myLoader C&C Oficla Botnet en BKCNET "SIA" IZZI con la mayor tasa de infección en Brasil
myLoader es una aplicación web que permite a los delincuentes recolectar información estadística relacionada a diferentes factores y características sobre cada una de las computadoras infectadas. Este crimeware es comercializado en el mercado underground a un costo promedio de USD 700.
La botnet Oficla comenzó con sus actividades delictivas a principios de 2010 y precisamente el binario ejecutable, detectado por los motores antivirus como Oficla o Sasfis, es generado a través de un constructor que incorpora myLoader.
A principios de 2010, MalwareIntelligence alertó sobre las actividades de una botnet Oficla con más de 250.000 computadoras reclutadas, que luego de varios días más supero la cifra de 300.000 zombis. Un White paper que explica el modo de comercialización del crimeware y operación de la botnet se encuentra disponible en la sección documentos.
La región latinoamericana cuenta con un importante desarrollo de malware, destacándose, sin lugar a dudas, Brasil con la generación de códigos maliciosos diseñados para robar datos de índole financiero a través de troyanos bancarios que habitualmente se diseminan por correo electrónico o MSN.
Sin embargo, no es el único en la región y países como Mexico, Perú y Argentina, acompañan la tendencia también con un importante caudal de delincuentes que aspiran, incluso, a copiar los modelos de negocios delictivos y fraudulentos que desde el otro lado del mundo cotidianamente generan nuevos puntos de investigación a causa de los incidentes de seguridad que provocan, principalmente el robo de información.
Bajo toda esta escenografía, las botnets juegan un papel fundamental en un alto porcentaje, donde me atrevo a decir casi todos, de los delitos que se cometen a través de Internet. Es decir, el rol de las botnets dentro del ámbito actual del cibercrimen, representan la pieza clave con la que cuentan los delincuentes informáticos.
La siguiente imagen es un ejemplo de ello. Se trata de una botnet de Oficla gestionada a través de myLoader, que cuenta con un total de 9065 zombis reclutados.
La botnet Oficla comenzó con sus actividades delictivas a principios de 2010 y precisamente el binario ejecutable, detectado por los motores antivirus como Oficla o Sasfis, es generado a través de un constructor que incorpora myLoader.
A principios de 2010, MalwareIntelligence alertó sobre las actividades de una botnet Oficla con más de 250.000 computadoras reclutadas, que luego de varios días más supero la cifra de 300.000 zombis. Un White paper que explica el modo de comercialización del crimeware y operación de la botnet se encuentra disponible en la sección documentos.
La región latinoamericana cuenta con un importante desarrollo de malware, destacándose, sin lugar a dudas, Brasil con la generación de códigos maliciosos diseñados para robar datos de índole financiero a través de troyanos bancarios que habitualmente se diseminan por correo electrónico o MSN.
Sin embargo, no es el único en la región y países como Mexico, Perú y Argentina, acompañan la tendencia también con un importante caudal de delincuentes que aspiran, incluso, a copiar los modelos de negocios delictivos y fraudulentos que desde el otro lado del mundo cotidianamente generan nuevos puntos de investigación a causa de los incidentes de seguridad que provocan, principalmente el robo de información.
Bajo toda esta escenografía, las botnets juegan un papel fundamental en un alto porcentaje, donde me atrevo a decir casi todos, de los delitos que se cometen a través de Internet. Es decir, el rol de las botnets dentro del ámbito actual del cibercrimen, representan la pieza clave con la que cuentan los delincuentes informáticos.
La siguiente imagen es un ejemplo de ello. Se trata de una botnet de Oficla gestionada a través de myLoader, que cuenta con un total de 9065 zombis reclutados.
Estadísticas de myLoader
Básicamente muestra información relacionad a la cantidad de computadoras comprometidas durante los últimos 15 días, cuantas de ellas se encuentran online, entre otros
Básicamente muestra información relacionad a la cantidad de computadoras comprometidas durante los últimos 15 días, cuantas de ellas se encuentran online, entre otros
Y evidenciando lo que mencionaba líneas arriba, el top ten de países afectados lo encabeza Brasil con un poco más de 1300 zombis (casi el 15%), y en lo que a Latinoamérica respecta, le siguen México y Argentina.
Estadísticas de geolocalización de zombis
Esta imagen sólo muestra el top ten de países afectados donde la botnet posee zombis
Esta imagen sólo muestra el top ten de países afectados donde la botnet posee zombis
Computadoras afectadas sólo en Brasil
La lista es muy larga y básicamente muestra información sobre las computadoras infectadas
La lista es muy larga y básicamente muestra información sobre las computadoras infectadas
Una particularidad interesante es que esta botnet se encuentra bajo el techo del AS6851 en la dirección IP 91.188.60.97. Conocido bajo el nombre de BKCNET "SIA" IZZI o SAGADE, ampliamente popular por su relación con el alojamiento de recursos delictivos como ZeuS, Koobface, afiliados de negocios, entre muchos otros.
En la sección documentos se puede descargar un White paper con información de los recursos delictivos asociados a un determinado rango de direcciones IP que se encuentran bajo la tutela de BKCNET "SIA" IZZI.
En cuanto a los códigos maliciosos que se diseminan a través de esta botnets, se encuentran los siguientes binarios ejecutables:
En la sección documentos se puede descargar un White paper con información de los recursos delictivos asociados a un determinado rango de direcciones IP que se encuentran bajo la tutela de BKCNET "SIA" IZZI.
En cuanto a los códigos maliciosos que se diseminan a través de esta botnets, se encuentran los siguientes binarios ejecutables:
- _xgrab_v2.exe (668e1dd00c17dae315a2b8af4cd35392)
- server1.exe (3315287968320a0dc4d045d3dae935b4)
Información relacionada
Oficla botnet con más de 200.000 zombis reclutados
myLoader. Framework para la gestión de botnets
myLoader. Base C&C to manage Oficla/Sasfis Botnet [Whitepaper versión en español]
Criminal activities from BKCNET “SIA” IZZI / ATECH-SAGADE - Part one [Whitepaper versión en español]
Jorge Mieres
Founder & Director of MalwareIntelligence
Crimeware & Intelligence Analyst Researcher
0 comentarios:
Publicar un comentario