued an alert and confirmed infections at 16 medical institutions.

As we dug into the attack, we confirmed additional infections in several additional countries, including Russia, Ukraine, and India.

Quite essential in stopping these attacks was the Kaspersky System Watcher component. The System Watcher component has the ability to rollback the changes done by ransomware in the event that a malicious sample manages to bypass other defenses. This is extremely useful in case a ransomware sample slips past defenses and attempts to encrypt the data on the disk.

As we kept analysing the attack, we started learning more things; for instance, the infection relied on a famous exploit, (codenamed “EternalBlue”), that has been made available on the internet through the Shadowbrokers dump on April 14th, 2017 and patched by Microsoft on March 14. Despite the fact the patch has been available for two months, it appeared that many companies didn’t patch. We put together a couple of blogs, updated our technical support pages and made sure all samples were detected and blocked even on systems that were vulnerable to the EternalBlue exploit.

Meanwhile, as everyone was trying to research the samples, we were scouting for any possible links to known criminal or APT groups, trying to determine how a newcomer malware was able to cause such a pandemic in just a few days. The explanation here is simple – for ransomware, it is not very often that we get to see completely new, built from scratch, pandemic-level samples. In most cases, ransomware attacks make use of some popular malware that is sold by criminals on underground forums or, “as a service”.

And yet, we couldn’t spot any links with known ransomware variants. Things became a bit clearer on Monday evening, when Neel Mehta, a researcher at Google, posted a mysterious message on Twitter with the #WannaCryptAttribution hashtag:

The cryptic message in fact referred to a similarity between two samples that have shared code. The two samples Neel refers to in the post were:

  • A WannaCry sample from February 2017 which looks like a very early variant
  • A Lazarus APT group sample from February 2015

The similarity can be observed in the screenshot below, taken between the two samples, with the shared code highlighted:

Although some people doubted the link, we immediately realized that Neel Mehta was right. We put together a blog diving into this similarity, “WannaCry and Lazarus Group – the missing link?”. The discovery of this code overlap was obviously not a random hit. For years, Google integrated the technology they acquired from Zynamics into their analysis tools making it possible to cluster together malware samples based on shared code. Obviously, the technology seemed to work rather nicely. Interestingly, one month later, an article was published suggesting the NSA also reportedly believed in this link.

Thinking about the story, the overlap between WannaCry and Lazarus, we put a plan together – what if we built a technology that can quickly identify code reuse between malware attacks and pinpoint the likely culprits in future cases? The goal would be to make this technology available in a larger fashion to assist threat hunters, SOCs and CERTs speed up incident response or malware triage. The first prototype for this new technology was available internally June 2017, and we continued to work on it, fine-tuning it, over the next months.

In principle, the problem of code similarity is relatively easy. Several approaches have been tested and discussed in the past, including:

  • Calculating checksums for subs and comparing them against a database
  • Reconstructing the code flow and creating a graph from it; comparing graphs for similar structures
  • Extracting n-grams and comparing them against a database
  • Using fuzzy hashes on the whole file or parts of it
  • Using metadata, such as the rich header, exports or other parts of the file; although this isn’t code similarity, it can still yield some very good results

To find the common code between two malware samples, one can, for instance, extract all 8-16 byte strings, then check for overlaps. There’s two main problems to that though:

  • Our malware collection is too big; if we want to do this for all the files we have, we’d need a large computing cluster (read: thousands of machines) and lots of storage (read: Petabytes)
  • Capex too small

Additionally, doing this massive code extraction, profiling and storage, not to mention searching, in an efficient way that we can provide as a stand-alone box, VM or appliance is another level of complexity.

To refine it, we started experimenting with code-based Yara rules. The idea was also simple and beautiful: create a Yara rule from the unique code found in a sample, then use our existing systems to scan the malware collection with that Yara rule.

Here’s one such example, inspired by WannaCry:

This innocent looking Yara rule above catches BlueNoroff (malware used in the Bangladesh Bank Heist), ManusCrypt (a more complex malware used by the Lazarus APT, also known as FALLCHILL) and Decafett, a keylogger that we previously couldn’t associate with any known APT.

A breakthrough in terms of identifying shared code came in Sep 2017, when for the first time we were able to associate a new, “unknown” malware with a known entity or set of tools. This happened during the #CCleaner incident, which was initially spotted by Morphisec and Cisco Talos.

In particular, our technology spotted a fragment of code, part of a custom base64 encoding subroutine, in the Cbkrdr shellcode loader that was identical to one seen in a previous malware sample named Missl, allegedly used by APT17:

Digging deeper, we identified at least three malware families that shared this code: Missl, Zoxpng/Gresim and Hikit, as shown below in the Yara hits:

In particular, the hits above are the results of running a custom Yara rule, based on what we call “genotypes” – unique fragments of code, extracted from a malware sample, that do not appear in any clean sample and are specific to that malware family (as opposed to being a known piece of library code, such as zlib for instance).

As a side note, Kris McConkey from PwC delivered a wonderful dive into Axiom’s tools during his talk “Following APT OpSec failures” at SAS 2015 – highly recommended if you’re interested in  learning more about this APT super-group.

Soon, the Kaspersky Threat Attribution Engine – “KTAE” – also nicknamed internally “Yana”, became one of the most important tools in our analysis cycle.

Digging deeper, or more case studies

The United States Cyber Command, or in short, “USCYBERCOM”, began posting samples to VirusTotal in November 2018, an excellent move in our opinion. The only drawback for these uploads was the lack of any context, such as the malware family, if it’s APT or criminal, which group uses them and whether they were found in the wild, or scooped from certain places. Although the first upload, a repurposed Absolute Computrace loader, wasn’t much of an issue to recognize, an upload from May 2019 was a bit more tricky to identify. This was immediately flagged as Sofacy by our technology, in particular, as similar to known XTunnel samples, a backdoor used by the group. Here’s how the KTAE report looks like for the sample in question:

Analysis for d51d485f98810ab1278df4e41b692761

In February 2020, USCYBERCOM posted another batch of samples that we quickly checked with KTAE. The results indicated a pack of different malware families, used by several APT groups, including Lazarus, with their BlueNoroff subgroup, Andariel, HollyCheng, with shared code fragments stretching back to the DarkSeoul attack, Operation Blockbuster and the SPE Hack.

Going further, USCYBERCOM posted another batch of samples in May 2020, for which KTAE revealed a similar pattern.

Of course, one might wonder, what else can KTAE do except help with the identification of VT dumps from USCYBERCOM?

For a more practical check, we looked at the samples from the 2018 SingHealth data breach that, according to Wikipedia, was initiated by unidentified state actors. Although most samples used in the attack are rather custom and do not show any similarity with previous attacks, two of them have rather interesting links:

KTAE analysis for two samples used in the SingHealth data breach

Mofang, a suspected Chinese-speaking threat actor, was described in more detail in 2016 by this FOX-IT research paper, written by Yonathan Klijnsma and his colleagues. Interestingly, the paper also mentioned Singapore as a suspected country where this actor is active. Although the similarity is extremely weak, 4% and 1% respectively, they can easily point the investigator in the right direction for more investigation.

Another interesting case is the discovery and publication (“DEADLYKISS: HIT ONE TO RULE THEM ALL. TELSY DISCOVERED A PROBABLE STILL UNKNOWN AND UNTREATED APT MALWARE AIMED AT COMPROMISING INTERNET SERVICE PROVIDERS“) from our colleagues at Telsy of a new, previously unknown malware deemed “DeadlyKiss”. A quick check with KTAE on the artifact with sha256 c0d70c678fcf073e6b5ad0bce14d8904b56d73595a6dde764f95d043607e639b (md5: 608f3f7f117daf1dc9378c4f56d5946f) reveals a couple of interesting similarities with other Platinum APT samples, both in terms of code and unique strings.

Analysis for 608f3f7f117daf1dc9378c4f56d5946f

Another interesting case presented itself when we were analysing a set of files included in one of the Shadowbrokers dumps.

Analysis for 07cc65907642abdc8972e62c1467e83b

In the case above, “cnli-1.dll” (md5: 07cc65907642abdc8972e62c1467e83b) is flagged as being up to 8% similar to Regin. Looking into the file, we spot this as a DLL, with a number of custom looking exports:

Looking into these exports, for instance, fileWriteEx, shows the library has actually been created to act as a wrapper for popular IO functions, most likely for portability purposes, enabling the code to be compiled for different platforms:

Speaking of multiplatform malware, recently, our colleagues from Leonardo published their awesome analysis of a new set of Turla samples, targeting Linux systems. Originally, we published about those in 2014, when we discovered Turla Penquin, which is one of this group’s backdoors for Linux. One of these samples (sha256: 67d9556c695ef6c51abf6fbab17acb3466e3149cf4d20cb64d6d34dc969b6502) was uploaded to VirusTotal in April 2020. A quick check in KTAE for this sample reveals the following:

Analysis for b4587870ecf51e8ef67d98bb83bc4be7 – Turla 64 bit Penquin sample

We can see a very high degree of similarity with two other samples (99% and 99% respectively) as well as other lower similarity hits to other known Turla Penquin samples. Looking at the strings they have in common, we immediately spot a few very good candidates for Yara rules—quite notably, some of them were already included in the Yara rules that Leonardo provided with their paper.


When code similarity fails

When looking at an exciting, brand new technology, sometimes it’s easy to overlook any drawbacks and limitations. However, it’s important to understand that code similarity technologies can only point in a certain direction, while it’s still the analyst’s duty to verify and confirm the leads. As one of my friends used to say, “the best malware similarity technology is still not a replacement for your brain” (apologies, dear friend, if the quote is not 100% exact, that was some time ago). This leads us to the case of OlympicDestroyer, a very interesting attack, originally described and named by Cisco Talos.

In their blog, the Cisco Talos researchers also pointed out that OlympicDestroyer used similar techniques to Badrabbit and NotPetya to reset the event log and delete backups. Although the intention and purpose of both implementations of the techniques are similar, there are many differences in the code semantics. It’s definitely not copy-pasted code, and because the command lines were publicly discussed on security blogs, these simple techniques became available to anyone who wants to use them.

In addition, Talos researchers noted that the evtchk.txt filename, which the malware used as a potential false-flag during its operation, was very similar to the filenames (evtdiag.exe, evtsys.exe and evtchk.bat) used by BlueNoroff/Lazarus in the Bangladesh SWIFT cyberheist in 2016.

Soon after the Talos publication, the Israeli company IntezerLabs tweeted that they had found links to Chinese APT groups. As a side node, IntezerLabs have an exceptional code similarity technology themselves that you can check out by visiting their site at

IntezerLabs further released a blogpost with an analysis of features found using their in-house malware similarity technology.

A few days later, media outlets started publishing articles suggesting potential motives and activities by Russian APT groups: “Crowdstrike Intelligence said that in November and December of 2017 it had observed a credential harvesting operation operating in the international sporting sector. At the time it attributed this operation to Russian hacking group Fancy Bear”…

On the other hand, Crowdstrike’s own VP of Intelligence, Adam Meyers, in an interview with the media, said: “There is no evidence connecting Fancy Bear to the Olympic attack”.

Another company, Recorded Future, decided to not attribute this attack to any actor; however, they claimed that they found similarities to BlueNoroff/Lazarus LimaCharlie malware loaders that are widely believed to be North Korean actors.

During this “attribution hell”, we also used KTAE to check the samples for any possible links to previous known campaigns. And amazingly, KTAE discovered a unique pattern that also linked Olympic Destroyer to Lazarus. A combination of certain code development environment features stored in executable files, known as a Rich header, may be used as a fingerprint identifying the malware authors and their projects in some cases. In the case of the Olympic Destroyer wiper sample analyzed by Kaspersky, this “fingerprint” produced a match with a previously known Lazarus malware sample. Here’s how today’s KTAE reports it:

Analysis for 3c0d740347b0362331c882c2dee96dbf

The 4% similarity shown above comes from the matches in the sample’s Rich header. Initially, we were surprised to find the link, even though it made sense; other companies also spotted the similarities and Lazarus was already known for many destructive attacks. Something seemed odd though. The possibility of North Korean involvement looked way off mark, especially since Kim Jong-un’s own sister attended the opening ceremony in Pyeongchang. According to our forensic findings, the attack was started immediately before the official opening ceremony on 9 February, 2018. As we dug deeper into this case, we concluded it was an elaborate false flag; further research allowed us to associate the attack with the Hades APT group (make sure you also read our analysis: “Olympic destroyer is here to trick the industry“).

This proves that even the best attribution or code similarity technology can be influenced by a sophisticated attacker, and the tools shouldn’t be relied upon blindly. Of course, in 9 out of 10 cases, the hints work very well. As actors become more and more skilled and attribution becomes a sensitive geopolitical topic, we might experience more false flags such as the ones found in the OlympicDestroyer.

If you liked this blog, then you can hear more about KTAE and using it to generate effective Yara rules during the upcoming “GReAT Ideas, powered by SAS” webinar, where, together with my colleague Kurt Baumgartner, we will be discussing practical threat hunting and how KTAE can boost your research. Make sure to register for GReAT Ideas, powered by SAS, by clicking here.


Note: more information about the APTs discussed here, as well as KTAE, is available to customers of Kaspersky Intelligence Reporting. Contact:


Category: Featured
Date: Tue, 09 Jun 2020 10:00:37 +0000
Local date: Tue, 09 Jun 2020 10:00:37 +0000
Language: en-US
Encoding: UTF-8
Feed type: RSS
itemImageWidth: 700 px
itemImageHeight: 500 px