News

Ladrones deshonrados… hasta en Alemania

Se intercambian muchas herramientas y servicios por dinero en el mundo criminal. Por ejemplo, el creador de una red zombi o su empresa puede ofrecer un paquete de control de una red zombi a cambio de cierta cantidad de dinero. El cliente recibe un paquete con todos los archivos necesarios y asistencia adicional, como actualizaciones contra la detección antivirus. En general hay diferentes niveles de asistencia a los que los clientes se pueden subscribir.

Pero nada es perfecto, incluso en el mundo criminal.

En febrero de este año, un individuo que utiliza el sobrenombre “Till7″ comenzó a ofrecer su nuevo web panel bot llamado “v0id Bot”. El distribuidor oficial, llamado “3lite”, ofreció este paquete de administración de redes zombi en foros cibercriminales.

El programa está escrito en VisualBasic.Net e incluye un Web-Panel php con varias características:

  • Visita a un sitio web específico
  • Descarga y ejecuta un archivo desde un sitio web específico
  • Funciones de envío de spam
  • Ladrón de credenciales (para DynDNS, Filezilla y otros)
  • Satura HTTP y UDP

URL de comando y control

Lista de características “populares”

Rastreé los mensajes de la gente que compró este paquete. Pero hacia mediados de marzo comenzaron a aparecer mensajes en foros, en los que los clientes se quejaban de que no recibían asistencia alguna del creador ni de la empresa.

Un cliente se enojó tanto que publicó todo el paquete que había comprado y lo hizo accesible al público. Esto acabó con el paquete comercial y otra gente comenzó a lanzar paquetes modificados de este bot con diferentes cambios y arreglos.

El cliente que filtró el paquete por primera vez afirmó que el bot era “una porquería”, que “al creador no le interesan sus clientes” y que “la empresa nunca proveyó asistencia”. Un segundo ejemplar de este producto se filtró en otro foro, esta vez porque muchos programas antivirus detectaron el bot y el creador no cumplió su promesa de que el producto iba a ser indetectable.

En marzo se publicó una guía corta de tres pasos para “adueñarse” del bot v0id, en otras palabras, instrucciones para cambiar el código binario del programa para que lo controle una persona sin autorización.

Lo malo de todo esto es que en lugar de desaparecer el bot está ahora a disposición de todos. Los nuevos miembros del mundo del cibercrimen sólo tienen que descargar el paquete filtrado. Hace algunos días se publicó el código fuente del bot, así que los piratas ahora pueden crear su propio programa robot basándose en v0id-bot.

Sitio de acceso de un sitio de comando y control original

Para mí, las características más interesantes del caso son la velocidad del ciclo y el idioma.

Todo el proceso tomó sólo un mes: desde el momento en que se puso a la venta el paquete original hasta que se publicó el código fuente. Y todo el proceso fue en alemán, prueba suficiente de que el crimen informático en Alemania está activo y es fructífero… demasiado para mi gusto.

Ladrones deshonrados… hasta en Alemania

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada