En el mundo de la ciberseguridad es normal que en forma permanente se informe públicamente sobre descubrimiento de nuevas vulnerabilidades, bugs, errores de programación, etc, que permiten ser explotadas por delincuentes informáticos y por tanto el valor de la información es muy relevante para prevenir ataques y cerrar brechas de seguridad.
Un caso específico ocurrió cuando hace casi 1 mes atrás Investigadores de seguridad de Check Point Software descubrieron un fallo de seguridad en WinRar que ha estado presente en el conocido programa de compresión y descompresión de archivos desde hace casi 19 años.
Según se transcribe, «la vulnerabilidad que se encuentra en una librería para Windows llamada unacev2.dll que se usa solo para analizar archivos ACE, un formato de compresión bastante viejo y poco usado. WinRar usa esta librería de terceros para descomprimir archivos ACE, y la misma no se ha actualizado desde el año 2005″.
La empresa que desarrolla WinRar ya desarrolló un parche de seguridad, pero para ser efectivo, los usuarios tienen que volver a instalar la nueva versión del programa. Mientras no lo hagan, seguirán expuestos.
El problema no es tanto la vulnerabilidad en sí, sino su posible uso, ya que la falla permite descomprimir archivos comprimidos fuera de la carpeta original de descompresión, por lo tanto se puede sobreescribir o agregar (dependiendo de los permisos del usuario) un archivo en cualquier ruta del equipo, incluyendo rutas del sistema operativo. Es silencioso, no requiere más acciones por parte del usuario (más que descomprimir el archivo) y no es detectado por sistemas como antivirus. Esta conjunción es lo que lo hace peligroso.
Este fallo empezó a generar noticia por las posibles consecuencias en su mal uso por parte de piratas informáticos. Así, en nuestro país, uno de los primeros que observé en mencionar lo que estaba ocurriendo fue la empresa de seguridad Nivel4, quienes justamente escribieron sobre ejemplos de campañas que enviaban por correo electrónicos archivos con malware, utilizando diferentes señuelos, desde documentos técnicos hasta imágenes para adultos, para usuarios en el extranjero.
Acá podemos encontrar varios ejemplos. Una campaña usó un tema sobre una ley ucraniana para atraer a las víctimas a descomprimir un archivo malicioso que explota la falla de WinRAR. Una segunda campaña que utilizó un reclamo sobre las Naciones Unidas y los derechos humanos para apuntar a los usuarios en el Medio Oriente.
Posteriormente, el Centro Investigación SOC Chile de Telefónica, también escribió respecto a esta falla, en forma más gráfica y representativa respecto al proceso de funcionamiento y aprovechamiento de terceros de la vulnerabilidad. De hecho, explícitamente indican «hasta esta semana esta vulnerabilidad no la habíamos visto siendo explotada acá en Chile, por esta razón el enfoque de este artículo es saber cómo genera la infección. Más que revisar el funcionamiento del exploit, se revisará simplemente si el archivo tiene la posibilidad de ser infeccioso o no».
Acá observamos una imágenes con análisis del comportamiento del malware
Paralelamente leí un artículo del ingeniero chileno Germán Fernández, quien lo tituló «Exploit de WinRar CVE-2018-20250 utilizado para distribuir Malware Bancario (Sitio .CL)». En este post, Germán mencionaba explícitamente la existencia en un dominio chileno, que alojaba un archivo sospechoso, específicamente denominado «denuncias.rar» y que tras subirlo a sitios de análisis de virus y troyanos, validaban el uso del fallo de winrar incluyendo la existencia de un archivo considerado específicamente como un troyano bancario.
Lo relevante es que había informado paralelamente al administrador del sitio y a la empresa gestora del hosting donde se encontraba el dominio alojado, pero que no habían reaccionado a tiempo, pues se mantenían los archivos infectados alojados. Incluso Germán menciona que no es la primera vez que ese hosting ha sido utilizado por terceros y en los que existen múltiples reportes asociados a Malware, Phishing y SCAMS de todo tipo.
Sin embargo, hasta ese momento no se había demostrado la existencia de alguna campaña particular por parte de los delincuentes informáticos para enviar el malware a un público chileno, hasta que al menos personalmente, revisando mi correo observé uno bastante particular.
Este correo, cuyo asunto era «denuncia penal», aparentaba la información de una empresa de abogados, que ofrecían sus servicios profesionales, indicándome sobre la existencia de una demanda civil en mi contra, por una supuesta deuda que tenía, presentada en tribunales chilenos, incluyendo gráfica del poder judicial, con datos de causa, tribunal y monto adeudado, invitándome a descargar la demanda (representada en una imagen de un archivo pdf) y así prevenir problemas jurídicos.
Analizando más el correo, lo primero que hice, antes de hacer click en el supuesto archivo adjunto que contenía la demanda, es que revisé en el portal del poder judicial la existencia de alguna demanda, revisando rol y tribunal. Para mi sorpresa, existía tal causa, por demanda originada en una deuda y el monto de la deuda era el que indicaba el correo. Sin embargo no era yo la parte demandada, sino que otra persona. Ante eso, revisé el archivo adjunto al correo y verifiqué que el supuesto link al pdf en realidad descargaba un archivo rar.
Esto demuestra un mayor grado de sofisticación por parte de desarrolladores de campaña para el envío del malware, porque ya no es un simple mensaje burdo que permita concluir que es falso, sino que acompaña información tendiente a engañar a la víctima para que descargue y ejecute el archivo, infectándolo.
Una imagen del cuerpo del email que recibí con el malware:
Como participo en un grupo de whatsapp de ciberseguridad que está integrado por muchos expertos multidisciplinarios en esta área (incluyendo a ingenieros, especialistas, funcionarios del ministerio del interior y uno que otro abogado como yo), mandé la información sobre este correo y su adjunto. Tras una larga conversación del origen, reenvíos para su revisión y compartir metadatos del email, llegamos a la conclusión que efectivamente este email correspondía a la explotación de la vulnerabilidad de winrar, incluyendo código malicioso del tipo troyano bancario.
El reporte en específico analizando el archivo y mostrando la conexión directa con el dominio chileno base de la propagación del malware es posible verlo acá.
Otros reportes con análisis del archivo de distintos sitios web especializados también lo confirmaron. Al mismo tiempo es posible concluir (según comenta Germán Fernández) que el Troyano Bancario sería KL-Banker (también conocido como N40) desarrollado por brasileños y apuntando a bancos Chilenos como:
- Santander
- CorpBanca
- Banco Estado
- BancoChile
- BCI
Imagen del análisis del malware con individualización del sitio chileno infectado
Con posterioridad a esto, es que oficialmente el Sistema Nacional de Ciberseguridad de Chile, CSIRT, del Ministerio del Interior, envió un comunicado oficial con una alerta de seguridad, advirtiendo sobre el malware EMOTET. Paralelamente la Superintendencia de Bancos e Instituciones Financieras (Sbif) emitió un comunicado con una alerta de ciberseguridad en el mismo sentido indicando que «tras hacer un chequeo de seguridad, algunos bancos han bloqueado en forma temporal y preventiva las cuentas de clientes empresa y en ciertos casos, han suspendido la operación de la plataforma por medio de la cual atienden el segmento», según consigna el reporte.
Por lo anterior, activaron los protocolos correspondientes, que implican el bloqueo de cuentas con origen o destino del siguiente sitio y dirección IP: Sitio web: triosalud.cl Dirección IP: 190.107.177.246
Podemos concluir por tanto, que el trabajo por la ciberseguridad es una tarea compartida de todos los actores del ecosistema y que nuestro país no se encuentra excluido en ser objetivo de estos grupos criminales organizados. El deber de seguridad debe partir por cada uno de nosotros, con la debida orientación e información por parte de autoridades presentes y proactivas.
Se debe destacar también en este trabajo colaborativos tanto a centros de seguridad como personas individuales que son capaces de analizar, verificar e informar sobre estas vulnerabilidades.
Finalmente importa recordar la recomendación de adoptar todas las medidas de seguridad, comenzando con dudar en abrir correos con contenidos adjuntos de procedencia desconocida o de terceros que no son de nuestra confianza. E incluso si son enviados por personas dentro de nuestros contactos, también tener la seguridad de que lo enviado fue realizado efectivamente por ellos y que no han sido suplantados.
