Comunicados CCN-CERT

Publicado el informe de código dañino sobre Megumin v2

  • El documento se encuentra disponible en la parte privada del portal del CCN-CERT.
  • El informe ‘CCN-CERT ID-21/19’ recoge el análisis de la familia de troyanos identificada como Megumin, muy activa desde principios del año 2019 e involucrada, principalmente, en la extracción de monederos virtuales de los sistemas infectados.
  • Características del código dañino, procedimiento de infección, características técnicas, ofuscación, persistencia en el sistema, conexiones de red, archivos relacionados, detección, desinfección e información del atacante son los principales puntos que incluye el documento. Además, se incluyen las reglas de detección Snort, IOC y YARA.

El Informe de Código Dañino CCN-CERT ID-21/19 “Megumin v2” se ha publicado recientemente en la parte privada del portal del CERT del Centro Criptológico Nacional (CCN-CERT). Este documento recoge el análisis de la familia de troyanos identificada como Megumin, muy activa desde principios del año 2019 e involucrada, principalmente, en la extracción de monederos virtuales de los sistemas infectados.

Las funcionalidades principales de este código dañino cuentan con un módulo DDOS para realizar ataques de inundación de paquetes TCP así como la búsqueda, descarga y ejecución de binarios en modo oculto. En cuanto a las características que incorpora, una de las principales es una funcionalidad conocida como clipper, utilizada para reemplazar carteras del portapapeles del usuario infectado.

El procedimiento de infección de un sistema a través de este tipo de troyanos se produce al ejecutar el fichero que lo contiene. Una vez que comienza la ejecución del código dañino, este es capaz de realizar las siguientes acciones en el dispositivo de la víctima:

  • Carga funciones y librerías de manera dinámica.
  • Descifra una shellcode ofuscada.
  • La shellcode se encarga de descifrar un ejecutable.
  • El ejecutable inicial cargado en memoria es suplantado por el descifrado.
  • Megumin se despliega y descarga nuevos ejecutables.

Para la desinfección del equipo de forma automática se aconseja la utilización de herramientas antivirus actualizadas. Una vez localizadas las aplicaciones dañinas, se debe elegir la opción de desinfección. Por otro lado, para una desinfección manual, es preciso revisar si el código dañino ha generado persistencia en el sistema mediante la revisión de las claves de registro nombradas en el apartado de persistencia que se incluye en el presente documento. En última instancia, se aconseja el formateo y la reinstalación completa, siguiendo lo indicado en las guías CCN-STIC correspondientes.

Además de las características, el procedimiento de infección y desinfección, así como la persistencia, el documento también incluye otros apartados de interés, tales como la ofuscación, conexiones de red, archivos relacionados, información del atacante y tres reglas de detección para comprobar si el sistema se encuentra infectado por el troyano: mediante regla Snort, indicador de compromiso (IOC) y utilizando sobre la memoria de un equipo la firma YARA.

CCN-CERT (01/10/2019)

Informe de Código Dañino CCN-CERT ID-21/19 “Megumin v2”

 

Ministerio de Defensa
CNI
CCN
CCN-CERT