El 29 de noviembre de 2017 comenzó un coordinado trabajo de desmontaje que posibilitó que agencias policiales de todo el mundo pudieran detener e interrumpir la actividad de esta familia de malware responsable de infectar a más de 1,1 millones de sistemas por mes; en el caso de Latinoamérica Perú y México se encuentran dentro del Top 5 de los países con mayor cantidad de detecciones de esta familia de códigos maliciosos.
Los investigadores de ESET y Microsoft compartieron análisis técnicos, información estadística y dominios de servidores de Comando y Control (C&C) para ayudar a interrumpir la actividad maliciosa del grupo. ESET también compartió su conocimiento histórico de Gamarue, obtenido del monitoreo continuo del malware y su impacto en los usuarios en los últimos años.
Gamarue fue creado por delincuentes cibernéticos en septiembre de 2011 y vendido en foros clandestinos de la Dark Web como un kit de delincuencia. El objetivo de la familia Gamarue era robar credenciales y descargar e instalar malware adicional en los sistemas de los usuarios. En general, el malware seucundario que compromete la máquina de la víctima luego de pasar a formar parte de la botnet es Kasidet (también conocido como Neutrino bot), que suele ser utilizado para realizar ataques de denegación de servicio. Además también suelen instalarse Kelihos y Lethic, que generalmente están involucrados en envíos masivos de correos electrónicos basura.
De acuerdo a Microsoft, la infección fue detectada o bloqueada en un promedio de casi 1.1 millón de máquinas por mes en el último semestre. A lo largo del monitoreo de la amenaza, ESET encontró docenas de servidores C&C cada mes. El grueso de la investigación de ESET fue realizado a fines del año pasado, momento en el cual la actividad de Wauchos alcanzó su pico.
Su popularidad ha dado lugar a una serie de botnets Gamarue independientes. De hecho, ESET descubrió que sus muestras se distribuyeron en todo el mundo a través de redes sociales, mensajería instantánea, dispositivos USB, spam y exploitkits.
Los investigadores de ESET y Microsoft recolectaron información utilizando el servicio ESET Threat Intelligence. Desde ESET se desarrolló un programa que se comporta como un bot y de esta manera poder comunicarse con el servidor de comando y control (C&C) de la amenaza, a partir de estas conexiones se pudieron seguir de cerca los comportamientos de las botnets de Gamarue durante el último año y medio. A partir de la información recolectada durante ese tiempo se pudieron identificar los servidores comando y control (C&C) para luego desmontarlos, además de monitorear la forma en que operaba y de esta manera localizar otros dominios utilizados por los ciberdelincuentes como C&C.
Los ciberdelincuentes han utilizado tradicionalmente Gamarue para apuntar a usuarios hogareños para robar credenciales de los sitios web a través de su complemento de captura de formularios. Sin embargo, los investigadores de ESET han visto recientemente que el malware se usa para instalar varios bots de spam en máquinas comprometidas en el llamado esquema de pago por instalación.
Fuente: ESET
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!