miércoles, 29 de mayo de 2013

Kaspersky Lab: Jumcar II [Generaciones, cifrado y funciones específicas]

Gracias a Kaspersky Lab, podemos acceder a nueva información sobre Jumcar, este malware se diferencia del resto de códigos maliciosos latinoamericanos ya que presenta funcionalidades más agresivas. Hasta el momento existe tres generaciones de ésta familia, que básicamente se manifiestan con diferentes algoritmos de cifrado.

La primera generación posee los datos de configuración cifrados con el algoritmo AES (Advanced Encryption Standard). Al parecer ésta se hizo pública en marzo del 2012, desarrollándose piezas con características similares hasta agosto del mismo año. En esta etapa, el 75% de las campañas de ataque de Phishing se centraron en usuarios que hacen uso de los servicios de home-banking del Perú, el 25% restante estuvo orientado a usuarios chilenos.

En la siguiente imagen se muestra algunas instancias utilizadas por esta generación de Jumcar:


En septiembre del 2012, aparece la segunda generación de Jumcar, cambiando su algoritmo de cifrado AES por Triple DES (Triple Data Encryption Algorithm), el cual aplica el algoritmo DES (Data Encryption Standard) tres veces a cada unidad de data. Esta generación estuvo activa hasta marzo del 2013. A diferencia de la primera generación, el único blanco de ataque de la segunda generación de Jumcar, fueron los usuarios peruanos que hacen uso de los servicios de home-banking (100%). Estas dos versiones, encriptadas con AES Y Triple DES respectivamente, tenían algo en común,  algoritmos de encriptación simétrica.

De forma paralela con la segunda generación, en septiembre del 2012, la tercera generación comenzó a circular, usando en este caso el algoritmo de encriptación RSA (asimétrica). Seguramente con el fin de crear variantes más robustas. Esta, tercera generación es la que se encuentra activa, (“in the wild”).
Actualmente los usuarios peruanos se mantienen como público objetivo con el 86% de los ataques, mientras que los usuarios de Costa Rica, ahora representan el restante 14% de los ataques.

En la imagen se muestra los bloques que describen las configuraciones específicas sobre las acciones a tomar por la variante Jumcar.



De estas funcionalidades, cabe resaltar la creación de  dos archivos en el primer bloque: Documento1.docx y calc1.xlsx

Hace unos días, se escribió la primera parte de este artículo, lo puede encontrar en:  Kaspersky Lab hace público un nuevo malware desarrollado en Perú: Jumcar
  
Más información
Publicado por en
Etiquetas: , , , , , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)