SpyEye versus Tracker

Ha quedado claro que el creador del troyano banquero conocido como SpyEye añadió un complemento, o plugin, de apoyo a su código. Bajo este nuevo diseño, terceras partes pueden usar estos plugins para añadir funciones adicionales al robot principal. Los plugins se guardan en formato DLL en el archivo de configuración del robot.

Entre los principales plugins creados por SpyEye está el customconnector, o conector ajustable, que permite las comunicaciones del robot con el servidor de control y comando de la red zombi o con su servidor recolector. El recolector es un servidor malicioso que recibe datos recopilados desde el ordenador capturado y puede ser distinto al servidor de control y comando. El hecho de que el creador de SpyEye haya asignado los vínculos de la red zombi al servidor de control y comando, permite que distintos operadores de SpyEye puedan crear protocolos únicos que controlen las comunicaciones entre el robot y el servidor. Obviamente, estos protocolos pueden dificultar aún más el rastreo de actividades en las redes zombi de SpyEye. A pesar de ello, hasta el momento los ciberdelincuentes no se han apresurado en aprovechar esta oportunidad. El antiguo protocolo de SpyEye en el customconnector.dll básico continúa vigente. Aun así, recientemente hemos detectado algunos cambios relacionados con este plugin.

Cada plugin trae adjunto un archivo de configuración. Si el plugin es customconnector.dll, su archivo de configuración será customconnector.dll.cfg. Los ciberdelincuentes pueden insertar fragmentos de texto simple con parámetros para las funciones del plugin en este archivo de configuración. Puesto que customconnector.dll es un plugin de comunicaciones, su archivo de configuración siempre ha identificado los servidores de control y comando de la red zombi. El operador de la red zombi puede fácilmente cambiar a un nuevo servidor de control y comando introduciendo nuevas URLs en el archivo de texto y actualizando el archivo de configuración en la red zombi.

A continuación mostramos un ejemplo de archivo de configuración:

Figura 1. Un archivo de configuración para customconnector.dll

Podemos ver que en el archivo de configuración se identifican varias URLs de control y comando. El robot intenta conectarse con estas URLs una por una, buscando la que esté activa.

El siguiente diagrama ilustra el funcionamiento del plugin en un ordenador infectado.

Figura 2. Funcionamiento del plugin customconnector

Veamos ahora los cambios que hemos identificado. No resulta sorprendente que estén relacionados con el rastreador abuse.ch. El desarrollador de SpyEye y los operadores de la red zombi se han quejado de este rastreador en repetidas ocasiones. Abuse.ch publica oportunamente las URLs de los servidores de control y comando de las redes zombi de SpyEye y los proveedores de Internet pueden bloquear el acceso de sus clientes infectados a estos servidores. No resulta difícil recuperar las direcciones de control y comando desde el archivo de configuración de SpyEye (el original está guardado en el cuerpo del robot). El archivo de configuración es en realidad un archivo comprimido ZIP protegido por contraseña. La contraseña y el archivo de configuración pueden recuperarse desde la memoria de un ordenador infectado. Después de esto, los archivos de configuración de los plugins (incluyendo customconnector.dll.cfg) quedan disponibles en el archivo comprimido; las URLs de control y comando son fáciles de encontrar en customconnector.dll.cfg. Este proceso puede y debería realizarse de forma automática, ya que a diario se lanzan muchos robots nuevos. Por el momento, los robots funcionan: las URLs de control y comando se publican y bloquean.
Entonces, no hay problema, ¿no es cierto? Por desgracia, acabamos de descubrir que las URLs publicadas en el archivo customconnector.dll.cfg, son falsas.

Habíamos visto esto antes en ZeuS. Tal y como sucedió con ZeuS, los ciberdelincuentes dejaron rastros del método antiguo para confundir a los analistas de programas maliciosos. Aparentemente, no hay nada nuevo, pero sí hay algunos cambios: en algunas versiones de customerconnector.dll, simplemente se ignora el contenido del archivo de configuración del plugin, mientras que se usan las URLs identificadas en la DLL. La función Init() contenida en customconnector.dll recompone las verdaderas URLs de control y comando a partir de fragmentos.

Figura 3. Fragmentos de texto en la DLL desde la que se recomponen las URLs de control y comando

Figura 4. Recomposición de las URLs de control y comando a partir de fragmentos aislados

Figura 5. Las verdaderas URLs de control y comando de la red zombi recuperadas en tiempo real desde la DLL

Los ciberdelincuentes están empezando a experimentar con las oportunidades que ofrece el plugin customconnector. Por el momento, el protocolo de comunicación no es ajustable, pero los ciberdelincuentes han empezado a usarlo para ocultar las URLs de control y comando de la red zombi del rastreador y de los analistas de programas maliciosos. Por supuesto, no cejarán en sus intentos, aunque les cueste mucho dinero desarrollar nuevas funciones. Crucemos los dedos para que podamos detectar rápidamente cualquier artimaña nueva y neutralizar los constantes cambios que los ciberdelincuentes hagan en el protocolo usado para la comunicación entre el robot y el servidor de control y comando.