En el Laboratorio de Investigación de ESET Latinoamérica hemos recibido constantes reportes sobre un código malicioso que está afectando a varios países de África, Europa y Latinoamérica. Las soluciones de ESET detectan a la amenaza como Win32/Bayrob.

Pero, ¿por qué es tan particular este troyano y qué finalidad tiene? ¿Cómo hace para persistir y ocultarse? En este post, te explicaremos qué información podría extraer de un sistema y cómo realiza sus actividades maliciosas durante la infección de un equipo. Así, profundizaremos el análisis inicial de Bayrob en el que te contamos cómo se propagaba a través de un supuesto correo de Amazon.

Bayrob, activo en Latinoamérica

Haciendo un análisis de la actividad de Bayrob durante los últimos meses, notamos que en enero de 2016 hubo un pico de detecciones en Argentina, Chile, Colombia y Ecuador. Una de las campañas de propagación más vistas en la región consta de un correo electrónico notificando al usuario que ha recibido algún tipo de beneficio o vale, con el cual se invitaba a la víctima a descargar un archivo adjunto para obtener el supuesto beneficio.

Como consecuencia de la propagación de este engaño, Bayrob se situó en el top 10 de detecciones de los países antes mencionados, teniendo mucha actividad durante el primer mes de 2016, como se puede observar en el siguiente gráfico (clic para agrandar):

bayrob-detecciones
¿Podrían los equipos infectados por Bayrob ser parte de una botnet?

Bayrob es un troyano utilizado por los atacantes como un backdoor y puede ser controlado remotamente. Tiene la capacidad de enviar información del sistema en que se encuentra y la lista de procesos que actualmente estén corriendo, así como de actualizarse a una nueva versión, descargar y ejecutar archivos.

Por lo tanto, si un equipo se encuentra comprometido por esta amenaza estaría formando parte de una botnet, ya que el código malicioso es capaz de interpretar comandos remotamente.

Análisis detallado de Bayrob

Comenzamos con un análisis estático, en el cual pudimos determinar que el código malicioso es un archivo .exe desarrollado en C++, cuya fecha de compilación puedes ver en la siguiente tabla:

tabla-bayrob

Además, observamos APIs como “IsDebuggerPresent”, utilizada por los atacantes para evitar un posible análisis o estudio del malware:

api-bayrob

Luego, continuamos con un análisis dinámico en un ambiente aislado y controlado para poder comprender la intención de la amenaza en un sistema infectado. Como primera instancia, tal como contamos anteriormente, Bayrob muestra un error falso con el fin de hacer creer al usuario que el archivo está corrupto y, así, no crear sospechas de actividad maliciosa:

mensaje-error-bayrob

Luego realiza copias de sí mismo en las carpetas: “C:\” y ”C:\Windows\” y crea archivos de configuración, como se puede observar a continuación:

archivos-bayrob

Para asegurar su ejecución, Bayrob crea llaves de registro en “HKLM\System\CurrentControlSet\Services”. De esta forma, una vez que se inicie el sistema, el código malicioso se ejecuta como servicio y logra ocultarse. Esta acción se puede ver en la siguiente imagen, en donde el código malicioso realizo la acción antes mencionada:

ejecucion-bayrobejecucion-bayrob-2

Como habíamos comentado al principio, Bayrob tiene la capacidad de descargar archivos; en el sistema en el cual lo analizamos, comenzó a descargar diferentes tipos (.dll, .exe, .js y .zip), como se puede observar en la siguiente imagen:

descarga-archivos-bayrob

El archivo “phantomjs198.exe” es un motor de JavaScript que podría ser utilizado para acciones maliciosas:por ejemplo, el atacante podría desarrollar un script para que cada vez que la víctima ingrese a algún sitio, se ejecute y tome una captura de pantalla para espiar qué clase de sitios se visitan al navegar por Internet. En este caso, el atacante realizó visitas a sitios web con contenido para adultos, que se puede apreciar en la siguiente imagen:

sitios-bayrob

Habíamos observado que la amenaza descargó en el equipo “unzip.exe”, un software utilizado para descomprimir archivos.En esta ocasión, el atacante utilizó esta herramienta para descomprimir el archivo “binaries_burst6y5.zip”. Dentro de la carpeta se podían encontrar varios archivos .exe; dependiendo cuál fuera el sistema infectado, el atacante ejecutaría el correspondiente. Todos los ejecutables son Bitcoin miners maliciosos que ESET detecta bajo la firma Win32/BitCoinMiner.CW.

bitcoinminer-bayrob

A continuación se puede apreciar que además de Bayrob, el atacante ejecutó uno de los Bitcoin miners para comenzar a utilizar los recursos del sistema infectado. Así, podía generar Bitcoins:

bitcoins-bayrob

Conclusión

Al finalizar el análisis de este particular troyano, comprobamos que Bayrob podría ocasionar mucho daño en uno o varios sistemas, ya sea descargando e instalando otras familias de malware, realizando algún tipo de modificación en buscadores para obtener información sensible de compras o algún movimiento de dinero online. La actividad del código malicioso es relativa dependiendo del sistema en que se encuentre; sería importante destacar que en el futuro podría tener nuevas características, debido a que es capaz de actualizarse a nuevas versiones.

Resulta importante concientizar, educar y tener los recaudos necesarios para proteger nuestra información/datos y de esta manera evitar que este tipo de amenazas comprometan nuestros sistemas.

Sigue leyendo: Hazte estas 5 preguntas antes de hacer clic