El arte del criptojacking

El equipo de Jamf Threat Labs atrajo recientemente la atención de los medios tecnológicos por descubrir una astuta pieza de malware que proliferaba desapercibida deambulando por la red. Mientras Jamf Threat Labs seguía su rastro, descubrió intrigantes puntos de vista y se adentró en algunas fascinantes madrigueras de conejo. Esta fascinante presentación del JNUC 2023 guió a los asistentes a través de la investigación de una reciente campaña de malware contra la Mac de principio a fin.

Septiembre 21 2023 por

Haddayr Copley-Woods

The Art of Cryptojacking

Matt Benyo, de Jamf Threat Labs, empezó presentándose a sí mismo y a su equipo particular en Jamf Threat Labs: el que investiga y protege contra el malware para MacOS. Su objetivo es ofrecer una visión del funcionamiento del malware.

"La forma en que se comercializan los productos de seguridad hace que sea fácil pensar que la investigación de amenazas es algo así como un juego de espías contra espías, de intriga y poder, de superpotencias contra estados-nación y, definitivamente, algo hay de eso... Pero esto es diferente. Es lo que yo consideraría una búsqueda de objetos valiosos en la basura: el otro lado es este tipo de cosas realmente turbias, llenas de porquerías grasosas, estafadoras y despreciables.

Tal como la red de bots de criptojacking que descubrió Jamf Threat Labs.

Pero primero, debe saber algunas cosas

Cómo funciona la protección frente a amenazas de Jamf Protect

Para entender esta historia, necesitará una comprensión básica de cómo funciona la protección frente a amenazas de Jamf Protect.

Jamf Protect funciona como una extensión del sistema en el sentido de que el software puede utilizar la API de seguridad de endpoints de Apple para obtener visibilidad a nivel de kernel de la actividad en el sistema. "Esta API nos confiere cierta autoridad para intervenir cuando quiere ejecutarse un proceso", explicó Benyo.

Por ejemplo, cuando un software intenta lanzar un proceso, el kernel enviará un mensaje a la extensión de seguridad suscrita y dejará que ésta decida si se debe permitir la ejecución de la aplicación.

Así es como Jamf Protect impide que lleguen a ejecutarse las acciones. Pero "Jamf Protect", dice Benyo, "tiene una ventana de tiempo muy pequeña para decidir si se debe permitir la ejecución de una aplicación".

Fuentes que utiliza Jamf Protect

  • Hashes de archivos: una huella digital de un archivo puede dar a Jamf Protect una forma de bloquear archivos idénticos que hayan contenido código malicioso
  • ID del equipo: ID de desarrolladores que son código firmado; Jamf Protect bloquea aquellos que han producido código malicioso en el pasado
  • Reglas Yara: es un motor de reglas antivirus de código abierto que ayuda a Jamf Protect a buscar cadenas sospechosas

Cómo funciona la minería de criptomonedas

Para entender cómo funcionaba el bot en particular que encontró Jamf Threat Labs, también tendrá que comprender los fundamentos de cómo funciona la minería de criptomonedas. "Básicamente, usted ofrece voluntariamente sus recursos informáticos para resolver un problema matemático complejo", explicó Benyo. Si una computadora lo resuelve antes que los demás, se añade un bloque a la cadena de bloques. Por cada bloque que su computadora resuelva primero, recibirá una recompensa en la moneda que estaba minando.

Los gastos generales pueden ser elevados, al necesitar hardware adicional y un mayor uso de electricidad. Por eso los actores maliciosos suelen intentar utilizar los recursos informáticos de otras personas sin que las víctimas lo sepan.

Cómo empezó esta aventura

"Todo empezó", dijo Benyo, "con una alerta que recibimos basada en la característica de Jamf Protect de protección frente a amenazas".

Parte del modelo de cacería de amenazas de Jamf Threat Labs consiste en monitorear cómo se comportan las detecciones de amenazas de Jamf Protect que deambulan por la red, de modo que puedan identificar potencialmente el malware que está siendo reutilizado o, en algunos casos, modificado.

La expedición de pesca atrapa uno grande

"Un día", dijo Benyo, "mientras veíamos algunos hallazgos, tropezamos con una alerta de prevención de amenazas que captó nuestra atención. Este hallazgo se basó en una regla Yara que nos dijo que las cadenas que estaban dentro del archivo coincidían con una regla que teníamos".

Se trataba de un programa de minería no malicioso y de código abierto llamado XMRig. No hay nada sospechoso en ello. ¿Qué era lo sospechoso? La ruta era una ruta de Final Cut Pro. ¿Por qué utilizaría Apple su software para colar la minería de criptomonedas en la Mac de un usuario?

Más bien, no lo haría.

"Sabíamos que éste no podía ser el verdadero Final Cut Pro", dijo Benyo. El equipo comparó el ID del equipo con el de Final Cut Pro real. Sin sorprendernos, no se trataba de una copia real.

¡Nadie más conocía este malware!

El equipo comprobó el hash en VirusTotal: un servicio utilizado habitualmente que analiza archivos y URL en busca de virus, gusanos, troyanos y otros tipos de contenidos maliciosos.

"Sin embargo", dijo Benyo, "lo que descubrimos es que esta muestra en particular no parecía existir en VirusTotal. Era desconocida".

¡El juego estaba en marcha!

Así que el equipo decidió salir en su búsqueda.

"Si yo fuera a comprar una copia ilegal de software", dijo Benyo, "iría a The Pirate Bay".

Y es exactamente allí donde lo encontraron, lo descargaron y lo instalaron.

Para ver qué ocurría.

Al abrir el software, parecía funcionar exactamente como una persona esperaría que funcionara Final Cut Pro.

Así que el equipo investigó más a fondo, indagando en el paquete de la aplicación. Todo, excepto la firma, parecía normal; la estructura parecía correcta. Sin embargo, se percataron de que el ejecutable era de 11.9 megabytes cuando la versión real de Final Cut Pro era de 3.9. "Así que", dijo Benyo, "revisamos el hash y lo comparamos; era el mismo".

Bingo.

El trozo delator

Al indagar en el ejecutable usando la utilería para cadenas, apareció un gran muro de texto.

En primer lugar, encontraron un script bash muy complejo. Después, encontraron un trozo de código Base64.

Los atacantes suelen utilizar datos Base64 para incrustar contenido dentro de otro contenido. Utilizando Base64, los piratas informáticos pueden codificar y descodificar fácilmente los datos, y ésta es una forma muy sencilla para que un atacante tome los bytes de un ejecutable y los codifique en un ejecutable diferente.

"Lo que muchos programas maliciosos basura harán para evitar que se lean sus cadenas es utilizar Base64. Es algo parecido a hablar en el idioma de las efes o en el cuti. Confundirá a sus hijos, pero cualquier otra persona puede ejecutarlo al revés con un simple comando".

Lo que descubrió el equipo

La forma en que funciona el malware es que cuando el usuario ejecuta Final Cut Pro, "el script se mete dentro de sí mismo", dijo Benyo, "y saca estos otros dos blobs".

  • Blob número uno: se descodifica en el propio Final Cut Pro. Si usted es el usuario, todo parece ir bien.
  • Blob número dos: produce un I2P, el Protocolo Invisible de Internet: un daemon que convierte su computadora en un nodo de la dark web. Este permite que se anonimice el tráfico.

A continuación, la computadora envía el mensaje incrustado al servidor del atacante y éste comienza a enviar retos para bloques a la computadora. Cuando los resuelve y crea un bloque, el atacante toma ese bloque y envía otro reto. Así, una y otra vez.

De este modo, estos actores maliciosos pueden utilizar otras computadoras para que hagan la minería de criptomonedas por ellos. Sin más gastos generales. Sin más dispositivos potentes o elevado consumo eléctrico. Las computadoras infectadas hacen todo el trabajo; el atacante recibe un pago anónimo.

La trama se complica

Pero suave. El equipo descubrió que este malware había eludido la detección durante mucho, mucho tiempo.

La persona que subió este malware respondía al nombre de usuario "wtfisthat" seguido de un número grande. En Pirate Bay, cualquiera puede seleccionar el nombre de un uploader para ver qué más ha subido. Eso creó un historial de este malware para que Jamf Threat Labs lo analizara.

Viendo la evolución de la historia de este malware, el equipo comprendió cómo buscarlo: buscar computadoras que tuvieran instalado XMRig o I2P.

"Hasta el día de hoy", dijo Benyo, "si sale una actualización de LogicPro o FinalCut, en uno o dos días esta persona tiene una nueva versión de esto en funcionamiento".

El equipo se lo comunicó a Apple, que rápidamente publicó una actualización para solucionar el problema.

A continuación, lo más destacado de la sesión de preguntas y respuestas:

P: ¡Muy brillante! Las víctimas que desean Final Cut pueden tener sistemas potentes y no notar la fuga de recursos.

R: Sí; no mencioné que todos los programas hacían un uso intensivo de la CPU: Photoshop, Final Cut Pro, Logic... si el ventilador de alguien estaba en marcha, es posible que no se diera cuenta.

P: ¿Existe una exención de la DMCA para los investigadores de seguridad que descargan software pirata? ¿Aparecerá la Policía de Internet?

R: No lo sé y probablemente yo debería conocer los detalles. Sí que lo pensé al principio, pero tenemos una estrecha relación con Apple y sabía que en algún momento acudiríamos a ellos con esto, y sentí que tenía las bases cubiertas.

P: ¿Cómo se saltaron algunas de las medidas de seguridad predeterminadas de MacOS y firmaron apps? ¿Le pidió la app que hiciera clic con el botón derecho del mouse para abrirla y evitarla? ¿Estaba firmada?

R: Hubo algo de eso. Diré esto: es casi imposible ejecutar esta app secuestrada en las iteraciones actuales de MacOS. Incluso cuando Apple cambió a Monterey, este malware era difícil de ejecutar. Tenía instrucciones como 'haga clic con el botón derecho para abrir' o 'desactive eso'. Muchos de estos torrents tendrán un botón que dice: 'open gatekeeper-friendly.' (apertura segura para gatekeeper) que elimina todos los aspectos de cuarentena del archivo. Si tiene Jamf Protect, se sorprendería de la cantidad de cosas que detenemos. Hay mucha gente que descarga torrents en las computadoras del trabajo.

P: ¿Cómo funciona un diseño como este en el contexto del malware suministrado por la MDM?

R: Lo que nos mantiene mucho en pie en Jamf es que si puedes comprometerte a nivel de la MDM, el mundo será tu patio de recreo en ese punto. Es algo en lo que pensamos mucho. Tenemos ciertas detecciones de manipulación que buscamos en el propio Jamf Protect.

P: ¿Cómo nos protegemos contra el malware desconocido?

R: Una de las joyas de la corona de Jamf Protect cuando salió por primera vez fue esta idea de las detecciones de comportamiento. Podemos tomar cosas, como si algo está abriendo los monitoreadores de actividad, que se pueden extraer hacia la detección de comportamiento. Si algo está comprobando el monitoreo de la actividad y luego mata algo, lo encontraremos y lo bloquearemos. ¿Cuáles son las tácticas que utiliza este malware? La táctica es antigua y la utilizan muchos virus, incluso en el malware más sofisticado.

P: Si vemos algo nuevo y original y solo lo experimenta un cliente, ¿cómo se introduce eso en el producto para que todo el mundo esté protegido?

R: ¡Ese es el trabajo de Threat Lab! Es la naturaleza de nuestro trabajo. Poner alambres trampa para atrapar cosas y tomar lo que regresa y ponerlo en nuevas detecciones... de comportamiento o de otro tipo.

P: Desde el punto de vista de la evasión de la defensa, ¿hay formas mejores en las que podrían haberse escondido?

R: Oh, desde luego. Este no fue el ataque más sofisticado. Obviamente, hicieron muchas cosas para ocultar lo que hacían y que fuera un quebradero de cabeza encontrarlo; hay formas de hacer las cosas que habrían sido un poco menos obvias, pero desde la perspectiva de ellos, si funciona, ¡lo hacen! El hecho de que sigan haciendo esto cuatro años después, incluso después de que varios proveedores lo hayan encontrado y bloqueado, lo que me dice es que tienen mucha difusión al respecto. No tenemos forma de cuantificar en cuántos endpoints está operando esto o a cuánto dinero asciende, pero deben considerar que vale la pena el riesgo. ¡Es el jugador más valioso!

¡Vea este video de la sesión para obtener detalles mucho más fascinantes, especialmente sobre la evolución de este malware, de lo que permite el espacio del blog!

Regístrese en la JNUC para acceder a ésta y otras sesiones.

Suscribirse al Blog de Jamf

Haz que las tendencias del mercado, las actualizaciones de Apple y las noticias de Jamf se envíen directamente a tu bandeja de entrada.

Para saber más sobre cómo recopilamos, usamos, compartimos, transferimos y almacenamos su información, consulte nuestra Política de privacidad.