Bondat, la botnet fantasma presente en Latinoamérica desde hace años

A fines de 2014, en el Laboratorio de ESET Latinoamérica recibimos un dispositivo de almacenamiento masivo (USB) porque se sospechaba alguna presencia de malware en él; luego del análisis nos encontramos con un código malicioso al cual hoy en día las soluciones de ESET detectan bajo el nombre de JS/Bondat. Desde ese entonces, esta amenaza siguió presente en nuestras detecciones locales.

La cantidad de códigos maliciosos en el mundo se ha incrementado notablemente en los últimos años y Latinoamérica no es la excepción. Muchas de estas amenazas están relacionadas o involucradas en una botnet y Bondat es un ejemplo de ello.

Causó un importante impacto en la gran mayoría de los países de Latinoamérica, si consideramos que ocho países de la región ocupan el top 10 de los más afectados por esta amenaza. A continuación, podemos observar un gráfico que ratifica lo mencionado, en donde podríamos destacar a Perú, México, Colombia y Ecuador.

detecciones de JS_Bondat-mundial

Hoy en día, JS/Bondat continúa siendo una de las amenazas con más presencia en la región, ya que utiliza dispositivos extraíbles y accesos directos (LNK), un método de propagación ya conocido pero muy efectivo que hemos encontrado también en otras familias de códigos maliciosos como Win32/Dorkbot, Python/Liberpy y demás familias de malware que se han propagado activamente en la región.

bondat-mundial

¿Qué es Bondat?

Es una amenaza desarrollada en JavaScript, orientada al control de equipos informáticos que utilizan sistema operativo Microsoft Windows, a los que convierte en zombis para luego formar parte de una botnet. ¿Recuerdas qué es una botnet? El siguiente video lo explica en muy pocos minutos:

Tras infectar al equipo, crea una carpeta y se copia a sí mismo en el siguiente directorio:

C:\Users\<UserName>\AppData\Roaming\<RandomName>

Para asegurar su persistencia y ejecución en el sistema crea dos archivos LNK en las siguientes carpetas:

  • C:\Users\<UserName>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
  • C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

Luego comienza a recolectar información básica pero sensible del sistema, abusando de consultas WMI (Windows Management Instrumentation). A continuación especificamos cuáles son los datos que busca la amenaza para enviar al panel de control del atacante:

  • Versión del código malicioso
  • Timestamp
  • Nombre del usuario
  • Nombre del equipo
  • ID del producto del Sistema Operativo
  • Idioma del Sistema Operativo
  • Versión del Sistema Operativo

La información y todas las comunicaciones que lleva a cabo la amenaza con el C&C son fuertemente cifradas, para evadir los diferentes niveles de seguridad que se hayan implementado.

Gracias a las consultas WMI la amenaza contiene funciones de anti virtualización y anti análisis, claramente para evitar que se realice una investigación más detallada sobre las acciones que realiza en un equipo infectado.

Una vez terminado el proceso de infección, el código malicioso queda constantemente a la espera de que el usuario conecte algún tipo de dispositivo extraíble para propagarse. En caso de que la amenaza detecte la presencia de una unidad a la cual no infectó, verificará la existencia de archivos con extensiones conocidas, moverá todos los que coincidan con la búsqueda y creará una copia de sí mismo en el directorio oculto “%removabledrive%\.Trashes\”.

Por último, crea archivos de accesos directos para que, cada vez que la víctima intente abrir uno de los archivos LNK, ejecute la amenaza. A continuación, indicaremos la lista completa del tipo de archivos que Bondat buscará para infectar:

  • .exe
  • .doc
  • .docx
  • .pdf
  • .rtf
  • .txt
  • .mp3
  • .m4a
  • .ogg
  • .wav
  • .wma
  • .mp4
  • .avi
  • .webm
  • .flv
  • .mov
  • .wmv
  • .mpeg
  • .mpg
  • .gif
  • .jpg
  • .jpeg
  • .png

Conclusión

Pudimos comprobar que el malware en JavaScript y los ataques en esta plataforma están en constante crecimiento. Casos como Nemucod son un ejemplo claro de esto que venimos advirtiendo a los usuarios; también se distingue el malware en diferentes tipos de lenguajes de scripting como el mencionado Liberpy y VBS/Agent.NDH, que también tienen como objetivo propagarse y tomar el control de equipos informáticos.

Los ciberdelincuentes no se conforman, sino que modifican y actualizan los payloads para hacerlos más robustos y de esta manera lograr un alcance aún mayor, tanto en ataques dirigidos como no dirigidos.

Por tal motivo, es esencial el uso de una solución de seguridad que detecte y bloquee amenazas de este tipo y la precaución al navegar por Internet, hacer clic en enlaces o descargar archivos.

Sigue leyendo: Hazte estas 5 preguntas antes de hacer clic en un enlace

Créditos imagen: ©ThaQeLa/Flickr

Autor , ESET

Síguenos