Albabotnet, nueva ola de crimeware en Latinoamérica

Tras la reciente aparición de la red PiceBOT en Latinoamérica, es AlbaBotnet la que se une como amenaza creciente en cuanto a cibercrimen en la región. Vuelve con los ataques tipo «pharming» y desarrollando ataques de phishing cuidadosamente dirigidos para robar información de cuentas de los dos principales bancos chilenos.

De acuerdo a los datos de que disponemos, esta campaña es parte de un «período de pruebas» de esta Botnet o red de bots (ordenadores reclutados como zombies) hasta el momento no se ha producido monetización alguna por parte de este malware. Se sabe que esta amenaza lleva gestándose desde principios de 2012.

La red parece mantener una estructura similar a la de otras amenazas ya presentes. Además del típico «constructor» de malware automatizado, incluye un paquete que automáticamente envía correos electrónicos. Así el «botmaster» puede personalizar sus campañas de infección a través de los clásicos mecanismos de ingeniería social visual. 

Albabotnet o red de bots utilizada para fraudes online

El malware es detectado generalmente como Trojan.Win32.VBKrypt.pitu. Emplea el mismo sistema de encriptado que el encontrado en algunas versiones de PiceBOT y vOlk. Por eso es muy posible que el código haya sido compartido entre ellos. Debajo, una muestra de código de AlbaBotnet: 

Detalles del troyano

Se han identificado tres servidores usados como C2 o centros de comando. Operan desde las IP’s: 111.90.159.208, 94.136.40.103 y 194.175.173.187. Las dos últimass pertenecen a servidores que probablemente han sido vulnerados primero por el botmaster. Aquí podéis ver varias versiones del malware usado por AlbaBotnet en orden cronológico. La sintáxis es: huella temporal (timestamp) + tamaño de archivo + C2 + comentario: 

direcciones IP relacionadas con ataques de Albabotnet

Actualmente estamos asistiendo a un crecimiento importante del número de amenazas que nacen en Latinoamérica y luego son empleadas contra usuarios en esa región. La situación evoluciona, al igual que el desarrollo de malware.

Continuaremos haciéndonos eco de las investigaciones en torno al impacto de esta nueva amenaza. Hasta la fecha podemos confirmar que los ataques se limitan exclusivamentea usuarios de dos bancos chilenos específicos.

Sin embargo, esto debe servir como aviso y recordatorio a navegantes. Hay que tener cuidado con nuestros hábitos y buscar soluciones y asesoramiento experto para las empresas, de esta forma conseguiremos minimizar los riesgos de ser víctimas del malware o fraude online.

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.