Facebook, troyanos y botnets

La semana pasada les comentamos acerca de un código malicioso que suponiendo ser una notificación de Facebook se propagaba a través de correos falsos. Hoy vamos a compartir con ustedes el análisis realizado por el Laboratorio de Análisis e Investigación de ESET Latinoamérica de esta amenaza detectada por ESET NOD32 Antivirus como Win32/VB.NRE que intenta convertir al equipo en parte de una botnet. Observaremos cómo es que este código malicioso infecta el sistema y luego se contacta con el panel de administración.

En primera instancia para que un equipo sea infectado, el usuario tuvo que haber caído víctima del engaño, descargar y ejecutar el troyano. Recuerden que la Ingeniería Social se utiliza para llamar la atención de las víctimas potenciales. Aquellos que no cuenten con buenas prácticas para navegar en Internet ni una solución de seguridad podrían verse expuestos a este tipo de ataques.

Cuando se ejecuta el archivo, el usuario no ve la postal, lo que en realidad sucede es que este archivo se ha agregado al inicio automático del sistema e además se contactará con el Centro de Control (C&C) de la botnet para recibir nuevas órdenes, veamos qué es lo que sucede en cada una de estas dos etapas. A través de un análisis dinámico del troyano se pudo determinar dónde se almacena una copia de si mismo:”C:Windowscsrcs.exe“. Esta información se pudo corroborar utilizando ESET SysInspector, una herramienta de diagnóstico de ESET como se puede observar en la siguiente imagen:

Una vez que se conoce la ubicación del archivo se puede eliminar de manera manual, además es recomendable borrar la entrada del inicio automático. Anteriormente ya habíamos comentado que tan común es esta técnica entre las estrategias de los cibercriminales con el objetivo de ejecutar su código malicioso desde el inicio del sistema.

Por otra parte este troyano se contacta con el panel de control de la botnet enviando información acerca del sistema operativo, usuario, clave y la dirección IP a la cual pertenece el nuevo equipo zombi. Con esta información el botmaster puede identificar de manera unívoca a los equipos que están bajo su control y acceder a sus recursos de manera remota. Otro de los puntos a tener en cuenta acerca de este comportamiento es que la conexión se realiza desde el equipo infectado hacia la dirección URL remota a través del protocolo HTTP en el puerto 80. Con este comportamiento se hace más complejo que un firewall detecte la actividad anómala.

En la captura anterior se observa el tráfico saliente hacia el panel de administración y todos los datos que mencionamos anteriormente. Una vez que se activa el equipo zombi como parte de una botnet Volk en su versión 4.0, el atacante podrá utilizar el sistema para el robo de credenciales de acceso a la banca electrónica, envió de spam u otras actividades maliciosas.El método GET utilizado al enviar los datos permite desacargar otros archivos ejecutables y almacenarlos en los archivos temporales de Windows para su posterior ejecución. Por último podemos observar que el panel de administración de eta botnet se encuentra activo:

Una vez más este tipo de actividades de propagación fueron reportadas en la región como así también la detección de redes de computadoras zombis que atentan contra usuarios de Latinoamérica. Para evitar este tipo de situaciones es necesario contar con una solución antivirus con capacidad de detección proactiva como así también poder identificar correos falsos y nunca abrir los archivos adjuntos sin antes analizarlos.

Pablo Ramos
Especialista en Awareness & Research

Autor , ESET

  • Fernando

    Es muy impresionante el trabajo que realizan anailzando muestras y demas..

    Dicen que les llega miles de nuevos virus a diario como hacen para poder analizar todo ello?
    Sistema automatizado? (Entorno virtualizado)

    Seria fantastico saber como funciona un laboratorio antivirus. Es necesaria una gran infraestructura..

    Saludos mis amigos

    • Hola Fernando,

      El trabajo realizado en los laboratorios antivirus de ESET, tanto en Latinoamérica como en el resto en el mundo, es una combinación de herramientas automatizadas con el trabajo manual de los Analistas de Malware. La infraestructura es importante, ya que debemos gestionar miles de variantes diariamente, y estamos siempre trabajando en optimizar los resultados de respuesta a nuestros usuarios.

      Sebastián

Síguenos