Ladrones deshonrados… hasta en Alemania

Se intercambian muchas herramientas y servicios por dinero en el mundo criminal. Por ejemplo, el creador de una red zombi o su empresa puede ofrecer un paquete de control de una red zombi a cambio de cierta cantidad de dinero. El cliente recibe un paquete con todos los archivos necesarios y asistencia adicional, como actualizaciones contra la detección antivirus. En general hay diferentes niveles de asistencia a los que los clientes se pueden subscribir.

Pero nada es perfecto, incluso en el mundo criminal.

En febrero de este año, un individuo que utiliza el sobrenombre “Till7″ comenzó a ofrecer su nuevo web panel bot llamado “v0id Bot”. El distribuidor oficial, llamado “3lite”, ofreció este paquete de administración de redes zombi en foros cibercriminales.

El programa está escrito en VisualBasic.Net e incluye un Web-Panel php con varias características:

• Visita a un sitio web específico
• Descarga y ejecuta un archivo desde un sitio web específico
• Funciones de envío de spam
• Ladrón de credenciales (para DynDNS, Filezilla y otros)
• Satura HTTP y UDP

URL de comando y control

Lista de características “populares”

Rastreé los mensajes de la gente que compró este paquete. Pero hacia mediados de marzo comenzaron a aparecer mensajes en foros, en los que los clientes se quejaban de que no recibían asistencia alguna del creador ni de la empresa.

Un cliente se enojó tanto que publicó todo el paquete que había comprado y lo hizo accesible al público. Esto acabó con el paquete comercial y otra gente comenzó a lanzar paquetes modificados de este bot con diferentes cambios y arreglos.

El cliente que filtró el paquete por primera vez afirmó que el bot era “una porquería”, que “al creador no le interesan sus clientes” y que “la empresa nunca proveyó asistencia”. Un segundo ejemplar de este producto se filtró en otro foro, esta vez porque muchos programas antivirus detectaron el bot y el creador no cumplió su promesa de que el producto iba a ser indetectable.

En marzo se publicó una guía corta de tres pasos para “adueñarse” del bot v0id, en otras palabras, instrucciones para cambiar el código binario del programa para que lo controle una persona sin autorización.

Lo malo de todo esto es que en lugar de desaparecer el bot está ahora a disposición de todos. Los nuevos miembros del mundo del cibercrimen sólo tienen que descargar el paquete filtrado. Hace algunos días se publicó el código fuente del bot, así que los piratas ahora pueden crear su propio programa robot basándose en v0id-bot.

Sitio de acceso de un sitio de comando y control original

Para mí, las características más interesantes del caso son la velocidad del ciclo y el idioma.

Todo el proceso tomó sólo un mes: desde el momento en que se puso a la venta el paquete original hasta que se publicó el código fuente. Y todo el proceso fue en alemán, prueba suficiente de que el crimen informático en Alemania está activo y es fructífero… demasiado para mi gusto.