BoteAR: una “Social Botnet”? ¿Qué quiere decir eso?

En la seguridad informática, hablar sobre redes zombi (botnets) equivale a hablar sobre acciones maliciosas que se llevan a cabo mediante actos criminales. En esencia, creemos que siempre hay una actitud hostil de parte de quienes las administran. Colegas, por favor corregidme o refutad mis argumentos si me equivoco, pero creo que estáis de acuerdo con este concepto.

BoteAR (desarrollado en Argentina) adopta el concepto de “redes sociales” aunque parezca, hasta ahora, que no está materializado del todo. Ofrece una red zombi convencional y manejable mediante HTTP pero utiliza el modelo de “crimeware como servicio”. Es más, parece que el autor adopta (tal vez sin ser consciente de ello) el modelo de negocios de los sistemas de afiliados originados en Europa oriental, que se utiliza para propagar malware, es decir, infectar equipos y ganar dinero por cada nodo que infectan.

Por ahora nada de esto es inusual; por desgracia, vemos este tipo de tácticas cada día. Pero lo sorprendente de BoteAR es que trata de protegerse haciéndose pasar por un producto de seguridad en un intento de “fraternizar” con su comunidad.

“Botnet Security: tome el control de máquinas remotas y controle las acciones del usuario”. Este es el eslogan de la aplicación maliciosa, pero… ¡por favor! ¡Aquí hay algo que no entiendo! ¿Es ésta una aplicación de seguridad que te permite mitigar los ataques de botnets? ¡Por supuesto que no! Según el autor, se utiliza para robar información de los usuarios usando un troyano. La imagen de abajo se refiere al sitio web de BoteAR y describe, en un castellano mal redactado, algunas funcionalidades de la aplicación maliciosa:

Analicemos algunas de las afirmaciones que hacen (encerradas en un cuadro rojo) para demostrar por qué sus acciones son maliciosas:

1. “Tome el control de máquinas remotas y controle las acciones del usuario”. El acceso a un sistema sin la debida autorización de su encargado o dueño está prohibido por la ley y es un acto criminal. Este acto se conoce como intrusión desautorizada y, en la mayoría de los países del mundo que tienen una ley de crímenes informáticos, es un acto penalizado sin importar los medios tecnológicos que se hayan utilizado.
2. “El servicio BoteAR es gratuito y el uso, como así también las responsabilidades del mismo van por cuenta del usuario” : Quiero detenerme un poco en este punto porque muchas personas seguro revivirán la discusión sobre la responsabilidad que tienen los desarrolladores de este tipo de aplicaciones maliciosas, argumentando que “un cuchillo se puede usar tanto para matar o como para cortar pan”. Esto es cierto, pero… ¡Por favor! Este es sin duda un acto inmoral. La moral es parte de la ley común, y este “servicio” está pensado para usarse de forma maliciosa. Es verdad que nadie está obligado a seguir las reglas morales, pero sí deben seguir las leyes criminales. El autor tiene un “corazón malintencionado” que es obvio que evade las reglas impuestas por la ley. Y con esto me refiero al comportamiento humano, no a las acciones de un programa informático. Volviendo a la analogía del cuchillo, en este caso, es obvio que la intención del autor es robar y no ayudar a proteger la información del usuario.
3. “… Esta herramienta permitirá controlar todas las acciones remotas realizadas en su propia Botnet, pero para lograr establecer una conexión con los zombies usted deberá primero instalar el agente en Javascript (Troyano ) en el sitio web deseado…”: El malware es un programa malicioso por definición (el nombre proviene del inglés “malicious software”), que en la actualidad se utiliza con frecuencia para robar información bancaria. Un troyano es malware y, por lo tanto, es un programa malicioso.
4. “Control remoto de computadoras, bypass de protecciones remotas, robo de credenciales, ataques SQLi, XSS y DoS”: Una vez más, estos son diferentes tipos de ataques prohibidos por la ley, al menos en Argentina (donde reside el autor de BoteAR), y el robo de credenciales puede calificarse como Robo de identidad.
   Aunque por ahora esta idea no se ha expandido, seguro que pronto se comenzará a adoptar. Pero el autor de BoteAR finge que está del lado bueno porque su información es pública. También actúa como “Poncio Pilatos”, lavándose las manos para evitar cualquier responsabilidad que el “mal uso” de su botnet pueda acarrear. La cuestión es, ¿puede existir un “buen uso” de esta botnet? ¿Puede una botnet tener esta característica?

Sigo creyendo que el autor de BoteAR no ha considerado todas las ramificaciones legales y el verdadero impacto que pueden llegar a tener sus acciones. Para ellos, es mejor prevenir, o advertir, antes de comenzar a robar las credenciales de acceso a sitios bancarios de Argentina o de cualquier otro país que lo condenaría por estas acciones, o antes de que el sitio web de alguna empresa importante sufra un ataque DDoS.

La comunicación entre los equipos infectados y C2 se realiza mediante un troyano de tipo backdoor, escrito en JavaScript y que Kaspersky Lab detecta como Backdoor.JS.Agent.c . Abajo puedes ver la distribución geográfica actual de esta amenaza:

La siguiente imagen es parte del código del agente malicioso. El texto no necesita mucha explicación: hay funciones que permiten cierto tipo de interacciones que resultan en ataques phishing. Pero ten en cuenta que la aplicación maliciosa no sólo se diseñó para lanzar ataques phishing, sino también para, entre otras cosas, controlar de forma remota el ordenador mediante el navegador y ejecutar exploits, incluyendo módulos para exploits “zero-day” (recién descubiertos).

Como dijo un amigo mío, este tipo de acciones esconde un factor importante que es la motivación real de los autores de malware porque, al fin y al cabo, y viendo más allá de las acciones del malware en sí mismo, sabemos que en muchos casos la forma de llegar a la gente, ya sea para vender o para robar, es tratando de mostrar menos el lado criminal y ser más sociable. Pero, de cualquier modo, sigue siendo cibercrimen.