Esta nueva familia de robots de DDos está operativa desde mayo y desde entonces en sus sistemas sandbox se han detectado más de 70 ejemplares de la misma.

Algunas características de este código malicioso son las siguientes:

• No utiliza un empaquetador
• El archivo suele ser un ejecutable de 37,888 bytes de tamaño
• Uso de diferentes MD5

Las funciones más interesantes que realizan son las siguientes:

• Guarda una copia oculta del propio ejecutable en la ruta C:\Windows\System32 con un nombre aleatorio pero que siempre empieza por “A” seguido de 8 a 10 letras al azar en minúsculas.
• Se crea en el Startup de Windows una copia de ese archivo con un nuevo nombre que empieza siempre por la cadena “360”.
• Se ejecuta de forma automática la consola “cmd.exe” y se procede a la eliminación del archivo principal y se cierra.
• El segundo proceso, creado en el directorio de Inicio, establece e inicia las comunicaciones con el servidor.
• El tercer proceso crea un ejecutable por lotes MS-Dos llamado 9.bat y alojado en el directorio raíz C:\. Este ejecutable contiene los comandos para crear un nuevo servicio asociado al ejecutable oculto creado en C:\Windows\System32, además el servicio está configurado para ejecutarse automáticamente.
• Un cuarto proceso se inicia como consecuencia del último servicio y detecta algoritmos de exclusión mutua y los aborta.
• En este punto, el programa malicioso se instala como un servicio (que se inicia automáticamente al momento del arranque), así como un archivo normal que residen en el directorio de Inicio del usuario, que también se ejecuta automáticamente al iniciar sesión.

Hasta la fecha, han observado más de 180 víctimas de estos ataques DDos, la mayoría de los cuales se encuentran en China, la distribución por países de la víctima direcciones IP es el siguiente:

China – 126
Estados Unidos – 32
Corea del Sur – 9
Alemania – 5
Hong Kong – 4
Egipto – 2
Países Bajos – 2
Taiwán – 1
Rumanía – 1
Bolivia – 1

Desde el departamento técnico de ESET en Ontinet.com les aconsejamos ser cautos al abrir correos electrónicos no deseados y acceder a sus enlaces o adjuntos sin disponer de una protección antivirus activa y correctamente actualizada.

Si desean información más completa sobre este ataque y además conocer los detalles de cómo se realiza la denegación de servicios a los distintos host afectados, pueden acceder pulsando aquí.

David Sánchez

Nuestro compañero Jorge Mieres de ESET Latinomérica nos explica como uno de los packs de crimeware, conocido como Zombie Explotation Pack, ya ha incluido esta vulnerabilidad como vector de ataque del malware usado para infectar sistemas e incluirlos en las redes botnets creadas con este kit.

Asimismo, el código malicioso polimórfico de nombre Sality, conocido por modificar su código frecuentemente para evitar su detección, también se aprovecha de esta vulnerabilidad, usando páginas webs especialmente modificadas para esparcirse. Esta variante crea una serie de accesos directos .lnk y utiliza nombres típicos de carpetas del sistema o sugerentes.

Los investigadores de F-Secure también han descubierto como una nueva variante de Zeus (una de las botnets mas populares) también ha empezado a adaptar su código para incluir esta grave vulnerabilidad. Actualmente, se está usando un falso correo electrónico que dice venir del departamento de seguridad de Microsoft para infectar a los usuarios. Aunque esta variante es relativamente nueva, el exploit usado es conocido por muchas casas antivirus y permite su fácil detección. Asimismo, el hecho de que el usuario tenga que abrir el archivo adjunto e incluir un archivo de forma manual en una ubicación concreta del sistema hace que pierda efectividad.

Como hemos comentado en posts anteriores en los que tratábamos este tema, estamos en las primeras etapas de un vector de ataque que puede seguir usándose durante mucho tiempo, como lo fueron y siguen siendo las infecciones que usan la característica Autorun. Aunque Microsoft lance pronto un parche para solucionarlo, es más que probable que muchos usuarios no lo instalen hasta dentro de bastante tiempo y veamos cómo esta vulnerabilidad es aprovechada durante muchos meses, tal y como sucedió con Conficker.

Desde el laboratorio de ESET en Ontinet.com seguimos recomendando la descarga e instalación de un antivirus con capacidad de detección de amenazas que aprovechen esta vulnerabilidad como medida de protección básica.

Josep Albors

Pero también existen los pequeños ciber-criminales solitarios o de grupos reducidos que quieren obtener un beneficio rápido de este tipo de actividades delictivas. Para este tipo de ciber-criminales, la herramienta que mejor cumple con sus objetivos son los kits de exploits, baratos, fáciles de usar y preparados para realizar su función tan pronto como se instalan. Estas aplicaciones pueden conseguirse por una cantidad variable que oscila entre los 300 y 4000 dólares aproximadamente (también hay promociones y descuentos periódicos) dependiendo de las funcionalidades o popularidad del kit. Una vez se consigue esta aplicación, el aprendiz de ciber-delincuente ya puede empezar a infectar equipos para formar su propia botnet o preparar sitios webs que se aprovechen de vulnerabilidades no corregidas cuando los visitan. Veamos la interfaz de acceso a uno de estos kits por cortesía de nuestro compañero Jorge Mieres.

No obstante, estos kits no son más que aplicaciones y, como tales, pueden tener errores y fallos de seguridad como así ha sido demostrado por un grupo de investigadores. Hasta 13 agujeros de seguridad han sido descubiertos en los kits de exploits mas conocidos y usados. Esto significa que se puede aprovechar alguna de estas vulnerabilidades para tomar control del panel de administración o robar la información almacenada relativa a las máquinas que han sido infectadas.

El estudio y aprovechamiento de estas vulnerabilidades puede servir a las fuerzas de seguridad para localizar al ciber-delincuente, recopilar pruebas en su contra y arrestarlo pero este no es el uso que se le da principalmente. Por irónico que parezca, quienes más aprovechan estas vulnerabilidades en los kits de exploits son los propios ciber-delincuentes, atacándose los unos a los otros. Esta situación que podría parecer absurda, tiene sentido si analizamos el ahorro de tiempo que para un ciber-delincuente supone robarle los ordenadores de una botnet a otro usuario de estos kits, en lugar de formar la suya propia o, por poner otro ejemplo, el robo de información sensible (números de tarjetas de crédito, datos de acceso a banca online, usuarios y contraseñas para acceder a otros servicios web, etc).

Así pues, podríamos concluir diciendo que nadie está a salvo en la red, ni los propios ciber-delincuentes, victimas ellos mismos de sus creaciones y de sus compañeros de “profesión”. Tal vez sería interesante que se descargasen e instalasen un buen antivirus para evitar ser atacados pero, por el bien del resto, preferimos que dediquen sus esfuerzos a pelearse entre ellos antes que a infectar a los usuarios.

Josep Albors

Nuestros compañeros de ESET Latinoamerica han analizado una aplicación que permite generar un código malicioso para infectar a máquinas y añadirlas a la botnet. Posteriormente, el botmaster podrá controlar estas máquinas desde Twitter usando una serie de comandos.

Para conseguirlo tan solo se deberá contar con una cuenta de Twitter activada e introducir el nombre de dicha cuenta en la aplicación que genera el código malicioso. Como se puede observar, no se emplean conocimientos avanzados de programación ni técnicas complejas de hacking ni nada similar. Se trata de una utilidad al alcance de cualquier principiante, lo que la hace aun más peligrosa puesto que pueden haber miles de usuarios creando su propio malware y distribuyéndolo.

Una vez se ha generado el código malicioso, el atacante solo debe esparcirlo para que infecte al mayor número de usuarios posibles, bien sea adjuntándolo a algún correo electrónico, ubicándolo en alguna web preparada para tal efecto o cualquier otro vector de propagación que se crea oportuno.

Si un usuario ejecuta el código malicioso, entrará a formar parte de la Bonet del atacante, que podrá, a partir de ese momento, lanzar ordenes desde su cuenta de Twitter a todas las máquinas controladas de forma remota. Estas órdenes se lanzan mediante comandos como los que mostramos a continuación:

• El comando .DDOS*IP*PUERTO realiza un Ataque de Denegación de Servicio Distribuido (DDoS)
• Con .DOWNLOAD*ENLACE/MALWARE.EXE se descarga otro código malicioso
• .VISIT*ENLACE abre el enlace en el navegador del usuario
• El comando .REMOVEALL elimina automáticamente la información de la botnet y el perfil de Twitter

Nuestros compañeros de ESET Latinoamérica también han elaborado un vídeo donde se puede observar, paso a paso, todo el proceso de generación del malware, control de la botnet y tráfico generado desde la máquina de la víctima. Creemos que es un documento muy interesante para poder investigar el comportamiento de este tipo de malware por lo que lo reproducimos a continuación.

Como hemos observado, la creación de malware no está solo en manos de gente con experiencia. Con herramientas como la que hemos analizado en este artículo es posible reclutar un buen número de máquinas zombie sin apenas esfuerzo. Eso nos tiene que mantener alerta ante cualquier archivo sospechoso, aunque su remitente sea un conocido, puesto que es posible que su sistema haya sido comprometido y esté enviando malware sin saberlo.

Josep Albors

En ese correo se nos avisa del ingreso de una cantidad de dinero (varía con cada correo pero suele ser inferior a 100 euros) en nuestra cuenta. También se nos invita a pulsar sobre un enlace que, en teoría, nos muestra información adicional acerca de esta transferencia. No obstante, si pulsamos sobre ese enlace, accederemos a una web como la que mostramos a continuación:

En esa web se nos avisa de que no disponemos de la última versión de Macromedia Flash Player (aunque esto no sea cierto) y se nos invita a descargar un archivo ejecutable con una supuesta actualización para nuestro sistema. Es la misma técnica usada la semana anterior con enlaces que, presuntamente, nos mostraban fotos de un usuario.

Observamos como la url del enlace del que se produce la descarga, coincide (al menos en los primeros caracteres) con la de la entidad bancaria suplantada, pero se trata de un engaño ya que el dominio real apunta a Rusia.

Al intentar descargar el archivo ejecutable, el antivirus nos avisa de su verdadero contenido. En este caso se trata de un troyano usado para añadir equipos infectados a una red de máquinas zombies, lo que se conoce como botnet.

No nos cansaremos de repetir la importancia de revisar siempre los correos recibidos y los enlaces que nos envían. Pueden parecer auténticos o de remitentes confiables pero esto no es motivo para bajar la guardia. Nuestro sentido común y un buen antivirus nos pueden ahorrar muchas molestias si sabemos usarlos.

Josep Albors

Muchos usuarios aún piensan que, si no tienen información importante, nadie se molestará en atacarles. Craso error. Ahora mismo, todos los usuarios de ordenadores tienen, como mínimo, tres cosas que pueden interesar a los ciberdelincuentes que crean y gestionan las botnets:

• La primera de ellas es el procesador de su máquina, que puede ser usado en beneficio de la botnet para ejecutar procesos no autorizados por el usuario.
• La segunda es la cantidad de memoria en el disco duro de la máquina, que puede ser usada para almacenar todo tipo de ficheros sin que el usuario lo sepa. Esto incluye diversas variantes de códigos maliciosos, software ilegal o incluso fotos de carácter pedófilo con las consecuencias penales que acarrean si se descubren en el ordenador infectado.
• Por último, la conexión a Internet de nuestro ordenador puede ser usada de múltiples maneras como enviar spam, códigos maliciosos o ataques de denegación de servicio.

Pero, ¿cómo obtienen beneficios los gestores de una botnet?. Hay múltiples maneras pero vamos a comentar las más frecuentes:

• Alquiler de la botnet a los spammers. Los spammers son quienes inundan nuestros buzones de correo no deseado. Se estima que, cerca del 90% del correo electrónico actual es considerado como spam. El gestor de una botnet puede alquilarla en su totalidad o parte de ella a un spammer para que esas máquinas se dediquen a enviar millones de correos electrónicos.
• Ataques de denegación de servicio (DoS). Si se es poseedor de una botnet lo suficientemente grande se puede hacer que las máquinas controladas empiecen a solicitar peticiones de conexión a ciertos servidores. Este ataque se usa cuando se quiere bloquear una web o dejar K.O. un servidor en concreto. Usados a gran escala pueden bloquear varios servidores críticos de empresas o gubernamentales, como ya ha sucedido.
• Propagación de malware. Las máquinas que están siendo controladas pueden servir como medio de almacenamiento y propagación de códigos maliciosos. Normalmente se usan kits de propagación que aprovechan las vulnerabilidades descubiertas más recientes para propagar malware de manera más eficaz, ya que aun hay muchos usuarios que no actualizan debidamente sus sistemas ni sus aplicaciones.
• Servidores de cracks, warez, pornografía y pedofilia. Los controladores de una botnet pueden usar el disco duro de los ordenadores que la componen para almacenar todo tipo de material ilegal que pueden vender y distribuir, siendo el usuario con el ordenador infectado el último responsable del almacenamiento de estos ficheros, aun sin saberlo. De esta manera, los ciberdelincuentes pueden seguir realizando sus actividades delictivas minimizando los riesgos de ser capturados.

Estos son solo algunos ejemplos. Existen otras maneras de obtener beneficios si se gestiona una botnet y, muy probablemente, en el futuro aparezcan más. Como usuarios, lo que debemos hacer es evitar que nuestro ordenador caiga en una de estas redes y eso se puede conseguir de las siguientes maneras:

• Teniendo un antivirus actualizado que, si bien no detectará el 100% de las infecciones, si que ayudará a detener la gran mayoría de ellas.
• Contando con un cortafuegos para bloquear las comunicaciones entrantes y salientes que generan los centros de control de las botnets y los clientes infectados. Así, aunque resultemos infectados, nuestro ordenador no podrá recibir órdenes desde el centro de control y quedará aislado del resto de ordenadores zombies.
• Aplicar el sentido común a la hora de abrir ficheros sospechosos adjuntos al correo, instalar falsos codecs que nos permiten ver supuestos vídeos o descargar archivos desde enlaces que no sean de nuestra confianza. Aunque, usando la ingeniería social, se puede engañar al más experto, en la mayoría de las veces, las técnicas usadas para propagar malware suelen ser muy genéricas y fáciles de detectar si nos paramos a pensar un segundo.
• Mantener nuestro sistema operativo actualizado ya que, muchas veces, los atacantes usan exploits que se aprovechan de vulnerabilidades no corregidas, o de aparición reciente, para las que el usuario aun no ha aplicado la actualización correspondiente.

Esperamos que esta breve descripción sobre la finalidad de las botnets haya servido para tomar conciencia de su verdadera peligrosidad y, sobretodo, ayuden a concienciar a los usuarios de la importancia de estar protegido para evitar caer en esas redes.

Josep Albors

Lo que ha causado tanta alarma (no muy justificada) no es sino otra botnet (relativamente pequeña, por cierto) formada por sistemas infectados por Zeus, una de las redes zombies mas popular en los últimos años. Este tipo de botnet, llegó a tener mas de 2 millones de usuarios en sus días de máximo apogeo, pero los esfuerzos de las autoridades consiguieron desactivarla en parte. En la actualidad, los controladores de este tipo de redes prefieren controlar una cantidad inferior de ordenadores zombies para pasar mas desapercibidos.

La creación y gestión de una botnet es más sencilla de lo que la mayoría de la gente piensa. No se requieren grandes conocimientos de informática y solo con tener el dinero necesario y saber donde buscar, se puede conseguir un pack con exploits y malware que se aprovechen de vulnerabilidades en sistema operativo y aplicaciones. Una vez conseguida esta herramienta se empieza a propagar el malware usando medios como el email o enlaces en webs maliciosas y, conforme los usuarios se van infectando, el controlador de la botnet (botmaster) puede gestionar todas las máquinas bajo su control mediante una interfaz conocida como C&C.

Una vez el botmaster posee una cantidad considerable de máquinas bajo su control, puede empezar a ordenarles una serie de tareas, dependiendo de sus objetivos. Puede lanzar ataques de denegación de servicio contra máquinas críticas como servidores web, alquilar esa red para el envío masivo de spam o seguir propagando malware. Estas actividades suelen reportar grandes beneficios a cambio de una escasa inversión inicial y pocos conocimientos técnicos por lo que son muchos los ciberdelincuentes que se dedican a estos menesteres.

Obviamente, para que un ordenador forme parte de una botnet primero ha de infectarse y es ahí donde entran las medidas de seguridad y el sentido común del usuario para evitar que esta infección se produzca. Puesto que una buena parte del malware actual está orientado a que nuestro sistema entre a formar parte de este tipo de redes zombies, resulta indispensable tomar conciencia de ello y protegernos adecuadamente.

Josep Albors

Pulsando sobre ese enlace, accederemos a una dirección web preparada especialmente para descargar un archivo pdf malicioso de forma automática pero también invita al usuario a descargarse un ejecutable infectado con un troyano:

Este archivo aprovecha la vulnerabilidad descrita anteriormente y ejecuta código JavaScript en el sistema del usuario, pasando su máquina a formar parte de una botnet y siendo controlada por una aplicación web conocida como FSPACK.

Gracias a la colaboración de Jorge Mieres, experto analista de seguridad de ESET Latinoamérica, hemos conseguido extraer los ficheros .js y .swf que ejecutan la infección y acceder al panel de control de esta botnet:

Aunque la mayoría de mensajes que están propagando esta infección aun se encuentran en inglés no podemos bajar la guardia ya que no sería de extrañar que nos topásemos con ejemplos como el analizado en este artículo pero adaptados a los usuarios de habla hispana.

Para evitar ser infectados con estos métodos recuerden desactivar la función JavaScript en sus productos Adobe y contar con un antivirus actualizado capaz de detectar estas amenazas.

Josep Albors

El caso mas reciente que hemos detectado simula ser un correo de Facebook desde el que se nos invita a acceder a nuestra cuenta para realizar supuestas mejoras en la seguridad. Los enlaces realmente redirigen a una descarga de un archivo malicioso que, en caso de ser ejecutado en nuestro sistema, lo infectaría, pasando este a formar parte de una red de ordenadores zombies.

Este tipo de mensajes es bastante habitual y se dirige a los usuarios de las redes sociales mas famosas. La solución para evitar caer en este tipo de trampas es acceder siempre a este tipo de sitios webs usando el navegador y escribiendo manualmente la dirección, nunca pulsando sobre los enlaces que nos aparezcan en los correos.

Además de estos ataques, las redes sociales tienen otro punto débil como es la privacidad de los datos que allí publican los usuarios. En la mayoría de los casos, configurando nuestra cuenta como privada y dando acceso únicamente a nuestros conocidos debería ser mas que suficiente pero algunos investigadores han demostrado que se pueden acceder a datos supuestamente privados de forma relativamente sencilla.

Así pues, ejemplos como el que se muestran en este otro blog, demuestran como se puede acceder a información privada usando una característica de Facebook que cualquier usuario puede utilizar. En este caso, la función usada es el FQL (Facebook Query Language).

Ante esta vulneración de la privacidad, lo mejor es evitar subir a este tipo de redes información sensible que pueda dañar nuestra imagen.

Josep Albors

Este es tan solo un ejemplo de que cualquier sistema puede ser vulnerable si no se toman las medidas necesarias para hacerlos seguro. No olvidemos que el actual sistema Mac/OSX es heredero de los sistemas UNIX y que, como sistema operativo que es, está diseñado para ejecutar aplicaciones (entre las que se incluyen códigos maliciosos).

Es por ello que, si bien el sistema en sí tiene un buen planteamiento de diseño y mejor administración de permisos de usuario que en Windows, todas estas medidas de seguridad pueden venirse abajo en un momento si el usuario no sabe gestionarlas o las ignora.

Igual que ocurre en la mayoría de malware actual para Windows, el malware para Mac requiere de una interacción del usuario, puesto que es este quien en última instancia ejecuta el código malicioso que infectará su sistema.

Es necesario, pues, crear una capa extra de protección basada en la educación de los usuarios para que sepan como evitar exponerse a riesgos innecesarios, educación que esperamos poder proporcionar desde este humilde blog.

Josep Albors
Diseño: Sonia Gandia