Vamos a mostrar algunas curiosidades técnicas de la botnet vOlk, un software de gran «éxito» entre los atacantes de Latinoamérica que está suponiendo un problema para todos los bancos de países como Perú, México, Costa Rica, Chile, Colombia… Muchos ya la han estudiado, pero vamos a repasar aquí sus principales características y algunos errores.
vOlk es una «suite» para crear una botnet. Como muchas otras que operan en Latinoamérica, se compone principalmente de su panel de control en PHP y MySQL, que se colgará en alguna web (comprometida o no) y desde el que se darán órdenes a los clientes. Los clientes son el segundo componente. En el caso de vOlk se trata de un sencillo programa programado en Visual Basic 6 y que infecta a los usuarios. El programa se configura para recibir órdenes del panel de control, se compila, y se distribuye entre las víctimas.
La botnet vOlk apareció hace unos tres años, ha conseguido mucha popularidad y está pensada principalmente para ser un troyano bancario sencillo basado en el pharming (cambio de hosts). Esta simple técnica, que se utiliza desde hace muchos años, sigue siendo efectiva. Requiere de pocas habilidades por parte del atacante y de una infraestructura básica. Solo con eso se pueden obtener importantes beneficios.
El panel de control
Explicando el panel de control, también se explican sus funcionalidades. Para instalarlo se proporciona un fichero de configuración SQL que contiene algunas tablas y su valor por defecto. El de la imagen corresponde a última versión, 5.
La versión inmediatamente anterior, se veía así:
Luego se copian los ficheros PHP en Apache y se «instala«. El proceso solo requiere del establecimiento de un usuario y contraseña para controlar la botnet.
En la pantalla inicial se detallan sus características. Con las diferentes versiones, se añadieron cambios estéticos en el panel, pero sobre todo en el código. Se corrigieron algunas vulnerabilidades pero se mantienen otras. Principalmente, sus habilidades son las de cambiar dinámicamente el archivo hosts de Windows en las víctimas, de descargar un ejecutable y lanzarlo, de hacer que visiten de forma «invisible» o visible un enlace, de robar contraseñas de Messenger, Internet Explorer y Filezilla y de proporcionar cómodas estadísticas de «éxito» para el atacante. En ellas contiene una pequeña base de datos de GeoIP para localizar a las víctimas por países. Por ejemplo, en la versión 4, si elegimos que nos muestre las víctimas de países «desconoSidos» (sic).
Vías de negocio
La principal vía de negocio está pensada para realizar pharming. El atacante genera una copia de la web del banco y la cuelga en una dirección IP. Luego establece el archivo hosts de la víctima para que apunte a esa IP. El usuario, no se dará cuenta de que es una página falsa e introducirá sus datos. En esta página falsa del supuesto banco, habrá pequeños scripts PHP como este para enviar las contraseñas robadas del formulario por correo, guardarlas en un fichero TXT en el servidor, o ambas opciones. Normalmente también almacenan la dirección IP desde donde ha picado la víctima y luego redirigen al banco real una vez completada la estafa.
Sergio de los Santos
Twitter: @ssantosv
