Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

miércoles, 8 de julio de 2009

Waledac/Storm. Pasado y presente de una amenaza latente

A principios del 2007 saltaba de la oscuridad un código malicioso que comenzaría a ser motivo de importantes noticias debido a su particulares estrategias de engaño y por una importante campaña de infección a nivel global que aún hoy siguen siendo motivo de investigación por parte de la comunidad de seguridad.

Se trata de Storm, también conocido como Nuwar o Zhelatin dependiendo de la identidad asignada por las compañías antivirus, aunque es más conocido como “tormenta”, quizás en alusión a la forma en que arrasaba los sistemas por los cuales pasaba transformándolos en zombis, reclutando los equipos bajo el mando de su botnet.

En la actualidad, la amenaza que representó Storm no ha quedado a un costado, sino que traspasó sus características al hermano gemelo, Waledac, que mantiene como esencia la característica de intentar innovar en cuanto a las excusas que propone para su propagación, y que recientemente se ha despertado luego de un periodo de hibernación.

Algunas características de esta amenaza son:
  • La propagación se realiza a través del correo electrónico no deseado (spam)
  • Utiliza estrategias de engaño (Ingeniería Social) diferentes en cada campaña de propagación
  • A través de un enlace incrustado en el cuerpo del mensaje direccionan a una página desde donde se descarga el malware
  • Los equipos infectados forman parte de una botnet
  • Completan su ciclo de infección a través de la diseminación de spam
  • Utilizan redes Fast-Flux
  • Poseen capacidades polimórfica a nivel del servidor
Durante prácticamente todo el 2007, Storm (cuyas primeras apariciones utilizaban como estrategia de engaño la visualización de un video sobre una tormenta desatada en Europa) utilizó como medio de propagación/infección el correo electrónico con asuntos y temáticas muy variadas que incitaban a hacer clic sobre un enlace incrustado en el cuerpo del mensaje que, en algunos casos direccionaba hacia una página (algunas de ellas, además de propagar Storm intentaban explotar vulnerabilidades utilizando etiquetas iframe como recursos), y en otros direccionaba a la descarga directa de un binario, Storm en ambos casos.

Ya para el próximo año (2008), Storm incorporó el “efecto sorpresa” vinculando el enlace del correo electrónico siempre a un sitio web que acompañaba la excusa expuesta en el asunto del correo junto a una imagen alusiva, también a la temática que, al igual que en el 2007, rotaba con cada suceso importante (día de San Valentín, Independencia de EEUU, navidad, etc). Además, algunas variantes se propagaron a través de blogs.

Luego de varios meses de inactividad en cuanto a la propagación de la amenaza, durante enero de este año aparece Waledac, un troyano que utiliza los mismos mecanismos empleados por Storm y muchos profesionales de seguridad comienzan ver la similitud entre ellos.

Luego de varias investigaciones, se afirma que Waledac es el, se podría decir, el hermano gemelo de Storm. Utilizando las mismas metodologías de Ingeniería Social con una amplia cartera de imágenes y temáticas que utiliza como excusa para captar la atención de los usuarios. Pasando por las típicas imágenes un tanto "amorosas" durante el mes de San Valentín, asuntos sobre supuestos atentados terroristas, entre otros, hasta llegar a la reciente sobre un supuesto video en YouTube.

Existen, entre otras, dos características sumamente interesantes tanto en Waledac como en Storm: la utilización de redes Fast-Flux y capacidades polimórficas en el servidor.

La primera de ellas permite que las amenazas se propaguen a través de diferentes direcciones IP y utilizando diferentes nombres de dominio que van rotando constantemente entre sí intercambiando la resolución de nombres. Esto provoca que, a través de un determinado tiempo de vida (TTL) previamente configurado cada x cantidad de saltos entre nodos (equipos infectados), desde un mismo dominio, se descargue un prototipo diferente del malware.

Lo que da lugar a la segunda característica, el polimorfismo. De esta manera, cada vez que el paquete (malware) alcanza el TTL establecido se intenta descargar una versión diferente del código malicioso que se "modifica" cada cierta cantidad de tiempo (también previamente establecido por el atacante) estableciendo la capacidad polimórfica.

En el siguiente diagrama se establece la relación directa que, a lo largo del tiempo, la amenaza fue utilizando en cuanto a las estrategias de engaño.

Cada uno de las zombis que forman parte de la botnet creada por Waledac, focalizan sus intenciones en el envío de spam. En este sentido, un dato muy interesante extraído de un informe, afirma que Waledac posee la capacidad de enviar aproximadamente 150.000 correos spam por día.

Quizás, luego de saber que Storm/Waledac se encuentra ejecutando campañas de propagación con altos índices de infección y masificadas a escala mundial, es evidente que sus creadores continúan con sus maniobras delictivas por una cuestión financiera, lo cual no es ninguna novedad para el malware de nuestros días.

Información relacionada
Masiva campaña de propagación/infección lanzada por Waledac utilizando como excusa el día de la Independencia de EEUU
Estrategia BlackHat SEO propuesta por Waledac
Waledac. Seguimiento detallado de una amenaza latente
Más Waledac en acción ¿Puedes adivinar cuánto te amo gano?
Waledac más amoroso que nunca
Waledac e Ingeniería Social en San Valentín

# Jorge Mieres

Ver más