8.8 2012 – Dorkbot: Cazando Zombis en Latinoamérica
Text to Speech
Pablo Ramos
ESET Latinoamérica
http://www.eset-la.com/
Dorkbot: Cazando Zombis en Latinoamérica
Win32/Dorkbot apareció a inicios del 2011, y en pocos meses la cantidad de detecciones se incrementaron hasta convertirse el código maliciosos con mayor impacto en América Latina. Esta amenaza que utiliza medios de almacenamiento extraíbles y las redes sociales como sus métodos de propagación llegó al primer puesto del ranking de amenazas en solo tres meses. Ngrbot (Nombre adjudicado por su creador, o Win32/Dorkbot, cómo lo reconoce la industria antivirus) es el crimepack más utiliza por los cibercriminales en Latinoamérica y se encuentra ampliamente diseminado por toda la región y se propagó a través de una gran cantidad de medios y canales de distribución.
Una gran cantidad de pequeñas botnets han sido detectadas en Latinoamérica y su función principal se advoca al robo de información, incluyendo credenciales de acceso a las redes sociales, cuentas de correo o de home banking. Mediante la propagación a través de archivos .LNK en dispositivos de almacenamiento extraíble, mensajes personalizados en las redes sociales como Facebook o sitios web infectados, aquellos equipos desprotegidos están siendo convertidos en bots controlados mediante el protocolo IRC.
Presentaremos las principales capacidades y funcionalidades de Win32/Dorkbot y demostraremos su evolución en cada una de sus distintas variantes, desde la propagación mediante el AUTORUN, a su evolución en archivos .LNK incluyendo las técnicas de robo de información. Win32/Dorkbot.B es la variante que más se ha propagado de este gusano. El crimepack completo se filtró en internet y se encuentra disponible para los cibercriminales. A través del seguimiento y análisis de una botnet activa en la región se corroboraron las actividades principales desarrolladas por los cibercriminales.
La investigación resultó en el descubrimiento de una de las botnets más grande de Latinoamérica, cuyo botmaster utilizó una gran cantidad de servidores y sitios web vulnerados para la implementación de ataques de phishing y propagación de sus variantes.
Distintas técnicas de Ingeniería Social fueron utilizadas para propagar las variantes de esta amenaza en sitos como Facebook o través de Windows Live Messenger. Algunas de las temáticas utilizadas incluyeron presidentes, famosos y accidentes a lo largo de todo el continente y el resto del mundo. También cientos de cuentas de correo han sido sustraídas por los cibercriminales.
Finalmente, explicaremos porqué y de qué manera la actividad de Win32/Dorkbot difiere del resto del mundo, incluyendo tendencias que involucran el uso de internet, las redes sociales y la educación de los usuarios. Estas combinaciones son la causa directa de las infecciones masivas detectadas en la región. Las características principales de este gusano, incluyendo el control de la botnet, los comandos y protocolos también serán abarcadas.
source
Gloss