El malware de Bitcoin no sólo se limita a Skype y a la Minería de Bitcoin


El malware de Bitcoin no sólo se limita a Skype y a la Minería de Bitcoin – Revelan los Laboratorios de Investigación de Amenazas de Cyberoam
Casi sin saberlo, 350 mil usuarios descargan el software malicioso a través de Skype y Gtalk
(Edison, NJ, 11 de abril de 2013)

Cyberoam, el líder global en equipos de seguridad UTM para redes empresariales, anunció hoy que su Laboratorio de Investigación de Amenazas (CTRL) ha identificado las verdades no declaradas respecto al malware que se dirige a usuarios de Skype a través de la Minería de Bitcoins. La semana pasada se han publicado varios artículos dando seguimiento a la actual campaña del malware que se propaga a través de Skype; al mismo que, se han generado diversas conversaciones entre la comunidad IT acerca de dicho malware para el robo de esta moneda digital a través la implantación de botnets que trabajan en la Minería de Bitcoin. Los resultados de los laboratorios de Investigación de Amenazas de Cyberoam van más allá y dan a conocer el modus-operandi adoptado por los atacantes detrás de este malware; de igual forma proporciona evidencia detallada sobre otros riesgos que no se limitan sólo a la botnet enfocada a Bitcoin Mining. “Los crecientes informes sobre el malware afirmando que la amenaza está dirigida a la construcción de una red de bots para Bitcoin Mining que utiliza los recursos del CPU de los equipos que han sido víctimas, es tan solo la mitad de la historia”, comenta Bhadresh Patel, principal investigador de vulnerabilidades del CTRL de Cyberoam. “Nuestro departamento de investigación de amenazas publicó una investigación detallada en la cual permite al malware estar plenamente activo, dejándolo alcanzar un grado razonable de infección en los sistemas de prueba. Con este enfoque, los analistas del CTRL de Cyberoam han obtenido un análisis profundo del malware y su potencial amenaza, y al mismo tiempo han descubierto otros riesgos que aún no han sido reportados”, añadió.

Detrás de la investigación sobre el malware del Bitcoin Mining llevado a cabo por el CTRL de Cyberoam se han revelado los siguientes hallazgos:

- El malware se propaga a través de Skype usando una URL acortada de Google que tiene un sufijo hábilmente colocado al final de la liga, lo que representa un archivo de imagen que no existe. Por ejemplo un usuario de Skype se le presenta el enlace http://www.goo.gl/SpekJ?image=IMG0540240-JPG, que va acompañado de un mensaje del tipo "dime qué opinas acerca de esta imagen que edité". En este caso, el propósito detrás de la colocación de una referencia a un archivo de imagen en lugar de un archivo “.exe” es sólo para atraer a los usuarios de Skype para hacer clic en el enlace. Esto proporciona una prueba sorprendente de cómo los ciberdelincuentes están analizando la concienciación de los usuarios de Internet y el comportamiento de uso de las aplicaciones para que sean presa de juegos mentales.

- Las discusiones sobre la actividad de este malware se han centrado hasta ahora sólo en su capacidad para propagar mensajes de Skype e iniciar la operación de Bitcoin, sin embargo, el CTRL ha identificado que los riesgos potenciales involucrados. El estudio del CTRL tuvo éxito en la investigación en el modus operandi del atacante al ser capaces de acceder al servidor del atacante. El CTRL descubrió que, además de la Minería de Bitcoin, existen otros riesgos presentes en el servidor. Algunos de estos incluyen:

• La propagación del malware usando "spamming".
• La participación de otro servidor malicioso remoto que sirve de alojamiento en diferentes ubicaciones como Rusia, para mejorar el potencial de la amenaza del malware. El CTRL, al realizar una exploración más profunda en estos servidores remotos, descubrió que de dichos servidores se han realizado de forma reciente actualizaciones de muestras del malware, lo que permitiría disfrutar de una tasa de detección muy baja.
• Así mismo, fue descubierta otra variante conocida como “ppc.exe”, capaz de desencadenar ataques de robo de identidad. El análisis del CTRL reveló que dicho malware está utilizando una base de datos por geolocalización IP de terceros para identificar la ubicación de la víctima, la organización a la cual pertenece, la velocidad de conexión y el tipo de usuario, destinados al robo de identidad.

- Investigaciones adicionales desde el CTRL (después de permitir la completa infección sobre los sistemas de prueba) para estudiar la mentalidad del atacante, reveló que al reiniciar un sistema completamente infectado, la víctima es presentada con un mensaje falso desde el ransomware residente (también conocido como cryptotrojan), buscando un rescate para desinfectar el sistema.

- El CTRL también logró un gran avance al ser capaz de capturar y analizar una Shell PHP en el servidor de alojamiento del malware; una investigación más profunda sobre esta prueba reveló que este Shell permite al atacante controlar las actividades de las amenazas y de las muestras de malware.

- Por otra parte, el CTRL también descubrió que el atacante está utilizando un shell script para actualizar automáticamente los binarios de malware, ahorrando tiempo sustancial para permanecer invertido activamente en el aumento de la capacidad del malware

Visite el blog de Cyberoam para mayor detalle acerca de los hallazgos del CTRL y tener acceso a imágenes exclusivas sobre dicha investigación.

"Los Laboratorios de Investigación de Amenazas de Cyberoam creen en ir más allá de la amenaza obvia para extraer resultados integrales y profundos como los presentados en esta investigación. A raíz de la creciente epidemia de ataques de malware avanzado, el CTRL pretende llevar a cabo investigaciones más exhaustivas sobre el motivo probable y potencial amenaza oculta de este tipo de ataques ", informa Abhilash Sonwane, Sr. Vice President - Product Management de Cyberoam.
Como equipo responsable de investigación de amenazas, el CTRL encuentra imperativo ir más allá en la búsqueda de nuevas amenazas potenciales y se propone aportar una investigación detallada en cuanto a cuan avanzadas están diseñadas tales amenazas y anticiparse en torno al uso de Internet y las aplicaciones de hoy en día.
 


Acerca de los Laboratorios de Investigación de Amenazas Cyberoam (CTRL)
Cyberoam Threat Research Labs (CTRL) identifica las amenazas de seguridad y protege a los clientes contra las diversas vulnerabilidades, tales como los ataques de malware, publicando actualizaciones y presentación de informes de seguridad. Estos informes ayudan a los clientes de Cyberoam a permanecer protegidos con una orientación detallada y consejos para la prevención de amenazas de malware utilizando una configuración adecuada de los parámetros en los equipos de Cyberoam. Durante el último año, el CTRL ha investigado más de 138 vulnerabilidades y liberado firmas de protección adecuadas para extender la protección de seguridad para los clientes.