Analizamos Dino, el malware más reciente utilizado por grupos de espionaje franceses

dino3

Los investigadores de ESET han analizado una nueva amenaza que podríamos describir como un backdoor de lo más elaborado. Se llama Dino y pertenece a la misma categoría que Babar y Bunny, otros ejemplos de malware similares previamente analizados. Se trata de un programa espía reservado solo para objetivos (o víctimas) consideradas como importantes por los atacantes.

Un malware innovador

Joan Calvet, investigador principal de Dino, señala que entre sus innovaciones técnicas, existe un almacenamiento de archivos personalizado para ejecutar comandos de forma sigilosa. “Dado el conjunto de comandos que puede recibir, el objetivo principal de Dino parece ser la exfiltración de archivos de sus blancos. Por ejemplo, un atacante le puede pedir que le envíe todos los archivos con extensión .DOC cuyo tamaño sea mayor a 10 kilobytes y que hayan sido modificados en los últimos tres días”, explica.

Es muy probable que Dino fuera desarrollado por el grupo de espionaje Animal Farm, el mismo grupo que desarrolló Babar, Bunny y Casper. Esto se deduce tras analizar este malware y comprobar que comparte partes específicas de código con las otras muestras y que, anteriormente, se encontró un Centro de Mando y Control (C&C) que utilizaron los tres.

Pistas dejadas por sus creadores

Respecto al idioma, hay dos pruebas convincentes que sugieren que los creadores de Dino hablan francés:

  • Primero, el idioma usado en el ordenador utilizado para crear a Dino está escrito en el programa, algo que puede suceder bajo ciertas condiciones. Este valor de lenguaje está configurado en francés. Aunque generalmente los creadores de malware eliminan esta pista, parece que los desarrolladores de Dino olvidaron hacerlo en este caso.
  • Segundo, dejaron visible en el programa un nombre de directorio que contiene parte del código fuente de Dino en el ordenador del desarrollador. Este directorio se llama “arithmetique”, “aritmética” en francés.

“Curiosamente, los desarrolladores dejaron en Dino muchos errores verbales, lo que nos ayudó en el análisis. Pareciera como si pensaran que nadie sería capaz de descubrir a Dino y analizarlo”, dice Joan Calvet.

Y es que encontrarlo no fue fácil precisamente, debido principalmente a que se han localizado muy pocas muestras ejecutándose en equipos infectados. Los investigadores de ESET creen que Dino solo se ejecuta en objetivos importantes y de gran tamaño, después de que los creadores de esta amenaza hubieran hecho un “reconocimiento previo del terreno” con un malware más ligero, como Casper.

Conclusión

Según afirma Joan Calvet, “el binario de Dino muestra un intenso esfuerzo en cuanto a su desarrollo, desde estructuras de datos personalizadas hasta un sistema de archivos casero. Como con otros binarios de Animal Farm, lleva la marca de desarrolladores profesionales y experimentados”.

Sin embargo, “Dino también muestra poco conocimiento o interés por parte de sus desarrolladores en técnicas antianálisis, al contrario de lo que se vio en Casper, tal y como se demostró, por ejemplo, en la verbosidad de algunos de los mensajes de logs de Dino”.

Más información en el artículo de investigación Dino – the latest spying malware from an allegedly French espionage group analyzed.

Josep Albors a partir de un post de Sabrina Pagnotta en WeLiveSecurity

¿Es iOS la opción más segura para los diputados valencianos?