Backdoor en Torrents ataca a usuarios con el Malware GoBot2
Los fanáticos de programas de televisión y películas están siendo atacados por una campaña maliciosa que distribuye una variante de puerta trasera del malware GoBot2, a través de archivos descargados de varios sitios de torrents de Corea del Sur y China.
El malware denominado GoBotKR por los investigadores de ESET, que fueron quienes descubrieron que se está difundiendo como parte de una campaña iniciada en mayo de 2018, ya han detectado cientos de muestras en las computadoras comprometidas de usuarios de Corea del Sur, China y Taiwán.
GoBotKR se ha desarrollado para atacar específicamente a los fanáticos de Corea del Sur y esto se demuestra mediante las técnicas de evasión específicas de Corea del Sur agregadas a la puerta trasera original de GoBot2.
La puerta trasera GoBotKR basada en GoLang se creó mediante la personalización del malware GoBot2, disponible públicamente desde marzo de 2017. Las funciones agregadas mediante las bibliotecas GoLang se ejecutan en computadoras comprometidas, con la ayuda de binarios legítimos de Windows y “utilidades de terceros como clientes BitTorrent y uTorrent”
Utilizado para sembrar torrents y realizar ataques DDoS
Después de infectar la PC de una víctima, esta puerta trasera permite a los operadores agregar la máquina comprometida a “una red de bots que luego se puede usar para realizar ataques DDoS de varios tipos (por ejemplo, SYN Flood, UDP Flood o Slowloris)”.
Para hacerlo, esta inicia recopilando y extrayendo información del sistema (por ejemplo, información de la versión del sistema operativo y de la red, versiones de la CPU y de la GPU y soluciones antimalware instaladas) en sus servidores de comando y control (C2), lo que hace posible que los atacantes elijan que el bot se puede usar en futuros ataques, entre una enorme lista de otras capacidades, desde la ejecución de comandos y secuencias de comandos hasta la ejecución de servidores proxy/HTTP.
Una vez agregados a la botnet, cada uno de los bots puede ser utilizado por los operadores de la campaña en los ataques DDoS – el propósito principal detrás de la botnet GoBotKR según el equipo de investigación de ESET – además de sembrar torrents como un método simple para propagar la infección a otros objetivos.
A pesar de que este malware de puerta trasera recién descubierto hereda algunas de sus técnicas de análisis y evasión del malware GoBot2, también agrega métodos de evasión específicamente diseñados para objetivos surcoreanos, como verificar la dirección IP del bot mediante las plataformas Naver y Daum en lugar de Amazon Web Services y dnsDynamic.
También intentará detectar si se están ejecutando varios programas antivirus y analíticos de una lista codificada en la computadora comprometida y se terminará automáticamente y eliminará cualquier rastro si alguno de ellos se encuentra en ejecución.
Mimetismo utilizado en el proceso de infección
Los ciberdelincuentes agregan un archivo LNK a las carpetas descargadas, diseñadas para ejecutar el payload del malware que se entrega en las máquinas como un archivo malicioso de PMA, que es un archivo EXE renombrado, diseñado para evitar la aparición de señales de advertencia, camuflado con nombres que imitan a los instaladores de códecs de video.
Para engañar a los objetivos para que abran los archivos LNK, tienen nombres de archivos que imitan a los que las víctimas esperaban que tuvieran los videos, con videos MP4 con nombres idénticos escondidos dentro de otra carpeta.
Mientras que para los usuarios que logran encontrar los archivos MP4 ocultos y reproducirlos, no pasa nada, los que caen en el truco de los ciberdelincuentes y hacen doble clic en los archivos LNK, ejecutarán el malware en segundo plano, con el video oculto que se abre en primer plano para ocultar la actividad maliciosa.
“Aumentar aún más la posibilidad de que los usuarios se caigan en la trampa es el hecho de que la extensión del archivo LNK normalmente no se muestra cuando se ve en el Explorador de Windows”, agrega el equipo de investigación de ESET.
El archivo ejecutable de PMA utiliza varios nombres dependiendo del archivo torrent en el que está incrustado, con starcodec.pma, WedCodec.pma y Codec.pma cuando forma parte de un programa de televisión o movie torrent, y leak.dll cuando se planta dentro de un juego pirateado de torrent.
puedes ver una lista completa de indicadores de compromiso (IOC) está disponible al final del informe GoBotKR de ESET, incluidos los dominios de los servidores C2 utilizados por los atacantes detrás de esta campaña, hashes de muestra de malware para varias versiones de la puerta trasera y una tabla de técnicas MITER ATT&CK utilizadas en todo la campaña.