News

Kaspersky Lab:¡también en mi lista de ataques DDoS! [por SpyEye]

El título de esta nota podría sugerir que me refiero a uno de los ciberdelincuentes que usa SpyEye, ¡quizás con admiración! Pero en realidad las acciones de este ciberdelincuente empalidecen todo lo demás.

La verdad es que tras la publicación de mi nota remarcando la táctica de usar uno de los servicios informáticos en la nube ofrecidos por Amazon como Centro de administración, descubrí una interesante copia de SpyEye: entre sus objetivos figura un ataque DDoS contra el sitio web de Kaspersky Lab.

El archivo de configuración de SpyEye, que es esencialmente un archivo comprimido y protegido con contraseña (por lo general MD5), guarda los recursos necesarios para el ataque. La sorpresa apareció cuando observaba el archivo de configuración del complemento o plugin (ddos.dll.cfg). La siguiente imagen muestra los parámetros de este archivo:

Como podemos ver, nuestro sitio web aparece en la lista de blancos. La sintaxis para fijar parámetros en el complemento SpyEye del ataque DDoS es tipo-blanco-puerto-tiempo:

  • Tipo: Los ataques DDoS SYN contra los sitios de Kaspersky Lab y SpyEye Tracker, además de un ataque UDP dirigido sólo contra Kaspersky Lab. Asimismo, SpyEye acepta el ataque DDoS Slowloris.
  • Blanco: Sitio web atacado (Kaspersky Lab y SpyEye Tracker).
  • Puerto: Los puertos de destino por los cuales se canalizará el ataque (443 y 80).
  • Tiempo: El periodo durante el cual se lanzarán los ataques. Por defecto, estos valores aparecen en segundos para los ataques con protocolos SYN y UDP. Para el ataque Slowloris, el valor se expresa en minutos.

¡Pero esta no fue la única sorpresa! Al observar otros archivos de configuración, en particular el complemento Custom Connector (customconnector.dll.cfg), noté un dominio muy familiar: http://[DELETE]/~ishigo/sp/main/gate.php

Custom Connection es un complemento que permite la comunicación entre los ordenadores zombi y el centro de administración a través de gate.php. Al revisar información de anteriores investigaciones, encontré un dominio (mismo rango IP) con parecida estructura, que era parte del caso Ice IX. La siguiente imagen es un fragmento de un informe obtenido de un análisis de Ice IX:

Ishigo es el nombre de un dueño de robot, o botmaster, muy activo en el escenario de la ciberdelincuencia y que opera principalmente usando los programas crimeware

, y que ahora está experimentando con Ice IX.

Sea o no sea un casual intento de ataque contra nuestro portal, seguiremos investigando las actividades de este y otros botmasters. ¡Te mantendremos informado!

Kaspersky Lab:¡también en mi lista de ataques DDoS! [por SpyEye]

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada