Autores
Introducción
La semana anterior, un buen amigo (@Dkavalanche) mencionaba en su cuenta de Twitter su hallazgo de un programa malicioso, Betabot, que se propagó como spam en falsos mensajes de correo supuestamente enviados por los Carabineros de Chile. Me llamó la atención, así que investigué al respecto y encontré esto: el dominio original .biz que la campaña maliciosa utiliza lo compró alguien supuestamente de Panamá. Se trata de un dominio completamente malicioso que se usa exclusivamente para actividades ciberdelictivas; sin embargo, ¡el servidor se encuentra en Rusia! El servidor contiene varias carpetas y archivos, a los cuales nos referiremos posteriormente. Concentrémonos primero en el binario malicioso original que se propagó mediante mensajes de correo, y en otros elementos. Nos limitaremos sólo a los detalles más relevantes.
Denuncia_penal.exe
Este es el nombre del binario original.
Este archivo está compilado con información falsa y pretende ser una herramienta legítima construida por NoVirusThanks, con el nombre NPE File Analyzer.
Pero, ¿qué lo hace interesante? Se trata de un programa malicioso espía que interactúa con el servidor de control y comando mediante comandos como: “JOIN”, “PRIVMSG” y otros. Roba datos del portapapeles, de las entradas en el teclado y también de capturas de pantalla. Además, roba cookies de los navegadores y las envía con formato SQLite a una DB remota.
Posee la función de un troyano puerta trasera y combate activamente contra 15 distintas soluciones antivirus instaladas localmente manipulando Image File Execution Options, que impide su ejecución. Esta técnica es muy dañina porque incluso si se elimina este programa malicioso, los programas depuradores, o debuggers, no se reparan, por lo que la víctima no podrá instalar otra solución antivirus. El depurador apenas llega a bloquear la ejecución de los archivos por sus nombres de archivo.
El programa malicioso verifica si se lo ejecuta en un ambiente caja de arena mediante la detección de la biblioteca SBIEDLL.DLL que pertenece al software de la caja de arena Sandboxie y también verifica si el ambiente es virtual detectando recursos como HGFS y VBoxGuest.
Mientras trabaja en la memoria podemos encontrar el hilo que identifica al programa malicioso con el Betabot.
En septiembre de 2013, el FBI publicó un Anuncio de servicio público sobre esta amenaza. Sin embargo, ahora la diferencia radica en que esta red zombi ya no la utilizan sólo los ciberdelincuentes de habla rusa, sino también los latinoamericanos.
Víctimas
¿Quiénes son exactamente las víctimas de esta particular campaña? Pude recuperar el DB de las direcciones de correo utilizadas para los envíos spam y analizando sólo los dominios de primer nivel y buscando los relacionados con geografía específica, encontramos que Chile y República Dominicana son los principales blancos:
La lista completa es bastante extensa. Si verificamos sólo los dominios de geografía específica, entonces este sería el Top 10 de los países con mayor número de víctimas:
- Chile
- República Dominicana
- España
- Argentina
- México
- Ecuador
- Alemania
- Francia
- Colombia
- Italia
Asimismo, es importante notar que la lista de víctimas incluye miles de direcciones de correo en los dominios .edu y .gov. En la continuación de este análisis trataremos con más detalle las víctimas y la operación detrás del ataque.
Kaspersky detecta este programa malicioso como Trojan.Win32.Neurevt.zp
Estás invitado a seguirme en: @dimitribest
Autores
Golpe de hackers latinoamericanos (1a parte – Betabot)