Tu ordenador trabaja por ti y los hackers se llevan el sueldo: conoce ChimeraWire

Los especialistas de Doctor Web detectaron un nuevo troyano-clic Trojan.ChimeraWire, que se disfraza como la actividad de un usuario real y manipula el factor de comportamiento de los sitios en los resultados de búsqueda. Los equipos infectados con Windows buscan automáticamente los recursos necesarios en Google y Bing, acceden a enlaces y hacen clic en páginas como si lo hiciera una persona, ayudando a los estafadores a mejorar la posición de sus sitios en las búsquedas.

En el núcleo de ChimeraWire están los proyectos de código abierto zlsgo y Rod, que generalmente se usan para automatizar el trabajo con sitios web y aplicaciones web. Al llegar al equipo, el troyano descarga desde un sitio externo un archivo con la versión portátil de Google Chrome para Windows; en ese mismo recurso también hay compilaciones del navegador para Linux y macOS. A continuación, el malware instala de forma silenciosa en ese Chrome las extensiones NopeCHA y Buster —herramientas legales para la resolución automática de CAPTCHA. Después, el navegador se inicia en modo de depuración oculto y se controla mediante WebSocket, de modo que el malware puede ejecutar cualquier secuencia en segundo plano sin delatarse ante el usuario.

Las órdenes posteriores de ChimeraWire provienen de un servidor de control. Este envía una configuración cifrada (AES-GCM) en forma de cadena base64. En ella se definen todos los parámetros: qué motor de búsqueda usar (Google o Bing), por qué palabras clave buscar los sitios, qué dominios promover, cuántos saltos entre páginas realizar seguidos, cuánto esperar a la carga, cómo repartir los clics entre los enlaces y cuándo hacer pausas para no parecer un tráfico "eterno" de bots. En esencia, es un guion flexible de comportamiento del "usuario ideal" orientado al aumento artificial de posiciones.

El troyano actúa así: primero introduce en la búsqueda las palabras clave indicadas, localiza los sitios necesarios y los abre, a veces en pestañas en segundo plano. En las páginas cargadas ChimeraWire recopila todos los elementos HTML que contienen enlaces, los coloca en un arreglo y mezcla el orden, para que la secuencia de clics no coincida con el orden de los enlaces en la página y no despierte sospechas de los sistemas anti-bot. Luego compara el texto de los enlaces con patrones de la configuración y calcula el número de coincidencias.

Si hay enlaces adecuados en cantidad suficiente, el troyano los ordena por "relevancia" con las frases clave y hace clic en uno o varios. Si las coincidencias son pocas o inexistentes, entra en acción un modelo probabilístico. En la configuración, por ejemplo, puede definirse una distribución del tipo "1:90, 2:10", lo que significa que en el 90% de los casos se debe abrir un enlace y en el 10% dos. ChimeraWire elige aleatoriamente el número necesario de enlaces de la lista previamente mezclada y hace clic en ellos. Tras cada navegación, vuelve a la pestaña con los resultados de búsqueda o pasa a la siguiente, hasta agotar el límite de "acciones" para un sitio concreto.

Para que el troyano llegue al equipo y obtenga los privilegios necesarios, los atacantes construyeron varias cadenas de infección complejas. En la primera cadena arranca el cargador Trojan.DownLoader48.54600. Este comprueba si se ejecuta en una máquina virtual o bajo depuración y detiene su trabajo ante el menor indicio de análisis. Si todo está "limpio", el cargador descarga desde el servidor de control el archivo python3.zip con el script malicioso Python.Downloader.208 y la biblioteca ISCSIEXE.dll (Trojan.Starter.8377). A continuación se explota la vulnerabilidad conocida como secuestro del orden de búsqueda de DLL: la aplicación de Windows iscsicpl.exe toma automáticamente la DLL suplantada, ya que busca la biblioteca por nombre y en un lugar inadecuado. Mediante esa sustitución, el troyano consigue relanzar el script ya con privilegios de administrador.

Tras obtener privilegios elevados, Python.Downloader.208 descarga el siguiente archivo onedrive.zip, en cuyo interior está la biblioteca UpdateRingSettings.dll (Trojan.DownLoader48.54318) y la aplicación legítima OneDrivePatcher.exe con firma válida de Microsoft. También para ella es característica la vulnerabilidad de DLL: al ejecutarse recoge no la biblioteca real, sino la troyana. El nuevo cargador vuelve a comprobar el entorno en busca de virtualización y depuración, y seguidamente descarga un contenedor ZLIB cifrado con shellcode y un ejecutable. Después de varias etapas de descifrado y descompresión, en el paso final se ejecuta el componente malicioso principal —Trojan.ChimeraWire.

En la segunda cadena se utiliza otro cargador: Trojan.DownLoader48.61444. Se hace pasar por el proceso explorer.exe (técnica Masquerade PEB), consigue la elevación de privilegios mediante interfaces COM antiguas (CMSTPLUA) y vuelve a explotar el secuestro del orden de búsqueda de DLL, pero ya mediante la suplantación de la biblioteca de sistema ATL.dll y el lanzamiento de la consola de administración WMI (mmc.exe). Habiendo obtenido derechos de administrador, el malware descarga dos archivos: one.zip y two.zip. En el primero están los mismos OneDrivePatcher.exe y UpdateRingSettings.dll (Trojan.DownLoader48.54318) que en la primera cadena; en el segundo está el script Python.Downloader.208 (bajo el nombre update.py) y un conjunto de archivos para su ejecución, incluido Guardian.exe —un pythonw.exe renombrado. Para ambos archivos se crean tareas en el Programador de tareas, de modo que la cadena de infección persista tras un reinicio. Como resultado, parte de los pasos de la primera cadena se duplican, aumentando las probabilidades de entrega exitosa de ChimeraWire.

El nombre del troyano no es casual: remite a "quimera" y a "cable". "Quimera" refleja el carácter híbrido del ataque: en las cadenas se usan cargadores en distintos lenguajes, un conjunto de técnicas anti-depuración, varias variantes de elevación de privilegios y la combinación de marcos listos, complementos y software legítimo para el control encubierto del tráfico web. "Wire" subraya el trabajo de red invisible pero activo —desde la descarga de módulos hasta la comunicación constante con el servidor de mando.

En la fase actual, la tarea principal de Trojan.ChimeraWire es relativamente sencilla: el aumento artificial de la popularidad de los sitios mediante la simulación del comportamiento de los usuarios en las búsquedas y en las páginas. Sin embargo, las propias herramientas sobre las que se construye permiten hacer mucho más. Potencialmente, los atacantes pueden con ellas rellenar automáticamente formularios web, incluidos los de servicios publicitarios y de encuestas, leer el contenido de las páginas, tomar capturas de pantalla y recopilar datos masivamente —por ejemplo, direcciones de correo electrónico y números de teléfono para campañas de spam o de phishing.

Los especialistas de Doctor Web esperan la aparición de nuevas versiones de ChimeraWire con un conjunto ampliado de funciones y continúan vigilando la evolución de esta amenaza. Para usuarios y administradores la conclusión principal es la habitual: las detecciones basadas solo en firmas ya no son suficientes; las cadenas de infección complejas con sustituciones de DLL, privilegios de administrador y trucos anti-depuración pueden permanecer desapercibidas durante largo tiempo si no se complementan con medidas de protección conductuales y proactivas.