Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

lunes, 18 de marzo de 2013

AlbaBotnet, nuevo crimeware que ataca el ciberespacio latinoamericano


Luego de la reciente aparición de PiceBOT en la escena delictiva de América Latina, AlbaBotnet se suma a la “campaña de expansión” del crimeware regional. Está basado en ataques de pharming desde el servidor (pharming online) buscando materializar ataques de phishing, en éste caso, con un objetivo puntual: robar información de usuarios chilenos de dos importantes entidades bancarias de ese mismo país.
Según los datos que hemos procesado, esta campaña forma parte de una etapa de prueba de la botnet y por lo cual la monetización del crimeware es nula por el momento, aunque también podría tratarse de una versión privada. Aunque también sabemos que el autor de esta amenaza ha comenzado sus pruebas a principios de 2012
La estructura de la botnet no parece tener similitudes con los otros crimeware latinoamericanos, y además del constructor automatizado de malware que se incluye por defecto, posee un paquete que permite automatizar también el envío de correos electrónicos. De esta forma el botmaster puede personalizar las campañas de infección a través de los clásicos mecanismos de Ingeniería Social visual:


El malware es detectado bajo el nombre Trojan.Win32.VBKrypt.pitu, emplea el mismo sistema de cifrado que encontramos en las versiones de PiceBOT y vOlk-Botnet que claramente podemos observar en la siguiente imagen:


Hemos identificado hasta el momento tres servidores que operan bajo las direcciones IP 111.90.159.208, 194.175.173.187 y 94.136.40.103, utilizados como C2 donde los dos últimos servidores han sido vulnerados probablemente por el mismo botmaster. Aquí puede observar en orden cronológico algunos datos sobre las versiones del malware, la sintaxis es timestamp + tamaño de archivo + C2 + comentario:


Somos testigos del creciente incremento de amenazas informáticas producidas en América Latina con el objetivo de atacar exclusivamente a usuarios de la región. Esta situación se encuentra en plena evolución y el desarrollo de malware también ésta cambiando. 
Nosotros seguimos investigando el impacto que está teniendo esta nueva amenaza informática, que por el momento su tasa de infección se concentra en América del Sur y, como dijimos anteriormente, busca atacar la seguridad de los usuarios solamente en Chile.

Ver más