“Te amo”: campaña masiva de spam malicioso que ahora apunta a Japón
La última campaña de «Te quiero» se lanzó el 29 de enero de 2019 y los registros de detección se han duplicado en tamaño en comparación con los movimientos iniciales.
Cuando terminamos nuestro análisis sobre el reciente aumento de spam malicioso dirigido a Rusia, detectamos otra campaña (no relacionada con la anterior) basada en JavaScript que registraba picos altos en nuestra telemetría. Aparentemente, la campaña de spam malicioso llamada «Te amo» de mediados de enero de 2019 se modificó y ahora apunta a Japón.
Según datos de nuestra telemetría, esta última campaña “Te quiero” se lanzó el 28 de enero de 2019 y ha duplicado su tamaño respecto a los registros iniciales, como se puede apreciar en la figura 1. Así como una medidad de enerolos correos spam distribuyen un conjunto de payloads maliciosos y presentando algunas actualizaciones: hemos visto descargas de criptomineros, un sistema modificador de configuración, un downloader malicioso, el gusano Phorpiex, y la versión 5.1 del ransomware GandCrab.
Figura 1 – Detección de adjuntos JavaScript maliciosos distribuidos como parte de la campaña “Te amo” y sus últimos registros
A partir del 29 de enero de 2019, la mayoría de las detecciones se registraron en Japón (95 %), con miles de correos electrónicos maliciosos detectados cada hora. El mismo día, JS/Danger.ScriptAttachment (nombre de ESET para JavaScript maliciosos distribuidos como adjuntos a través del correo) fue la cuarta amenaza más detectada en todo el mundo y la amenaza número uno en Japón, como se ve en la Figura 2.
Figura 2: JS/Danger.ScriptAttachment fue la amenaza número uno en Japón el 29 de enero de 2019
Escenario de la campaña dirigida a Japón
En esta última campaña, los atacantes han alterado el mensaje del correo malicioso, pasando el tema romántico inicial utilizado en la campaña «Te quiero» de mediados de enero a temas relevantes para Japón. Lo que se ha mantenido igual es la fuerte utilización de smilesas, tanto en el asunto de los correos como en el cuerpo del texto.
Los correos electrónicos que hemos visto durante nuestro análisis presentan los siguientes problemas:
- 😀
- Yui Aragaki 😉
- Kyary Pamyu Pamyu 😉
- Kyoko Fukada 😉
- Yuriko Yoshitaka 😉
- Sheena Ringo 😉
- misia 😉
(Nota: todos estos nombres corresponden a personalidades populares del espectáculo en Japón)
Los archivos adjuntos maliciosos en los correos electrónicos analizados son archivos ZIP disfrazados de archivos de imagen, cuyos nombres presentan el formato “PIC0-[9-números] 2019-jpg.zip”. En la Figura 3 se mústran ejemplos de cuentos correos.
Figura 3 – Ejemplos de correos spam utilizados en la campaña dirigida a Japón
Los archivos ZIP contienen un archivo JavaScript con el mismo formato de nombre, solo que termina en «.js». Una vez extraído y ejecutado, el archivo JavaScript descarga la carga útil del servidor C&C del atacante: un archivo EXE detectado por los productos de ESET como Win32/TrojanDownloader.Agent.EJN. Las URL utilizadas para hospedar este payload han presentado rutas que terminan con “bl*wj*b.exe” y “krabler.exe” y estos payloads fueron descargados a “C:Users[username]AppDataLocalTemp[random].exe».
Este payload de primera fase descarga uno o más de los siguientes payloads finales del mismo servidor C&C:
- El ransomware GandCrab, versión 5.1
- Un criptominero
- El gusano Phorpiex
- Un programa de descarga específico para el idioma local (configurado para descargar futuros payloads solo si la configuración de idioma de la computadora afectada sugiere que la víctima se encuentra en China, Vietnam, Corea del Sur, Japón, Turquía, Alemania, Australia o el Reino Unido)
- Un modificado sistema de configuracion
La versión 5.1 del ransomware GandCrab cifra los archivos y agrega una extensión compuesta por 5 caracteres aleatorios a sus nombres. Las notas de rescate que contienen esa extensión tanto en los nombres de archivo como en sus contenidos son creados en cada carpeta afectada.
Figura 4 – GandCrab v5.1 nota de rescate
Los payloads de esta campaña actualizada se descargan desde la dirección IP 92.63.197[.]153, que parece estar ubicado en Ucrania y se ha utilizado en la campaña “Love You” desde su inicio en enero.
Cómo estar protegido
Para evitar ser víctima de spam malicioso, verifique siempre la autenticidad de su correo electrónico antes de abrir cualquier adjunto o hacer clic en un enlace. Si es necesario, comunícate con la organización que parece ser y envía un correo utilizando los datos de contacto que aparecen en su sitio web.
Los usuarios de Gmail deben saber que desde hace aproximadamente dos años, Gmail bloqueó adjuntos en JavaScript que se sentián y que se se recibe.
Los usuarios de otros servicios de correo deben apoyarse en la prevención, a menos que utilicen alguna seguridad que sea capáz de detector y bloquere archivos JavaScript maliciosos.
Indicadores de compromiso (IoC)
Ejemplo de hashes adjuntos maliciosos en ZIP
| Nombre de detección de ESET: JS/Danger.ScriptAttachment |
|---|
| 8551C5F6BCA1B34D8BE6F1D392A41E91EEA9158B |
| BAAA91F700587BEA6FC469FD68BD8DE08A65D5C7 |
| 9CE6131C0313F6DD7E3A56D30C74D9E8E426D831 |
| 83A0D471C6425DE421145424E60F9B90B201A3DF |
| 57F94E450E2A504837F70D7B6E8E58CDDFA2B026 |
Ejemplo de hashes de downloaders JavaScript
| Nombre de detección de ESET: JS/TrojanDownloader.Agent.SYW, también conocido como JS/TrojanDownloader.Nemucod.EDK |
|---|
| cfe6331bdbd150a8cf9808f0b10e0fad4de5cda2 |
| c50f080689d9fb2ff6e731f72e18b8fe605f35e8 |
| 750474ff726bdbd34ffc223f430b021e6a356dd7 |
| 1445ea29bd624527517bfd34a7b7c0f1cf1787f6 |
| 791a9770daaf8454782d01a9308f0709576f75f9 |
Ejemplo de hash del payload de primera fase
| Nombre de detección de ESET: Win32/TrojanDownloader.Agent.EJN |
|---|
| 47C1F1B9DC715D6054772B028AD5C8DF00A73FFC |
Ejemplo de hash de carga útil final
| Carga útil | SHA-1 | Nombre de detección de ESET |
|---|---|---|
| Ransomware GandCrab | 885159F6F04133157871E1D9AA7D764BFF0F04A3 | Win32/Filecoder.GandCrab.E |
| criptominero | 14E8A0B57410B31A8A4195D34BED49829EBD47E9 | Win32/CoinMiner.BEX |
| gusano phorpiex | D6DC8ED8B551C040869CD830B237320FD2E3434A | Win32/Phorpiex.J |
| Descargador | AEC1D93E25B077896FF4A3001E7B3DA61DA21D7D | Win32/TrojanDownloader.Agente.EEQ |
| Cambiador de configuración del sistema | 979CCEC1DF757DCF30576E56287FCAD606C7FD2C | Win32/Agente.VQU |