Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

miércoles, 22 de abril de 2009

Adrenaline botnet: zona de comando. El crimeware ruso marca la tendencia

A los diferentes paquetes crimeware que de manera breve hemos tratado en alguna oportunidad, se le suma Adrenaline.

Otro crimeware de origen Ruso de sólo unos pocos meses de vida y que no pretende ser mejor ni peor que otros de su familia, ni tampoco, casi seguro, le disgusta "trabajar" en conjunto con otros crimeware :-)

Aunque esta última frase parezca una publicidad de venta, en realidad refleja un poco la situación actual de la diseminación de malware y empleo de crimeware. Cosa que pudimos comprobar a través de Scripting attack II.

Y decimos que Adrenaline no es muy diferente a otros porque también permite diseminar código dañino a través de script ofuscados escondiendo exploits, inyección de código dañino en el código fuente de páginas web, empleo de Drive-by-Download, robo de información a través de sniffer, administración y control remoto vía web, etc.

Sin embargo, posee algunas características que lo diferencian de otros, quizás de ello se desprenda su elevado costo también en comparación con sus competidores (aproximadamente USD 3500), como:
  • recolección de certificados digitales,
  • diferentes metodologías de inyección de código viral,
  • hace uso de pharming local para lograr redireccionamientos obligados sin que el usuario lo perciba,
  • implementa keylogger con captura de pantalla,
  • implementa técnicas de evasión para evitar ser detectado por herramientas de seguridad como firewalls y antirootkits,
  • módulos específicos para la limpieza de huellas,
  • cifrado de la información que recolecta.

Entre otras cosas más, posee otra característica llamativa que no es novedosa pero sí un tanto particular: elimina malware de la competencia :-)

Como se aprecia claramente, la tendencia marca que Internet es el máximo exponente en plataformas de ataque, sobre todo a través de aplicaciones crimeware como las que venimos comentando habitualmente en este blog.

Aún así, hay un par de preguntas que dan vueltas en mi cabeza, y que básicamente se traducen en: ¿por qué cada vez hay más paquetes de automatización crimeware? y ¿por qué el elevado costo?

Intentando analizarlo un poquito, quizás las respuestas las tenemos frente a los ojos en la vida cotidiana de quienes nos dedicamos al campo de la seguridad. La respuesta a la primera pregunta, puede tener una perspectiva tendenciosa canalizada en el dinero; es decir, evidentemente, la información posee la catalogación de máximo valor (por mínima que sea y sin importar su clasificación) y teniendo en cuenta eso, los delincuentes informáticos buscan obtener dinero con esa información, transformándose todo el mundo del malware en un gran negocio, altamente redituable y difícil de quebrar.

Por otro lado, todo esto supone un problema asociado que no se puede obviar que pasa por el hecho de que el crimeware sea ofrecido a medida y con soporte técnico 24x7, lo que implica que cada vez más usuarios con mente delictiva se postulen como aspirantes en la búsqueda de obtener el provecho económico que el crimeware, en el concepto más amplio de su palabra, supone como organización delictiva a través de Internet.

En torno a la segunda, quizás la respuesta se encuentre directamente relacionada en que el costo que supone la adquisición de un Kit de este estilo, puede ser recuperado en muy poco tiempo; sobre todo, teniendo presente que las botnets que se administran a través de estos aplicativos, suelen ser alquiladas a otros botmasters, a spammers o a otros personajes de este oscuro submundo que, como lo mencioné en otro post, me recuerda a los relatos de William Gibson en Neuromante.

Información relacionada
Chamaleon botnet. Administración y monitoreo de descargas
YES Exploit System. Otro crimeware made in Rusia
Unique Sploits Pack. Crimeware para automatizar la explotación de vulnerabilidades
Zeus Botnet. Masiva propagación de su troyano. Segunda parte
Barracuda Bot. Botnet activamente explotada
Creación Online de malware polimórfico basado en PoisonIvy


# pistus

Ver más