News

TDSS + Bitcoin = ?

Bitсoin es una moneda electrónica construida con modalidad peer-to-peer y diseñada para realizar transacciones financieras anónimas en Internet. Además de las ventajas obvias de esta moneda para los usuarios, también es muy útil para los cibercriminales. Escribimos sobre diferentes ejemplos de malware que se utilizan para la monetización en Bitcoin aquí y aquí. Pero ahora hablaremos de TDSS y su nuevo módulo para Bitcoin.

A principios de agosto, una nueva sección [tslcaloc] apareció en los archivos de configuración de TDSS mientras el bot se ejecutaba en un ordenador infectado por un periodo corto:

  • [main]
  • version=0.03
  • aid=40584
  • sid=0
  • builddate=351
  • rnd=507921405
  • knt=1313495932
  • [inject]
  • *=cmd.dll
  • (x64)=cmd64.dll
  • [cmd]
  • srv=https://91.213.29.63/;https://tr1ck-track.com/;https://188.95.52.162/;https://mo0nviser.com/;https://4tag16ag100.com/;https://zna61udha01.com/
  • wsrv=http://bangl24nj14.com/;http://lkeopee32.com/;http://63.223.106.16/;http://63.223.106.17/;http://iau71nag001.com/;http://baj19kall10.com/
  • psrv=http://cikh71ynks66.com/;http://clkh71yhks66.com/
  • version=0.28
  • bsh=48d7a92bad59ee46252114485ea09c3aab050181
  • delay=7200
  • dlc_srand=103
  • ns_conf=0
  • [tasks]
  • [tslcaloc]
  • svchost.exe=180| -g yes –t 1 –o http://pacrim.eclipsemc.com:8337/ -u ilnick89_1 –p 112233

Ejemplo de archivo de configuración de TDSS con una nueva sección para Bitcoin

Según los parámetros del archivo svchost.exe, podemos ver que esta sección se crea para trabajar con una piscina (pool) de Bitcoin llamada eclipsemc.com.


Sitio web del pool de Bitcoin eclipsemc.com

El nombre de usuario y contraseña de esta piscina también se guarda en un archivo de configuración, pero por desgracia el usuario ya estaba bloqueado cuando recibimos el ejemplar. Sólo podíamos esperar a que aparecierazca una nueva víctima de TDSS.

El 22 de agosto, un usuario llamado Plus88 se quejó en el foro de softpedia.com sobre el uso del 100% de su CPU, lo que lo hizo sospechar que su ordenador estaba infectado. El análisis reveló que el ordenador estaba infectado con TDSS. El usuario también descubrió una línea de comando en el proceso de una cadena de caracteres que usaba el 100% del CPU:

C:WINDOWSTEMPconhost.exe -g no -t 1 -o hxxp://generic–t00ls.com:8344/ -u bcegeky -p pvidedlrtoeiy


Mensaje del usuario sobre la infección de TDSS

Después de un análisis veloz, conseguimos una muestra de TDSS con los parámetros especificados.

  • [main]
  • version=0.03
  • aid=50018
  • sid=0
  • builddate=351
  • installdate=16.8.2011 0:40:32
  • rnd=3623570913
  • knt=1313683563
  • [inject]
  • *=cmd.dll
  • (x64)=cmd64.dll
  • [cmd]
  • srv=https://lo4undreyk.com/;https://sh01cilewk.com/;https://cap01tchaa.com/;https://kur1k0nona.com/;https://u101mnay2k.com/
  • wsrv=http://gnarenyawr.com/;http://rinderwayr.com/;http://jukdoout0.com/;http://swltcho0.com/;http://ranmjyuke.com/
  • psrv=http://crj71ki813ck.com/
  • version=0.29
  • dlc_srand=169
  • ns_conf=0
  • delay=7200
  • bsh=c1fe4a4eb3522c2bbac5765edb1b693449db5f1a
  • [tasks]
  • [tslcaloc]
  • kwrd=300|conhost.exe| -g no -t 1 -o http://generic–t00ls.com:8344/ -u %s -p %s

Ejemplo de archivo de configuración de TDSS con una nueva sección para Bitcoin

Una cadena de caracteres responsable de un pool de Bitcoin dirige al sitio genérico –t00ls.com. Este sitio tiene un pool de empuje (pushpool) que sirve como proxy para el verdader pool de Bitcoin. El nombre de usuario y contraseña del pool de empuje es pseudorandom y está guardado en un archivo codificado llamado bckfg.tmp. Un análisis de conhost.exe reveló que es sólo un minero de Ufasoft GPU.

Por desgracia no se puede conseguir el nombre del pool y del cibercriminal que utilizó la botnet TDSS para realizar transacciones, algo que no se había visto en incidentes previos. También es imposible descubrir la verdadera cantidad de dinero que ganó el dueño de la botnet gracias a Bitcoin. Pero el uso de un malware tan sofisticado como TDSS demuestra que los cibercriminales están cada vez más interesados en Bitcoin, y que su creciente interés está correlacionado con el aumento del dinero que “ganan”.

TDSS + Bitcoin = ?

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada