En el trascurso de los últimos meses, desde el Laboratorio de Investigación de ESET Latinoamérica hemos notado un gran incremento en los ataques dirigidos en Latinoamérica; uno de los últimos casos fue Cybergate. En esta oportunidad hablaremos de uno de los códigos maliciosos más detectados en los últimos meses en la región, que se propaga con gran efectividad principalmente a través de dispositivos extraíbles. La amenaza, detectada por las soluciones de seguridad de ESET como Win32/Houdrat.A, es un archivo ejecutable desarrollado en AutoIt, un lenguaje de scripting cada vez más utilizado por los cibercriminales.
El código malicioso fue detectado por primera vez en abril de 2016 y desde entonces ha afectado a varios países de Latinoamérica, siendo Perú, Bolivia y Ecuador los primeros de la lista, con más del 90% de las detecciones en lo que va del año. El top 10 de las detecciones lo completan otros países de la región como Colombia, México, Argentina, Chile y Brasil.
El siguiente gráfico muestra cómo la cantidad de detecciones se ha ido incrementando a lo largo de los últimos tres meses:
¿Qué es Houdrat?
Es un RAT (Remote Access Tool) orientado al control de equipos informáticos, que logra generar una puerta trasera (backdoor) para permitir el acceso remoto al atacante. Este código malicioso es utilizado principalmente para el robo de información, especialmente financiera.
Al momento de ejecutar el código malicioso en un ambiente controlado y virtual, se presentó un mensaje en pantalla indicando que ocurrió algún tipo de error, por lo tanto, al hacer clic en “Aceptar” la ejecución terminó sin ningún efecto. Esto sucede porque la amenaza contiene técnicas anti análisis y anti virtualización.
Hacer un análisis dinámico de la amenaza en este tipo de entornos no es algo viable, ya que una vez que se ejecuta el código malicioso en la máquina, comprueba tanto la arquitectura que tiene el equipo como los procesos que se encuentran en ejecución. En caso de que alguno de estos coincida con los que busca el código malicioso, finalizará la ejecución brindando al usuario el siguiente mensaje de error:
Como parte del análisis estático de la muestra, encontramos strings claramente haciendo referencia a AutoIT, por lo tanto si se utilizan las herramientas adecuadas es posible llegar a obtener el código fuente para comprender qué fines tiene esta amenaza:
Utilizando un decompilador para AutoIt obtenemos el código fuente, tal cual se observa a continuación:
Luego de auditar el código vimos que gran parte del mismo se encontraba ofuscado, lo cual complica el entendimiento de las acciones maliciosas que ejecuta al momento de infectar una víctima. Pero una vez que se logra desofuscar este malware en AutoIt, es posible conocerlas.
El uso de Autoit, junto a otros lenguajes como Delphi o VBS, se han convertido de a poco en las herramientas más utilizadas por los atacantes para desarrollar sus amenazas.
Acciones maliciosas de Houdrat sobre las víctimas
La amenaza comprende varios comandos enviados desde el servidor del atacante, de los cuales se pueden destacar las siguientes acciones que ejecuta sobre la víctima:
- Toma de capturas de pantalla
- Captura de teclado (keylogger)
- Robo de información de portapapeles
- Descarga y subida de archivos
- Robo de contraseñas almacenadas en los buscadores
Estas características de la amenaza llevan a pensar en el robo de credenciales y de información sensible de la máquina infectada. De hecho, como se puede ver en la siguiente captura, se listan las URL de los sitios web que le interesan al cibercriminal: PayPal, eBay, Amazon y Western Union, entre otros, todos relacionados en alguna forma a la gestión o transferencia de dinero.
De esta manera, cada vez que la víctima ingrese a uno de estos sitios la amenaza intentará capturar las credenciales que se ingresen:
Una vez que este código malicioso se ejecuta, crea archivos y procesos en el equipo infectado. A continuación se muestran algunos de los nombres que adoptan los archivos creados por el malware y que pueden dar indicios de que un equipo puede estar infectado por la amenaza:
Al tener estos conocimientos sobre la amenaza podemos concluir que el tipo de ataques que puede sufrir una víctima pueden ser muy diversos, ya que Houdrat tiene la capacidad de instalar y ejecutar otros tipos de códigos maliciosos, incrementando el alcance de las acciones maliciosas en el equipo infectado.
Este es un caso que refuerza aún más la noción de que Latinoamérica no pasa desapercibida para los cibercriminales. Por esta razón, recomendamos desde los Laboratorios de ESET contar con una solución de seguridad actualizada y bien configurada, y por sobre todo tomar las precauciones necesarias para poder navegar de manera segura y protegidos contra todo tipo de ataques.