TDSS + Bitcoin = ?

Bitсoin es una moneda electrónica construida con modalidad peer-to-peer y diseñada para realizar transacciones financieras anónimas en Internet. Además de las ventajas obvias de esta moneda para los usuarios, también es muy útil para los cibercriminales. Escribimos sobre diferentes ejemplos de malware que se utilizan para la monetización en Bitcoin aquí y aquí. Pero ahora hablaremos de TDSS y su nuevo módulo para Bitcoin.

A principios de agosto, una nueva sección [tslcaloc] apareció en los archivos de configuración de TDSS mientras el bot se ejecutaba en un ordenador infectado por un periodo corto:

• [main]
• version=0.03
• aid=40584
• sid=0
• builddate=351
• rnd=507921405
• knt=1313495932
• [inject]
• *=cmd.dll
• (x64)=cmd64.dll
• [cmd]
• srv=https://91.213.29.63/;https://tr1ck-track.com/;https://188.95.52.162/;https://mo0nviser.com/;https://4tag16ag100.com/;https://zna61udha01.com/
• wsrv=http://bangl24nj14.com/;http://lkeopee32.com/;http://63.223.106.16/;http://63.223.106.17/;http://iau71nag001.com/;http://baj19kall10.com/
• psrv=http://cikh71ynks66.com/;http://clkh71yhks66.com/
• version=0.28
• bsh=48d7a92bad59ee46252114485ea09c3aab050181
• delay=7200
• dlc_srand=103
• ns_conf=0
• [tasks]
• [tslcaloc]
• svchost.exe=180| -g yes –t 1 –o http://pacrim.eclipsemc.com:8337/ -u ilnick89_1 –p 112233

Ejemplo de archivo de configuración de TDSS con una nueva sección para Bitcoin

Según los parámetros del archivo svchost.exe, podemos ver que esta sección se crea para trabajar con una piscina (pool) de Bitcoin llamada eclipsemc.com.

Sitio web del pool de Bitcoin eclipsemc.com

El nombre de usuario y contraseña de esta piscina también se guarda en un archivo de configuración, pero por desgracia el usuario ya estaba bloqueado cuando recibimos el ejemplar. Sólo podíamos esperar a que aparecierazca una nueva víctima de TDSS.

El 22 de agosto, un usuario llamado Plus88 se quejó en el foro de softpedia.com sobre el uso del 100% de su CPU, lo que lo hizo sospechar que su ordenador estaba infectado. El análisis reveló que el ordenador estaba infectado con TDSS. El usuario también descubrió una línea de comando en el proceso de una cadena de caracteres que usaba el 100% del CPU:

C:WINDOWSTEMPconhost.exe -g no -t 1 -o hxxp://generic–t00ls.com:8344/ -u bcegeky -p pvidedlrtoeiy

Mensaje del usuario sobre la infección de TDSS

Después de un análisis veloz, conseguimos una muestra de TDSS con los parámetros especificados.

• [main]
• version=0.03
• aid=50018
• sid=0
• builddate=351
• installdate=16.8.2011 0:40:32
• rnd=3623570913
• knt=1313683563
• [inject]
• *=cmd.dll
• (x64)=cmd64.dll
• [cmd]
• srv=https://lo4undreyk.com/;https://sh01cilewk.com/;https://cap01tchaa.com/;https://kur1k0nona.com/;https://u101mnay2k.com/
• wsrv=http://gnarenyawr.com/;http://rinderwayr.com/;http://jukdoout0.com/;http://swltcho0.com/;http://ranmjyuke.com/
• psrv=http://crj71ki813ck.com/
• version=0.29
• dlc_srand=169
• ns_conf=0
• delay=7200
• bsh=c1fe4a4eb3522c2bbac5765edb1b693449db5f1a
• [tasks]
• [tslcaloc]
• kwrd=300|conhost.exe| -g no -t 1 -o http://generic–t00ls.com:8344/ -u %s -p %s

Ejemplo de archivo de configuración de TDSS con una nueva sección para Bitcoin

Una cadena de caracteres responsable de un pool de Bitcoin dirige al sitio genérico –t00ls.com. Este sitio tiene un pool de empuje (pushpool) que sirve como proxy para el verdader pool de Bitcoin. El nombre de usuario y contraseña del pool de empuje es pseudorandom y está guardado en un archivo codificado llamado bckfg.tmp. Un análisis de conhost.exe reveló que es sólo un minero de Ufasoft GPU.

Por desgracia no se puede conseguir el nombre del pool y del cibercriminal que utilizó la botnet TDSS para realizar transacciones, algo que no se había visto en incidentes previos. También es imposible descubrir la verdadera cantidad de dinero que ganó el dueño de la botnet gracias a Bitcoin. Pero el uso de un malware tan sofisticado como TDSS demuestra que los cibercriminales están cada vez más interesados en Bitcoin, y que su creciente interés está correlacionado con el aumento del dinero que “ganan”.