Durante mayo alertamos sobre la existencia de un programa malicioso, detectado por las soluciones de ESET como MSIL/Agent.NBW, desarrollado para automatizar la comunicación entre el C&C de una botnet y el equipo zombi (computadora infectada), empleando como canal la red de microbloggin Twitter.

En esta ocasión, un programa de similares características se encuentra In-the-Wild. Se trata de TWot Bot, y posee como características la posibilidad de robar contraseñas del programa FileZilla, chequear si se está intentando ejecutarlo en máquinas virtuales y automatiza la descarga y ejecución de malware, todo a través de comandos que se establecen empleando el perfil de Tiwitter previamente creado. La siguiente captura pertenece a esta aplicación:

TWot Bot

A través del mismo, una persona malintencionada puede generar fácilmente cuentas de Twitter mediante las cuales luego intentará propagar malware y enviar los comandos necesarios para establecer de forma exitosa la comunicación entre el equipo infectado y el C&C de una botnet.

Por el momento la aplicación permite ejecutar los siguientes comandos:

  • !dl. Descarga y ejecuta un archivo. Su sintaxis es: www.[DOMINIO].com/[MALWARE.exe] !dl
  • !boom. Reproduce un sonido en el sistema
  • !info. Muestra información sobre el sistema operativo y el zombi
  • !die. Termina la comunicación entre el zombi y el C&C
  • !fz. Roba información de autenticación del programa FileZilla
  • !ae. NO permite su ejecución en ambientes controlados

Sin lugar a dudas, las redes sociales constituyen uno de los canales de propagación de malware más explotados y cada vez son más las aplicaciones maliciosas  for dummies que pueden ser empleados por personas sin conocimientos informáticos con solo realizar un par de clics.

Esta amenaza es detectada por ESET NOD32 como MSIL/TwiBot.A, por lo que recomendamos estar atentos a los perfiles desconocidos en Twitter.

Jorge Mieres
Analista de Seguridad