Noticias

Nueva red zombi p2p toma fuerza

El nuevo año acaba de empezar y una nueva red zombi está creciendo. Tiene algunas similitudes con la terrible red zombi Waledac que Microsoft logró derrotar con mucho esfuerzo a principios del año pasado. El código base de este nuevo bot es diferente, pero utiliza la misma estrategia para propagarse y parece que también tiene una infraestructura “multi-relay” (o peer-to-peer), similar a la de su predecesora. Nuestros amigos de ShadowServer han publicado una excelente entrada en su blog donde explican esta nueva amenaza y su relación con los bots anteriores.

Estamos analizando la nueva familia y confirmamos que tiene un comportamiento similar al de una red peer-to-peer. Cuando se inicia, el bot carga una lista de 500 peers incrustados en el código fuente del programa. Cada uno tiene una identidad única, la dirección IP del peer y el puerto TCP que está espiando:

971e116b-1c78-4619-abb2-3467427b8861 69.96.23.0:80
d9d04244-2f07-464c-b5c9-ad78e6319546 69.204.140.0:80
89787e02-6de4-4385-ae5f-5eaca64a3fe0 112.204.169.0:80

El bot se conecta a uno de estos hosts cada 10 minutos para descargar una lista de otros 10 peers que incluye en la suya. Cada dato del peer que se descarga contiene el tiempo en línea del bot correspondiente:

91f1a368-0aa0-410c-a486-ba23af17f243, 62.33.242.184:80 lst_act=03.01.2011 15:40:23 live_tm: d0.h6.m44.s10
61410ab9-aa16-441c-84b9-6a8d1257b8da, 202.144.33.227:80 lst_act=03.01.201115:40:23 live_tm: d1.h23.m25.s59
085a9416-1a0b-403f-abb2-88b2600e9c51, 114.249.53.47:80 lst_act=03.01.2011 15:40:02 live_tm: d0.h0.m6.s49

La red zombi está alojándose en una red de flujo rápido que todo el tiempo remite a los visitantes de 12 dominios publicitados en campañas de spam a uno de los ordenadores infectados. Estos equipos propagan una copia del archivo malicioso. Consultamos 5 de los dominios por un periodo de 5 horas y contamos el número de direcciones IP diferentes que respondieron por minuto (en el eje Y).

El gráfico muestra que los dominios tienen una correlación muy fuerte, lo que demuestra que es posible que el mismo grupo de ordenadores esté controlando todos los dominios. El gráfico también ilustra la típica tendencia de disminuir cuando los ordenadores se desconectan y no son parte del grupo de flujo rápido, lo que se contrarresta agregando nuevos hosts.

Las muestras que vemos que se están propagando tienen sumas de verificación diferentes, pero todas pesan 485.888 bytes. Detectamos esta amenaza como una versión de Trojan-Downloader.Win32.FraudLoad.

Nueva red zombi p2p toma fuerza

Su dirección de correo electrónico no será publicada.

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada