Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

jueves, 30 de mayo de 2013

Jumcar. Desde Perú y con foco en América Latina [Parte 1/3]


Jumcar es una familia de códigos maliciosos desarrollado en América Latina que he estado investigando en los últimos meses. El siguiente texto es la primera parte de esa investigación.

Jumcar” es el nombre que hemos asignado a una familia de códigos maliciosos desarrollados en América Latina, específicamente en Perú, que está desplegando sus maniobras de ataque, según nuestra investigación, desde Marzo de 2012.

Luego de cinco meses de análisis podemos detallar ciertas características puntuales de Jumcar que iremos comunicando conforme avancen los días, pero fundamentalmente su principal objetivo se resume en el robo de información financiera de usuarios latinoamericanos que hacen uso de los servicios de home-banking de importantes entidades bancarias.  De las cuales, el 89% se canalizan en Perú a través de seis estrategias de Phishing basadas en la clonación fraudulenta de los sitios web bancarios.

Algunas variantes de la familia Jumcar también incorporan en la logística de la estrategia dos entidades bancarias de Chile y una de Costa Rica.

Relación porcentual de los ataques de Phishing por países, generado por Jumcar

Sabemos que en América Latina la cultura ciber-delictiva se expande con mucha fuerza. Ejemplo de ello son algunas de las redes de bots gestionadas a través de crimeware desarrollado en la región, que además cuentan con la posibilidad de generar malware personalizado. Tales son los casos de las botnets que hemos descubierto a lo largo de los últimos dos años y alertado al respecto oportunamente como vOlk-Botnet, Chimba-Botnet, UELP, AlbaBotnet y PiceBOT.

Sin embargo, esta familia de malware posee características y componentes completamente diferentes y muy particulares en comparación con las anteriormente mencionadas. Solo comparten el mismo objetivo: robar información financiera y, en similitud, la estrategia de propagación inicial: correo electrónico asociado con un fuerte componente de Ingeniería Social visual basado en falsos mensajes.

Desde una perspectiva más técnica, absolutamente todas las variantes de ésta familia de malware están desarrolladas en .NET, mientras que el patrón habitual en torno al malware desarrollado en América Latina (excluyendo Brasil) es el desarrollo de proyectos maliciosos en VisualBasic.

En el mismo orden y contrariamente a los patrones comunes del malware latinoamericano que ofuscan parte del código a través de simples conversiones en hexadecimal, todas las variantes de Jumcar utilizan algoritmos criptográficos simétricos y asimétricos para ocultar las funcionalidades especificadas en el código fuente, a través de las siguientes clases de .NET: 

Las siguientes imágenes muestran la diferencia en torno a las maniobras de ofuscación destacadas en el malware controlado a través de las más populares botnets de la región contra la utilizada por Jumcar:

Cifrado en Hexadecimal de los parámetros de configuración del malware propagado a través de S.A.P.Z., vOlk-Botnet, PiceBOT y AlbaBotnet

Cifrado RSA de los parámetros de configuración de la familia de códigos maliciosos “Jumcar”

Los patrones que diferencian a ésta familia de malware desarrollada en Perú son:

  •          Las campañas de propagación/infección siempre son por correo electrónico.
  •          La estrategia de ingeniería social se basa en la imagen de Facebook tanto en el mensaje del correo como en el nombre del archivo que se descarga (Mensaje-facebook.exe). También en correos supuestamente emitidos por entidades bancarias del Perú.
  •          El tamaño de las variantes no supera los 44kB.
  •          La iconografía también se refiere a Facebook en el 80% de los casos, el otro 20% implica íconos que hacen alusión a la compañía de telefonía móvil Claro y otro porcentaje al ícono nativo de los lenguajes de programación .NET y VB. Es decir, 8 de cada 10 muestras emplea como ícono la imagen de Facebook.

Íconos utilizados en las diferentes variantes de Jumcar

  •          Una vez infectado el sistema, el malware se auto-renombra empleando nombres relacionados a Microsoft  Windows (Windows Defender.exe).
  •          Los parámetros dinámicos del malware son cifrados con algoritmos AES, TripleDES y RSA.
  •          Las primeras variantes generan clave en el registro para automatizar el arranque, las más recientes no, solo se limitan a un “ataque fantasma” a través de Pharming.
  •          El lenguaje de programación empleado para crear Jumcar es .NET sin empaquetamiento.
  •          Crea una carpeta y archivo específico en MS Excel y MS Word.
  •          Todos los sitios web utilizados para las campañas están en peligro por alguna vulnerabilidad. En ellos se aloja el archivo con los datos del pharming, un MassMailer y una puerta trasera (Backdoor).
  •         El blanco de ataque principal se focaliza en usuarios de entidades bancarias de Perú (seis en total). Sin embargo, desde el mes de Marzo de 2013 el atacante agregó una entidad bancaria de Costa Rica y dos de Chile.

Las campañas de propagación son compatibles con las clásicas estrategias de Ingeniería Social visual que se basan en el envío de correos electrónicos fraudulentos, instancia en la cual se dispara hacia dos vetas de ataque:


  1. Un mensaje supuestamente emitido por Facebook con el asunto “Mensaje de Facebook”, acompañado con imágenes del logo de la red social, que direccionan el tráfico hacia un archivo llamado “Mensaje_Facebook_Privado.php” (o similar), que posee las instrucciones necesarias para la descarga de una variante de Jumcar.
  2. Un mensaje supuestamente emitido por una importante entidad bancaria de Perú que direcciona el tráfico del usuario hacia la clonación del sitio web de la entidad bancaria en cuestión. Esto es el clásico ataque de phishing.

Mensaje malicioso emitido por correo electrónico. Es una de las estrategias de propagación de Jumcar

Todas las variantes de Jumcar son alojados en sitios web previamente vulnerados (es decir, el atacante no registra nombres de dominio como parte de la estrategia de propagación).

En ellos también se implantan los PhishingPack  utilizados para robar la información de los usuarios desprevenidos, un archivo en texto plano que aloja la configuración para el archivo hosts de los equipos víctimas, el MassMailer a través del cual se masifica el envío de los correos engañosos y un backdoor que le permite al atacante acceder y alojar las nuevas variantes del malware.

El impacto que Jumcar ha tenido en los últimos meses es alto y específico. En el siguiente gráfico se percibe claramente, en color rojo, que los mayores niveles de infección se encuentran focalizados con mayor éxito de penetración en Perú y Chile:

Perú y Chile son los países con la mayor tasa de infección a través de Jumcar**

Hemos analizado alrededor de 50 muestras pertenecientes a la familia de malware Jumcar que nos permitieron recolectar un importante volumen de datos de interés que iremos compartiendo en los próximos días.

Las diferentes variantes son detectadas por Kaspersky Lab como “Trojan.MSIL.Jumcar” y “Trojan.Win32.Jumcar”.


** Fuente: Kaspersky Security Network - Kaspersky Lab

Originalmente publicado en Español e Inglés en:

Ver más

lunes, 18 de marzo de 2013

AlbaBotnet, nuevo crimeware que ataca el ciberespacio latinoamericano


Luego de la reciente aparición de PiceBOT en la escena delictiva de América Latina, AlbaBotnet se suma a la “campaña de expansión” del crimeware regional. Está basado en ataques de pharming desde el servidor (pharming online) buscando materializar ataques de phishing, en éste caso, con un objetivo puntual: robar información de usuarios chilenos de dos importantes entidades bancarias de ese mismo país.
Según los datos que hemos procesado, esta campaña forma parte de una etapa de prueba de la botnet y por lo cual la monetización del crimeware es nula por el momento, aunque también podría tratarse de una versión privada. Aunque también sabemos que el autor de esta amenaza ha comenzado sus pruebas a principios de 2012
La estructura de la botnet no parece tener similitudes con los otros crimeware latinoamericanos, y además del constructor automatizado de malware que se incluye por defecto, posee un paquete que permite automatizar también el envío de correos electrónicos. De esta forma el botmaster puede personalizar las campañas de infección a través de los clásicos mecanismos de Ingeniería Social visual:


El malware es detectado bajo el nombre Trojan.Win32.VBKrypt.pitu, emplea el mismo sistema de cifrado que encontramos en las versiones de PiceBOT y vOlk-Botnet que claramente podemos observar en la siguiente imagen:


Hemos identificado hasta el momento tres servidores que operan bajo las direcciones IP 111.90.159.208, 194.175.173.187 y 94.136.40.103, utilizados como C2 donde los dos últimos servidores han sido vulnerados probablemente por el mismo botmaster. Aquí puede observar en orden cronológico algunos datos sobre las versiones del malware, la sintaxis es timestamp + tamaño de archivo + C2 + comentario:


Somos testigos del creciente incremento de amenazas informáticas producidas en América Latina con el objetivo de atacar exclusivamente a usuarios de la región. Esta situación se encuentra en plena evolución y el desarrollo de malware también ésta cambiando. 
Nosotros seguimos investigando el impacto que está teniendo esta nueva amenaza informática, que por el momento su tasa de infección se concentra en América del Sur y, como dijimos anteriormente, busca atacar la seguridad de los usuarios solamente en Chile.

Ver más

sábado, 2 de febrero de 2013

PiceBOT. Nuevo crimeware azota a usuarios bancarios de América Latina

La creación de crimeware en América Latina, específicamente desarrollado desde México o Perú, ya no es una novedad. Sin embargo, esto no significa que las maniobras delictivas hayan disminuido sino todo lo contrario; generan nuevas vetas con intenciones maliciosas para muchos aspirantes a delincuentes.

Es así que cada tanto algún programador malintencionado intenta crear su estructura de negocios delictivos a través del lanzamiento de un nuevo crimeware. El siguiente texto habla sobre uno de ellos. Un nuevo crimeware llamado PiceBOT que se ha liberado para la comunidad delictiva de América Latina.

El texto original fue escrito bajo investigaciones, que aún continúan, realizadas para Kaspersky Lab. Cualquier pregunta, comentario y/o sugerencia siempre es bienvenida.


Luego de la masificación de las populares botnets latinoamericanas vOlk (México) y S.A.P.Z (Perú), se suma al escenario underground de ésta región PiceBOT, cuyo costo en el mercado clandestino ronda los $ 140.

Al igual que otros crimeware de éste estilo, su objetivo principal es la distribución de malware específico para el robo de información financiera a través ataques de pharming local (modificación arbitraria del archivo host). A pesar de su reciente aparición (menos de un mes) ya ha sido adoptada por los ciberdelincuentes de LatAm para atentar contra usuario bancarios de importantes entidades bancarias. Hasta el momento hemos registrado ataques de phishing generados y administrados a través de ésta botnet para Chile, Perú, Panamá, Costa Rica y Argentina. La siguiente imagen, obtenida desde un foro underground, muestra algunos ejemplos:



Desde el punto de vista técnico comparte muchas similitudes con los códigos maliciosos propagados a través de vOlk y S.A.P.Z, que iremos compartiendo en los próximos días. Sin embargo, aún no está claro desde qué país de Latinoamérica es, pero algunos indicios indican que podría tratarse de un crimeware de origen guatemalteco, mexicano o peruano. Otra interesante característica que se distingue respecto a los otros crimeware de LatAm es su proceso simple de autenticación que solo necesita contar con un solo factor: la contraseña de acceso al panel de administración.

Además, el ciclo de propagación descarga en primera instancia un Dropper que se encargará de establecer la primera comunicación clandestina con el C2 (panel de Comando y Control) enviando a la botnet parámetros de interés para los delincuentes informáticos. Luego descargará otra pieza de malware desde la URL configurada en “url_des.txt” y modificará vía web la información contenida en el archivo hosts a través de los parámetros establecidos desde el “toma.php”.

Hasta el momento hemos detectado al menos un par de docenas de variantes del malware gestionado a través de PiceBOT que son detectadas por Kaspersky Lab de forma genérica como Trojan-Dropper.Win32.Injector y su distribución geográfica se concentra, por el momento, en los países anteriormente mencionados.

Claro está que Latinoamérica se ha transformado en un mercado muy competitivo y muy preciado para los delincuentes informáticos de la región y fuera de ella también, debido, en parte, a la falta de madurez en materia penal.

En el particular caso de PiceBOT, en su poco tiempo de vida ha alcanzado una tasa de éxito importante entre la comunidad delictiva “regionalista” que lo adoptan por encima del crimeware desarrollado en Europa del Este. Tal vez los tres puntos más importantes que consideran los delincuentes informáticos que prefieren el uso de crimeware local sean: en primera instancia, el bajo costo comparado con los desarrollos Europeos que superan los 1000 dólares estadounidenses en la mayor parte de los casos. En segundo lugar la facilidad de uso ya que solo se limitan al phishing como estrategia de ataque final y en tercero el Retorno de Inversión (ROI) casi inmediato que obtienen ya que a pesar del empleo de técnicas triviales que se potencian con maniobras de Ingeniería Social visual la tasa de infección a través de éstos códigos maliciosos es muy alta, fundamentalmente, por la falta de conciencia de los usuarios.

La versión en inglés puedes encontrarla en http://www.securelist.com/en/blog/208194103/New_crimeware_attacks_LatAm_bank_users

Ver más

lunes, 15 de octubre de 2012

BoteAR: una… ¿botnet social? ¿De qué estamos hablando?

En seguridad de la información, hablar de botnet es igual a hablar de acciones maliciosas que se materializan a través de éste recurso delictivo, y que en esencia siempre supone una actitud hostil de parte de quien las administra. Por favor, que mis colegas corrijan o desmientan esto si es que me equivoco, aunque creo que conceptualmente hablando coincidirán conmigo. 

BoteAR (desarrollada en Argentina) que asume un concepto de “social”, supone precisamente lo dicho anteriormente, a pesar que aún no parece materializarse del todo. Intenta ofrecer una botnet convencional pero a modo de “servicio” (crimeware-as-a-service) y administrable vía web. Además, su autor parece adoptar (quizás sin saberlo) el modelo de negocio de los sistemas de afiliados de Europa del Este que propagan malware (infecta y recibe rédito por ello). Hasta aquí nada raro ya que lamentablemente todos los días somos testigos de estas cosas. Pero lo llamativo, es que se escuda bajo el manto de la seguridad en un intento de “fraternizar” con la comunidad.


“Botnet Security: Tome el control de máquinas remotas y controle las acciones del usuario”. Este es el slogan de la aplicación, pero vamos! Hay algo que no entiendo. ¿Es una aplicación de seguridad que te permite mitigar ataques de botnets? Claro que no! Según su autor, sirve para robar información de los usuarios víctimas a través de un troyano. En la siguiente imagen, correspondiente al sitio web del recurso malicioso, se puede leer (en español) sus funcionalidades:



Vamos a poner en medio punto el “modo sarcasmo” para traducir cada cuadro y, en función de ello, afirmar por qué sus acciones son maliciosas y penalmente repudiables: 

1. "Tome el control de máquinas remotas y controle las acciones del usuario": acceder a un sistema sin la debida autorización del responsable o dueño del equipo constituye una acción ilegítima y ofensiva. La conocemos como intrusión no autorizada y en la mayoría de los países del mundo que disponen de una ley de delitos informáticos tipifican estas acciones como punible, sin importar el medio tecnológico mediante el cual se ejecute el ataque. 

2. "El servicio de BoteAR es gratuito y el uso, como así también las responsabilidades del mismo van por cuenta de los usuarios": quiero detenerme un poco más en éste punto porque seguramente muchos van a reflotar el debate de las responsabilidades que impactan sobre los desarrolladores de éste tipo de aplicaciones maliciosas argumentando eso de que “un cuchillo puede ser usado para matar o para cortar pan”… Vamos! No es un acto moral! La moral forma parte del derecho anglosajón y crear artimañas para ser utilizadas de forma maliciosa no es nada moral, y aunque una persona no está obligada a seguir normas morales, sí está obligada a seguir normas penales. El autor posee un “corazón malicioso” que claramente escapa de las normas de conducta que desde el punto de vista legal intentan regular la conducta humana. Y digo bien, conducta humana que no debemos confundir con las acciones de un programa informático. 

3. "…permitirá controlar todas las acciones remotas realizadas en su propia Botnet, pero para lograr establecer una conexión con los zombis usted deberá primero instalar el agente en JavaScript ( Troyano ) en el sitio web deseado…": Por definición, un malware es un programa malicioso, hoy ampliamente usado para robar información bancaria, y un troyano es un malware; por ende, un programa dañino. 

4. "Control remoto de computadoras, Bypass de protecciones remotas, Robo de credenciales, Ataques SQLi, XSS y DoS": Nuevamente, diferentes tipos de ataques que son susceptibles a penas, por lo menos en Argentina de donde es originario el autor. Por ejemplo, robo de credenciales podría encuadrarse en Robo de identidad. 

Si bien por el momento ésta idea no posee difusión ni adeptos, probablemente los consiga en poco tiempo. Pero el autor no duda en “blanquearse” ya que sus datos son públicos. Sin embargo sí intenta parecer “Poncio Pilatos” desligándose de cualquier responsabilidad por el “mal uso” de la “herramienta”. La pregunta de rigor en función de esto es: ¿Qué “buen uso” tiene una botnet. Pero aun así, estimo que quizás aún no tomó conciencia (el autor) del real impacto legal que estas acciones pueden acarrear, así que mejor prevenir, o mejor dicho… advertir, antes de que realmente le roben las credenciales de acceso a la banca online a algún usuario argentino o de otro país en donde exista pena por esta acción, o que un importante sitio corporativo se vea afectado por un ataque de DDoS. 

La comunicación entre los equipos infectados y el C2 de la botnet (comando y control) se realiza a través de un troyano, del tipo backdoor, escrito en JavaScript y detectado por Kaspersky Lab como Backdoor.JS.Agent.c.


La siguiente imagen corresponde a una parte del código de éste agente malicioso con un texto bien claro que no necesita demasiada explicación: son las funciones que permiten interactuar para la materialización de ataques de phishing. Pero recordemos que además de los ataques de phishing está diseñada para, entre otras cosas, controlar remotamente el equipo a través del navegador y ejecutar exploits, incluyendo módulos para exploits 0-Day.


Compartiendo las palabras de un amigo, en verdad, detrás de este tipo de esfuerzo un factor de relevante importancia es la motivación real de los creadores de programas maliciosos porque en definitiva y mucho más allá de las acciones del malware, sabemos que en muchos casos la forma de llegar a las personas, ya sea para vender o para robar, es intentando crear un enfoque menos delictivo y más social. 

** Artículo escrito originalmente para Kaspersky Lab y publicado (en inglés) en:

Ver más

jueves, 13 de septiembre de 2012

El despertar del crimeware en América Latina

Según un estudio realizado por LACNIC (Latin America and Caribbean Network Information Centre) $93,000 millones de dólares se perdieron en América Latina como consecuencia del cibercrimen regional. La cifra no es caprichosa sino que marca en su justa medida la proyección delictiva en favor de los delincuentes informáticos que cada vez con mayor fuerza atentan contra el bolsillo de los usuarios.


Esta cifra se suma a las perdidas millonarias que también sufren otros continentes en mano de la delincuencia digital que emplea crimeware como principal canal de ataque, poniendo sobre la mesa la realidad de un problema cada vez más preocupante a nivel global.

Unificando conceptos
El término crimeware se refiere a cualquier aplicación, habitualmente web, que facilita el robo de información financiera empleando Internet como principal vector para la gestión de equipos infectados. Si bien la gama de aplicaciones del tipo crimeware que existen en la actualidad no es muy amplia, existe una clasificación de la cual los más relevantes son:

Exploit Pack: Conjunto de exploits – código que intenta aprovechar una debilidad específica en un sistema operativo o aplicación implementada sobre éste – preconfigurados en un sólo paquete que se gestiona a través del protocolo HTTP, y que permite procesar información de cada uno de los equipos infectados (inteligencia), almacenando datos estratégicos que el atacante puede emplear para personalizar campañas de infección. Se comercializa en el mercado negro y ejemplos relevantes son BlackHole y Phoenix.

Malware Kit: Aplicación que permite automatizar el desarrollo de malware personalizado y controlar de forma total y remota cada uno de los equipos infectados. A diferencia de los Exploit Pack, los Malware Kit se componen de dos partes; por un lado un programa interno que facilita el desarrollo de un malware y por el otro la aplicación Web que permite al atacante gestionar una red de computadoras infectadas (botnet) a través del protocolo HTTP. Ejemplos ampliamente conocidos son ZeuS y SpyEye.
Crimeware de exportación

Si bien las estrategias de ataque ejecutadas a través de Malware Kit se reflejan, fundamentalmente, contra usuarios de Europa y Asia, desde hace algunos años han sido configurados para atacar a usuarios de entidades bancarias de América Latina.

La “mafia digital” que se esconde detrás de los procesos fraudulentos del cibercrimen ha ampliado la cobertura de ataque agregando en su cartera de oportunidad a América Latina debido, fundamentalmente, a las siguientes dos perspectivas: alto crecimiento económico en muchos países latinoamericanos y falta de legislación especifica en materia de seguridad informática.

Bajo este panorama, delincuentes informáticos de otros continentes han comenzado a atacar a través de malware a usuarios de América Latina, particularmente, desde principios del año 2011.

A mediados de 2011, Kaspersky Lab a través de su Equipo Global de Análisis e Investigación (GReAT), descubrió una variante de SpyEye (de origen ruso) con foco en América Latina. El país más afectado fue Argentina con más de 12,600 equipos infectados, seguidos por Chile y Perú con más de 4,300 y 1,300 respectivamente.

Panel estadístico de SpyEye, mediante el cual se refleja algunos de los países afectados por esta campaña de ataque.

Y durante este mismo año 2012, un ataque dirigido únicamente a usuarios de entidades bancarias de Costa Rica fue objetivo de SpyEye.

Consideremos que SpyEye, como otros Malware Kit de su estilo (por ejemplo ZeuS), permiten personalizar los blancos de ataque (entidades bancarias) a través de un archivo de texto plano llamado WebInject que interactúa maliciosamente con otras piezas de la amenaza, generando un componente de ataque realmente complejo para los usuarios que hacen uso de la banca en línea.

A través de esta modalidad de ataque, los delincuentes informáticos no sólo poseen control total sobre cada una de las computadoras infectadas (hábito que busca generar redes de computadoras infectadas que reciben el nombre de botnet) sino que también permite interceptar en tiempo real una transacción bancaria realizada a través del equipo víctima. Todo esto en cuestión de segundos y sin que el usuario se percate de ello.

Porción de código de ZeuS en la cual puede visualizarse la maniobra de ataque que permite obtener información relacionada a los transacciones bancarias en tiempo real.


Asimismo, recientemente el equipo de investigación de Kasperky detectó otra importante maniobra de ataque dirigida a usuarios de banca en línea a través de un malware generado por Citadel, un Malware Kit basado en el código fuente de ZeuS y cuya reciente versión es detectada por Kaspersky Lab como “Dorifel”.

Entre la configuración de esta nueva amenaza, se encuentran importantes entidades bancarias de América Latina, basadas fundamentalmente en Brasil y Perú.

Porción de código malicioso Dorifel, en el cual es posible visualizar la configuración como blanco de ataque, las direcciones web de dos entidades bancarias de América Latina.


Crimeware hecho en América Latina
En la actualidad, América Latina ha dejado de ser considerada una región sin importancia en materia de crimen cibernético y se ha transformado en una altamente potable para la comisión de todo tipo de delitos informáticos, pero con mayor impacto y relevancia, aquellos que están enfocados en el robo de información bancaria, dando lugar a un campo hostil para los usuarios que hacen uso de los recursos que ofrece Internet.

Desde hace varios años, los delincuentes informáticos más activos de América Latina han puesto en práctica, con un nivel de éxito alto, el modelo delictivo que mueve el engranaje del cibercrimen procedente de Europa del Este, desarrollando programas maliciosos y recursos que ayudan a automatizar los procesos de infección y control de equipos víctimas.

Países como Perú y México han sido los primeros en implementar recursos delictivos del tipo crimeware desarrollados para automatizar la tarea de recolección de información sensible de los usuarios bancarizados de toda América Latina. Sumándose Brasil, durante el 2011, con crimeware de similares características que no sólo son concebidas para controlar equipos infectados sino que también están pensadas para facilitar a los delincuentes digitales el “proceso de búsqueda y filtrado” de toda la información robada.

Considerando que particularmente Brasil es el mayor productor de programas maliciosos para el robo de información financiera, queda claro que el desarrollo de crimeware en la región tampoco es un capricho del cibercrimen regional sino que más bien una necesidad que facilita, a los delincuentes informáticos de la región, “la continuidad de negocio fraudulento”.

A pesar del desarrollo de diferentes crimeware sin demasiada demanda en el ambiente ciberdelictivo, son básicamente dos las amenazas regionales con mayor relevancia que aún en la actualidad operan con una tasa de éxito muy alta: vOlk Botnet y SAPZ.

En el caso de vOlk Botnet, se trata de un crimeware desarrollado durante el 2009 y de origen mexicano, mediante el cual el atacante puede controlar cualquiera de los equipos infectados que formen parte de su lista. Y si bien el malware que se propaga a través de esta aplicación maliciosa se basa en el robo de información bancaria, no es el único tipo de datos que forma parte de su estrategia. En la siguiente imagen se puede visualizar la captura de información (nombre de usuario y contraseña) relacionada a direcciones de correo electrónico utilizadas a través de MSN.

Panel de vOlk mediante el cual se administra información robada.

vOlk Botnet es uno de los primeros crimeware nacidos en América Latina que actualmente cuenta con una demanda alta dentro de la comunidad delictiva de la región. La última versión activa es la 5.0.2 que se comercializa a un costo que ronda los 400 dólares. Asimismo, el “pariente ciberdelictivo” que cuenta con una muy similar tasa de demanda dentro de la comunidad maliciosa es SAPZ, de origen peruano y también liberado durante el año 2009. El nombre SAPZ es en realidad el acrónimo de “Sistema de Administración de Pcs Zombis”.

Panel de gestión de SAPZ en el que se aprecia la configuración de una ataque de direccionamiento forzado del tráfico web hacia una página maliciosa.


Podemos, en consecuencia, afirmar que tanto México como Perú, constituyen la cuna que vio nacer a los primeros crimeware de la región, pero que sin lugar a dudas no fueron los únicos. A principios del año 2011, también se descubrieron otros tres crimeware, de origen peruano, mexicano y otro originado en Brasil.

En el caso de México, se trata en realidad de una versión modificada de la versión 4.0 de vOlk, denominada “Chimba”. En el caso de Perú, se reportó el descubrimiento de “UELP@” y desde Brasil, uno de los primeros crimeware originado en ese país: “Faillure”.

De origen peruano, UELP@” roba información sensible de los usuarios y al igual que los casos anteriormente mencionados, permite al atacante tomar el control total de la computadora.

Faillure constituye uno de los primeros crimeware “made in Brasil”.


Ataques complejos vs ataques triviales
Si bien los ataques originados a través de crimeware desarrollado en Europa del Este es mucho más complejo desde la perspectiva técnica (por ejemplo, permiten interceptar transferencias bancarias en tiempo real), las maniobras empleadas por el crimeware regional se limita, como complemento de ataque activo, a la manipulación arbitraria del archivo llamado “host”. Este tipo de ataques es conocido como pharming local.

El método de Pharming local modifica el archivo “host” que se encuentra en todos los sistemas operativos para redirigir a la víctima a un sitio web fraudulento que es un clon del sitio web de la entidad bancaria habitualmente empleado por las potenciales víctimas.

Configuración de ataque de Pharming Local desde el panel de administración de vOlk Botnet.


En conclusión, sabemos que las maniobras delictivas que movilizan el engranaje fraudulento del cibercrimen ya se han implantado en América Latina. Lo cual provocará que paulatinamente vayan apareciendo nuevos crimeware que intentarán alimentar la demanda de programas maliciosos con especial énfasis en la región.

Lamentablemente el sólo hecho de tener “presencia en Internet” nos convierte en potenciales víctimas de la delincuencia digital ¿Cómo podemos protegernos? A pesar de que la pregunta es bastante trivial, guarda un manto de complejidad, y la respuesta puede ser tan engorrosa como la versión utópica de una Internet libre de amenazas. Por lo que, en función del amplio volumen y complejidad en torno al desarrollo de malware es de suma importancia la implementación de una adecuada solución de seguridad antivirus que permita convivir en la selva de Internet de forma más tranquila.








Ver más