Regin, el nuevo malware de características avanzadas

Tras las NOTICIAS publicadas en este blog los dias 24 y 26 de este mes, complementamos la información del REGIN, con esta publicada por nuestros tan valorados compañeros de Hispasec, donde en la sección de UNA AL DIA, ofrecen esta información al respecto:

Despues de algunos malware muy relevantes tanto por sus capacidades como por sus avanzadas características técnicas, como stuxnet, duqu, y otras APT de gran repercusión, aparece Regin. Una nueva muestra de malware (que afecta a sistemas Microsoft Windows NT, 2000, XP, Vista y 7) que por sus características parece uno de los malware más sofisddticado hasta la fecha.

Symantec y Kaspersky han dado a conocer este malware y ambas compañías
coinciden en su sofistificación y avanzadas capacidades que van mucho
más lejos de todo lo conocido hasta ahora.

Aunque Regin es un malware multipropósito, su principal intención es
la recopilación de inteligencia y recogida de datos sobre diferentes
objetivos que incluyen operadores de telecomunicaciones, instituciones
gubernamentales, órganos políticos multinacionales, instituciones
financieras, instituciones de investigación e incluso investigadores
concretos especializados en criptografía y matemáticas avanzadas.

Aunque principalmente es un malware destinado al robo de información,
tiene la capacidad de cargar funciones personalizadas en función de cada
objetivo individual. Tiene la capacidad de instalar un gran número de
payloads adicionales, que incluyen muchas características de troyanos de
acceso remoto (como realizar capturas de pantalla o tomar el control del
ratón). También es capaz de robar contraseñas, monitorizar el tráfico
de red, y recuperar información sobre los procesos y utilización de la
memoria. Puede buscar archivos eliminados del sistema y recuperar su
contenido. También se han encontrado módulos muy específicos para
objetivos muy concretos. Como módulos diseñados para monitorizar
el tráfico de red de servidores IIS, o para recoger el tráfico de
administración de controladores de estaciones base de telefonía
móvil o para analizar el correo en bases de datos Exchange.

El nivel de sofisticación y complejidad de este malware hace pensar que
el desarrollo de esta amenaza habría necesitado un buen equipo de de
desarrolladores durante mucho tiempo (meses e incluso años) para su
desarrollo y mantenimiento. Su funcionamiento va mucho más lejos de todo
lo visto hasta el momento, no es un simple troyano para la captura de
credenciales bancarias, no es una pieza de malware que busque obtener
beneficios monetarios inmediatos. Todo ello que hace pensar que detrás
de Regin se encuentra un estado o gobierno, y aunque no hay ninguna
evidencia que demuestre esta suposición algunas fuentes indican un uso
conjunto de Estados Unidos y Reino Unido.

Se desconoce cuándo se crearon y propagaron las primeras muestras de
Regin, sin embargo Kaspersky identifica algunas muestras fechadas en
2003. Aunque parece ser que hay múltiples versiones de Regin, se dan
dos versiones como principales. La 1.0 que estuvo en uso hasta 2011
y una nueva versión 2.0 que empezó a usarse el 2013.

El nombre de Regin es un giro sobre “In Reg”, una forma acortada para
decir en el registro (“In registry”). Haciendo alusión a una forma que
tiene el malware de almacenar sus módulos en el registro. Este nombre
aparece por primera vez en marzo de 2011.

Algo que tampoco está muy claro y que no ha sido posible reproducir es
el método exacto para el compromiso inicial, la forma en que se lleva
a cabo la infección. Existen diversas teorías, que incluyen el uso de
ataques hombre en el medio con exploits 0-day en el navegador o en
alguna otra aplicación.

Regin actúa en cinco etapas diferentes. La primera etapa actúa como
lanzador, el archivo que provoca la infección y que no es posible
determinar cómo llega al sistema de la víctima. Esta es la única parte
de código que permanece visible en el sistema, a partir de este momento
todas las etapas sucesivas y módulos se guardan en el disco duro como
Atributos ampliados NTFS, como entradas de registro o en una forma de
sistema de archivos virtual cifrado.

Una vez que se instala y ejecuta la primera etapa se encarga de
descargar la segunda etapa. De esta forma cada etapa descarga e instala
la siguiente etapa. Así el malware se va cargando poco a poco y
permanece oculto. El comportamiento es diferente en sistemas 32 bits y
64 bits, con etapas y módulos diferentes en función de la plataforma.

Actualmente, Symantec y Kaspersky sitúan las víctimas en la las víctimas
en los siguientes países: Argelia, Afganistán, Arabia Saudí, Austria,
Bélgica, Brasil, Fiyi, Alemania, Irán, India, Indonesia, Irlanda,
Kiribati, Malasia, México, Paquistán, Rusia y Siria.

Ver informacion original en Fuente:
http://unaaldia.hispasec.com/2014/11/regin-el-nuevo-malware-de.html