News

El dónde y por qué de HLUX

El dónde y por qué de HLUX
Sergey Golovanov
Kaspersky Lab Expert
Posted February 15, 09:54 GMT
Tags: Botnets, TDSS
0

Esta no es la primera vez que la red zombi HLUX se menciona en este blog, pero siguen habiendo algunas preguntas sin responder que hemos recibido de los medios: ¿En qué campo de actividad se mueve esta red zombi? ¿Qué tipo de órdenes recibe de los usuarios maliciosos? ¿Cómo se propaga? ¿Cuántos ordenadores infectados tiene la red zombi?

Antes de responder a estas preguntas es importante aclarar que la red zombi HLUX que habíamos desactivado sigue bajo control y los ordenadores infectados no están recibiendo órdenes del C&C, por lo que no están enviando spam. Junto con la Unidad de Crímenes Digitales de Microsoft, SurfNET y Kyrus Tech Inc., Kaspersky Lab realizó una operación para desligar la red zombi y su infraestructura de apoyo del centro de comando y control.

La respuestas de abajo se refieren a una nueva versión de la red zombi HLUX – es una red zombi diferente, pero el malware que utiliza se construye usando el mismo sistema de codificación HLUX. El análisis de una nueva versión de la red zombi HLUX (md5: 010AC0BFF69EB945108B57B40A4784BE, size: 882176 B) reveló la siguiente información.

¿Por qué?

Como ya sabemos, el bot distribuye spam y puede lanzar ataques DDoS. Además, descubrimos que:

  1. El bot puede infectar memorias flash y, tal como hacía Stuxnet, crea un archivo dentro de ellas llamado “Copy a Shortcut to google.INK”.
  2. El bot puede buscar archivos de configuración para varios clientes FTP y transferirlos a sus servidores de comando.
  3. El bot tiene una característica integrada que le permite robar monederos Bitcoin.
  4. El bot también incluye una característica de minería de Bitcoins.
  5. El bot puede operar en modo de servidor proxy.
  6. El bot busca archivos que contengan direcciones de correo electrónico en los discos duros.
  7. El bot también tiene un rastreador que intercepta las contraseñas de correos electrónicos, FTP y HTTP.


Parte del código HLUX que interactúa con los clientes FTP


Parte del código de HLUX que se utiliza para robar monederos Bitcoin

¿De dónde viene?

El bot se carga a los ordenadores de los usuarios desde muchos sitios web alojados en dominios de flujo rápido (fast flux), en especial en los dominios .EU. El bot instala pequeños descargadores (~47 KB) en el sistema. Estos descargadores se han detectado en ordenadores de las redes zombi GBOT y Virut. Los descargadores se pueden cargar a los ordenadores sólo minutos después de que se infecte un ordenador con el malware que se menciona arriba (GBOT y Virut). Este método de distribución dificulta la detección de la fuente primaria de distribución del bot.

También se han detectado casos en los que el bot infecta a los usuarios con ataques drive-by que utilizan el paquete de exploits Incognito.

Se calcula que la nueva red zombi HLUX está compuesta por varias decenas de miles de ordenadores infectados. Esta cifra se dedujo basándose en los números de alrededor de 8.000 direcciones IP que se detectaron en operaciones que se realizaron mediante P2P.

¿Hacia dónde se dirige?

Como antes, la red zombi HLUX principalmente recibe órdenes para distribuir spam. Pero la red también está instalando otro programa malicioso, sobre el que escribimos aquí. Su principal función es manipular de forma fraudulenta los motores de búsqueda de forma similar a TDSS.

Las contraseñas que se obtienen de FTP se utilizan para ubicar Javascripts maliciosos en sitios web que, una vez más, redirigen a los usuarios de los sitios comprometidos al paquete de exploits Incognito. Los exploits de la vulnerabilidad CVE-2011-3544 se utilizan principalmente cuando se instala el bot durante estos ataques. En otras palabras, HLUX implementa un sistema de distribución cíclica como el que usaba Bredolab.

Resumen

Tanto las versiones antiguas de la red zombi HLUX como las nuevas son un ejemplo clásico de crimen organizado por Internet. Los dueños de esta red zombi utilizan casi todas las formas de fraude de Internet que se conocen: enviar spam, robar contraseñas, manipular motores de búsqueda, lanzar ataques DDoS, etc.

No es inusual que aparezcan nuevas versiones de redes zombi, y es uno de los retos a los que siempre nos enfrentamos como industria de seguridad informática. Podemos neutralizar ataques de una red zombi y retrasar las actividades cibercriminales, pero la única forma de destruirlas por completo es arrestando y castigando a los creadores y grupos de hackers que operan estos programas maliciosos. Esta es una tarea difícil porque las empresas de seguridad deben actuar según las leyes y regulaciones federales de los diferentes países en los que se encuentran las redes zombi. Esto hace que las investigaciones de las autoridades y los procesos legales que hay que seguir sean largos y tediosos.

Seguiremos vigilando esta red zombi en particular y te mantendremos informado sobre cualquier desarrollo técnico que aparezca.

P.D. Hemos observado esto en un dominio de flujo rápido (fast flux) que estaba propagando a HLUX:


No estamos seguros de que sea el panel de control de la red zombi HLUX.

El dónde y por qué de HLUX

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada