¿Qué hay en una botnet? Investigadores espían a los operadores de Geost



La investigación de una importante crimson de bots bancarios de Android arroja información sobre cómo los ciberdelincuentes estructuran y dirigen un negocio ilícito.

Los investigadores que descubrieron una de las botnets bancarias de Android más grandes hasta la fecha también encontraron el registro de chat de sus atacantes, que han estado observando durante casi un año para conocer el funcionamiento interno de esta operación de cibercrimen, cómo está estructurado su negocio ilícito y cómo interactúan los miembros .

La botnet, denominada «Geost», se detectó por primera vez en 2018. Un equipo de investigadores de seguridad que representan a la Universidad Técnica Checa de Praga, la Universidad UNCUYO y Avast Application notaron que uno de los botmasters de Geost iniciaba sesión en un dominio C2 mientras usaba la purple proxy insegura creada por HtBot malware. Las máquinas infectadas con HtBot crean una red ilegal de servidores proxy que luego se venden a los clientes El laboratorio de los investigadores tenía una instancia de HtBot que capturaba el tráfico.

Lo que encontraron fue una botnet masiva dirigida a ciudadanos rusos. Geost tiene casi 1 millón de víctimas, 15 servidores C2, miles de dominios y miles de paquetes de aplicaciones de Android (APK) maliciosos, que se utilizan para distribuir e instalar aplicaciones en el sistema operativo Android. Tiene conexiones con los datos de SMS de las víctimas y enlaces directos a los sistemas de los cinco principales bancos europeos. Geost también vende y redirige el tráfico, recoge datos y accede a servicios top quality de SMS.

El descubrimiento de Geost fue posible, en parte, debido a varias fallas de OpSec por parte de los atacantes, dice la investigadora de Avast Application Anna Shirokova. Uno de sus primeros errores fue confiar en representantes: «Asumieron por defecto que era seguro», explica. «No esperaban que investigadores como nosotros estuviéramos observando». Este mistake ayudó al equipo de investigación a descubrir no solo esta botnet bancaria, sino también otros grupos criminales, agrega.

Los operadores de Geost tampoco pudieron usar el cifrado, continúa Shirokova, y toda su comunicación de chat estaba en texto claro y HTTP. Esto fue de gran ayuda dado el contenido que compartieron, que incluía contraseñas, nombres de usuario y ubicaciones geográficas. También reutilizaron los mismos apodos en las plataformas en línea, haciendo que los miembros sean fáciles de rastrear.

Estos pueden parecer errores básicos, pero Sebastián García, investigador de la Universidad Técnica Checa de Praga, señala que los atacantes pueden haberlos considerado innecesarios. «Puede imaginar que para aplicar algunas protecciones OpSec, debe tener en cuenta que puede verse comprometido y que alguien puede estar vigilándolo», dice sobre los operadores.

Para los atacantes, puede parecer poco probable que una parte externa descubra sus operaciones ilícitas. ¿Quién, además de un compañero cibercriminal, se tomaría la molestia de comprar y rastrear el malware HtBot en la Darkish Internet? Incluso si un agente de la ley o un investigador de seguridad los encontrara, es probable que los operadores de Geost no pierdan dinero. «Incluso si alguien está mirando, no hay impacto», agrega.

Dentro de una botnet: cómo operan los delincuentes
Durante su análisis de la botnet Geost, el equipo de investigación descubrió un registro de chat de un grupo cibercriminal relacionado con la operación. El registro expuso 6.200 líneas de texto entre junio de 2017 y abril de 2018 y reveló conversaciones entre 20 personas, de las cuales aproximadamente 10 estaban involucradas con Geost y el resto estaban conectadas a otras operaciones. Las conversaciones fueron en ruso, lo que García señala es «muy inusual» teniendo en cuenta que las víctimas también son rusas.

Es importante tener en cuenta que este registro de chat no period un foro público sino un chat más privado entre los miembros del grupo prison donde se sentían más seguros en sus comunicaciones, señala García. El equipo aún está realizando investigaciones y no reveló cómo lo encontraron en línea, aunque sí dijeron que está disponible públicamente.

Este registro de chat proporcionó a los investigadores una visión significativa de cómo funcionaba la operación comercial Geost, las relaciones humanas entre los delincuentes, sus tareas diarias, los problemas de motivación, el lavado de dinero, las decisiones tomadas y los desafíos que enfrentan. Sus proyectos criminales incluyeron pago por instalación, alojamiento de sitios world wide web de phishing, desarrollo de C2, APK maliciosos y desarrollo de juegos falsos.

«El ecosistema es súper complejo», explica García, y había varias similitudes entre la operación de botnet Geost y las empresas tradicionales: a los miembros les preocupaba a dónde iba el dinero, cuánto pagaban a los empleados y mantener su operación atendida. Contratar personas es complicado, y debido a que no usan contratos, los trabajadores a menudo se van a voluntad.

Como cualquier negocio, la botnet Geost emplea desarrolladores, gerentes, personas que manejan fondos ilícitos y personas encargadas de comprar y vender tráfico. El propietario y controlador del registro de chat, por ejemplo, conoce los lavadores de dinero y crea sitios web. Otro miembro tiene la tarea de subcontratar a otros, rastrear pagos, preparar APK y crear sitios world-wide-web. Estos dos configuran dominios y pagan a los desarrolladores para crear sitios website. La mayoría no son altamente técnicos, agrega Shirokova. Si bien «saben algunas cosas», subcontratan tareas técnicas a los desarrolladores.

Las interacciones entre los miembros iban desde conversaciones educadas y formales hasta conversaciones informales entre amigos. Algunos miembros usaron argot, que Shirokova dice indica que pueden ser más jóvenes. No está claro si los miembros se conocen entre sí fuera de la operación, ya que a menudo discutían las ubicaciones geográficas de los demás. Los investigadores plantean la hipótesis de que el grupo se reunió mientras buscaba dispositivos y servicios en un foro subterráneo y formó la operación.

Lo que más se destacó para los investigadores fue cómo los operadores de Geost trataron la botnet no como un ataque, sino como un negocio. La mayoría de las personas tienen la percepción de que los adversarios están luchando contra nosotros, dice García, pero su mentalidad es completamente diferente. «No están peleando», explica. «Para ellos, es un trabajo».

Solo hubo un puñado de veces que mencionaron que lo que están haciendo es ilegal. La gente detrás de la botnet nunca dijo cosas como «ataqué» o «ataquemos», dice Shirokova.

«Esperamos que digan, &#39Estamos infectando&#39 o &#39Estamos obteniendo dinero&#39», agrega García. Ya sea porque son jóvenes o porque esta actividad no es ilegal en muchos países, los operadores de Geost parecían más preocupados por cómo fluía su dinero que por si enfrentarían alguna consecuencia.

Los investigadores desglosaron la actividad de los operadores en tres categorías: aquellas que son definitivamente ilegales (desarrollo de malware, infección de teléfonos, atacar a otros, potencialmente evitar impuestos), aquellas que probablemente no sean ilegales (crear sitios world-wide-web falsos, duplicar sitios website de terceros, SMS premium) y redirección de tráfico), y los que son legales (creación de sitios world wide web y desarrollo de backend).

García, Shirokova y su colega investigadora María José Erquiaga, también de la Universidad Técnica Checa en Praga, presentaron sus hallazgos hoy en Black Hat Europe.

Contenido relacionado:

Kelly Sheridan es la Editora de personalized de Darkish Reading through, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que previamente informó para InformationWeek, donde cubrió Microsoft, y Insurance coverage & Know-how, donde cubrió asuntos financieros … Ver biografía completa

Más suggestions





Enlace a la noticia initial