Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Estudios de análisis de amenazas: Mekotio, FluBot, Cring y WannaMine

Fecha de publicación 15/04/2021
Autor
INCIBE (INCIBE)
imagen de estudios de amenazas

En la web de INCIBE-CERT vamos a publicar cuando se requiera diferentes estudios con análisis de amenazas o campañas de distribución de malware con afectación en España. Para este propósito, y sobre las amenazas más relevantes de los últimos meses, se han utilizado como fuente las campañas de SMS, malspam, y otros vectores de distribución detectados por herramientas internas, o diferentes fuentes abiertas con información de estas amenazas, así como la gestión de incidentes realizada desde INCIBE-CERT.

El objetivo de estos estudios sobre amenazas es proporcionar a los profesionales de ciberseguridad una información pormenorizada y detallada del modus operandi y el funcionamiento de estas campañas que afectan a una amplia variedad de empresas, ciudadanos y organismos nacionales para que, una vez conocidos los detalles más técnicos y sus características, se puedan implementar en las organizaciones las medidas de detección y protección más adecuadas.

Mekotio

El primero de estos estudios se centra en el troyano bancario Mekotio, especialmente diseñado para atacar a usuarios que hacen uso de servicios bancarios o de criptomonedas. Desde su primera detección es España, en marzo de 2018, su código y funcionalidades han ido evolucionando y adaptándose, siempre manteniendo como principal objetivo el mercado financiero, efectuando una campaña de distribución de malware de gran impacto en España desde principios de 2021.

A través de este estudio se realiza un detallado análisis técnico de la amenaza, con una muestra de código dañino, perteneciente a la familia Mekotio, que también está disponible en VirusTotal , y cuyo principal objetivo es el de identificar las acciones que realiza este malware.

En este análisis se incluye una regla IOC y otra Yara para ayudar en la detección de muestras pertenecientes a la familia Mekotio.

El estudio completo se puede descargar a continuación:

FluBot

El segundo de los estudios trata del código dañino FluBot, un troyano especialmente diseñado para dispositivos Android y que ha estado presente en múltiples campañas de SMS fraudulentos desde 2020, en las que se suplanta a empresas logísticas como FedEx, DHL o Correos para lograr que el usuario se instale una aplicación maliciosa.

A lo largo del estudio se realiza un detallado análisis técnico de la amenaza a través de tres muestras del código dañino en cuestión, y que también están disponibles en VirusTotal, para mostrar cómo es el comportamiento de este malware y las capacidades que brinda.

En este análisis se incluye una regla IOC y otra Yara para ayudar en la detección de muestras pertenecientes a la familia FluBot.

El estudio completo se puede descargar a continuación:

Cring

El tercer estudio aborda el código dañino Cring, o también denominado Crypt3r, un tipo de malware sencillo pero con capacidad de cifrar parcialmente un equipo y destruir las posibles copias de seguridad alojadas en el mismo, lo que le hace, cuando menos, interesante para desarrollar ciberataques de tipo ransomware especialmente orientados al ámbito empresarial, al centrarse en bases de datos y ficheros ofimáticos.

A lo largo del estudio se realiza un análisis técnico de esta amenaza mediante una muestra del código dañino que también está subida a la plataforma VirusTotal, para explicar la estructura, capacidad y comportamiento del mismo.

En este análisis se incluye una regla IOC y otra Yara para ayudar en la detección de muestras pertenecientes a la familia Cring.

El estudio completo se puede descargar a continuación:

WannaMine

El cuarto estudio aporta información sobre un malware de la familia WannaMine, cuya finalidad principal es el cryptojacking, utilizando los equipos afectados para realizar minería de criptomonedas. WannaMine está compuesto por varios artefactos, y es capaz de extraer credenciales de los sistemas afectados utilizando Mimikatz, y de explotar la vulnerabilidad EternalBlue.

El informe técnico comienza aportando información general de cada uno de los artefactos, a continuación se lista un resumen de acciones que realiza el malware, para proseguir con el análisis detallado de la muestra. Seguidamente, se analiza la persistencia de la muestra en el sistema y los mecanismos de movimientos laterales para su propagación. Finalmente, se explican los 2 métodos de minado de criptomonedas que incorpora la muestra de WannaMine analizada.

En este análisis se incluye un script que elimina WannaMine del sistema afectado e IOCs para ayudar en su detección.
El estudio completo se puede descargar a continuación: