El equipo de investigadores, en colaboración con el gigante tecnológico Baidu, ha conseguido desmantelar parte de una botnet que había infectado a centenares de miles de sistemas.
La botnet está atribuida a un grupo denominado Double Gun / ShuangQiang, que se encuentra detrás de ataques acontecidos durante los años 2017 y 2018, cuyo objetivo fue el compromiso de tráfico web relacionado con sitios e-commerce.
Aprovechando las posibilidades del almacenamiento en nube de AliBaba y, lo que es más interesante, haciendo uso de técnicas esteganográficas durante la subida de imágenes al portal Baidu Tieba, los atacantes distribuyeron tanto el malware como los archivos de configuración necesarios. Además, utilizaron el propio servicio de estadísticas de Baidu para llevar un control de la actividad de los hosts infectados.
Se utilizaron dos vías principales de infección.
La primera aprovechaba la instalación de juegos a través de portales que contenían código malicioso disfrazado de «parche» para saltar las restricciones de compra o registro del juego. Una vez instalado, se producía la descarga de los archivos de configuración necesarios para el malware desde el portal de Baidu, que estaban ocultos en imágenes. Cuando estas imágenes eran visitadas via URL, sencillamente mostraban un ruido aparentemente aleatorio.
Una vez configurado el malware, se iniciaba el proceso de reportar la información del host infectado al servidor Command & Control. Además, se desplegaba un segundo driver destinado a secuestrar procesos importantes del sistema como lsass.exe o svchost.exe.
La segunda vía de infección, modificaba directamente las librerías del cliente. Concretamente, la librería «photobase.dll» era secuestrada mediante la técnica conocida como DLL Hijacking. Los esquemas de infección pueden verse en la siguiente imagen.
La información detallada de la infección, así como el análisis de los binarios implicados expuesto a través de técnicas de ingeniería inversa, pueden consultarse en el informe de los propios investigadores.
Más información:
https://blog.netlab.360.com/shuangqiang/, https://blog.360totalsecurity.com/en/double-gun-trojan-which-uses-game-plug-in-to-spread-is-updated-to-v4-0-and-looking-for-trouble/, https://blog.netlab.360.com/shuang-qiang-mu-ma-ji-chu-she-shi-geng-xin-ji-xiang-ying-chuan-bo-fang-shi-fen-xi/
Deja una respuesta