Luego de la campaña de infección a través de la botnet SAPZ, hemos encontrado una nueva campaña. Pero en este caso, gestionada por vOlk Botnet, un crimeware de origen mexicano que hemos descubierto hace ya un tiempo y del cual hemos hablado en otras oportunidades.
Luego de la campaña de infección a través de la botnet SAPZ, hemos encontrado una nueva campaña. Pero en este caso, gestionada por vOlk Botnet, un crimeware de origen mexicano que hemos descubierto hace ya un tiempo y del cual hemos hablado en otras oportunidades.
Cómo es habitual en América Latina, la primera etapa de la campaña radica en el envío masivo de un correo electrónico con un fuerte contenido de ingeniería social mediante el cual se intenta aumentar la credibilidad del mensaje y así ganar la confianza del usuario. En este caso, el correo se ve de la siguiente manera:
Cuándo el usuario hace clic sobre el botón “Descargar Formulario”, lejos de la falsa promesa, se intenta descargar un código malicioso catalogado por Kaspersky Lab como Trojan.Win32.VBKrypt.mwlf.
Una vez infectado el sistema, a través del malware el delincuente informático intentará robar información de usuarios particularmente basados en Perú que hagan uso de los servicios de banca en línea ofrecidos por importantes entidades bancarias de ese país, además de descargar e instalar de forma automatizada - y completamente transparente - una actualización del código malicioso. Esta información luego es utilizada para la venta en el mercado negro.
Desde el punto de vista técnico, presenta algunas peculiaridades básicas. En primera instancia, algunas cadenas de caracteres del malware se encuentran cifrados empleando un sencillo algoritmo de sustitución simple. Visualizándose por ejemplo, lo siguiente:
687474703A2F2F61706573746F736F666F72657665722E636F6D2F70726976382F
Si a estos datos le damos el tratamiento de un criptograma, obtenemos la URL del C2 (Comando y Control) de la botnet, en este caso: http://a[ELIMINADO]r.com/priv8/
Con el mismo método de cifrado se oculta la clave maliciosa del registro y otra información relacionada a la manipulación de archivos.
Otra cadena de caracteres interesante es: @*\A\\vboxsrv\Carpeta_Compartida\vOlk-Botnet\vOlk-Botnet\vOlk-Botnet\vOlk-Botnet\Cliente 5.0\MediaPlayer.vbp, donde "MediaPlayer.vbp" es el nombre del proyecto que luego se materializa en el nombre interno del malware para simular ser el Reproductor Media Player de Microsoft Windows; y "vboxsrv\Carpeta_Compartida" que es en realidad la carpeta que utiliza el delincuente para compartir archivos entre el equipo físico y una máquina virtual creada con VirtualBox. Sí claro! Los delincuentes informáticos también “aseguran su entorno de trabajo”.
Cabe destacar que además de intentar robar información bancaria, esta botnet mexicana también intenta recolectar información de autenticación de servicios FTP y MSN; y desde el punto de vista geográfico afecta su propagación está focalizada solamente en Perú:
Como hemos mencionado en anteriores post, Perú se ha transformado en uno de los países más importantes en materia de delitos informáticos relacionados con fraudes bancarios, y no sólo a través de crimeware desarrollado localmente (como es el caso de SAPZ) sino que también como blanco permanente de ataque.
Para conocer un poco más sobre los métodos de protección, los invito a visualizar una interesante infografía mediante la cual contamos cómo proteger los datos financieros.
