La operación de malware Dreambot queda en silencio


Dreambot

Imagen: Jon Tyson

los Dreambot La red de bots de malware parece haberse silenciado y posiblemente cerró, según un informe publicado hoy por el CSIS Protection Team, una empresa de seguridad cibernética con sede en Copenhague, Dinamarca.

La compañía informa que los servidores de back again-finish de Dreambot se cayeron en marzo casi al mismo tiempo cuando la comunidad de ciberseguridad también dejó de ver nuevas muestras de Dreambot distribuidas en la naturaleza.

«¿La falta de nuevas características? ¿La multiplicación de nuevas variantes de Gozi? ¿El gran aumento de Zloader? ¿COVID-19? No podemos estar seguros de cuál fue exactamente la causa de la muerte, pero cada vez más indicadores apuntan al last de Dreambot, » dijo Benoit Ancel, analista de malware en el CSIS Protection Group.

¿Qué fue Dreambot?

La aparente muerte del malware pone fin a una «carrera» de seis años en el panorama del delito cibernético.

Dreambot se descubrió por primera vez en 2014. Se creó sobre el código fuente filtrado de los más antiguos. Gozi ISFB troyano bancario, una de las piezas de malware más reutilizadas en la actualidad.

Al igual que cualquier troyano basado en Gozi, la función principal de Dreambot era inyectar contenido malicioso dentro de los navegadores y facilitar el robo de credenciales bancarias y la ejecución de transacciones financieras no autorizadas.

Las versiones iniciales contenían muy pocas características, pero el malware evolucionó a una tensión más compleja con el paso del tiempo.

Con el tiempo, Dreambot recibió nuevas características, como servidores de comando y command alojados en Tor, una capacidad de registro de teclas, la capacidad de robar cookies y datos del navegador de clientes de correo electrónico, una función de captura de pantalla, la capacidad de grabar la pantalla de una víctima, un módulo de kit de arranque, y una función de acceso remoto VNC, solo por nombrar las más importantes.

dreambot-ccpanel.png "src =" https://zdnet2.cbsistatic.com/hub/i/2020/05/01/8a7602e3-b479-4f90-95c2-f389a74029b6/dreambot-ccpanel.png

Panel de regulate típico de Dreambot

Imagen: Benoit Ancel, Grupo CSIS

Además, Dreambot también evolucionó desde una botnet privada de malware a lo que se llama un Cibercrimen como servicio (CaaS).

Como CaaS, los creadores de Dreambot anunciarían el acceso a su botnet en foros de piratería y malware. Otros delincuentes podrían comprar acceso a una parte de la infraestructura de Dreambot y una versión del malware Dreambot, que serían responsables de distribuir a las víctimas. Los «clientes» de Dreambot infectarían a las víctimas, robarían fondos y pagarían a la pandilla de Dreambot una tarifa semanal, mensual o anual.

Más de un millón de infecciones solo en 2019

CSIS dice que este modelo parece haber tenido éxito. «Contamos más de un millón de infecciones (Dreambot) en todo el mundo solo para 2019», dijo Ancel.

Sin embargo, el investigador del CSIS también dice que en los últimos años, Dreambot evolucionó de ser solo un troyano bancario. Más específicamente, evolucionó de un troyano bancario especializado a un troyano genérico.

Las bandas criminales alquilarían el acceso a la máquina de delitos informáticos Dreambot, pero no la usarían para robar dinero de cuentas bancarias.

En cambio, infectarían una gran cantidad de computadoras y luego inspeccionarían cada objetivo, buscando computadoras específicas. Por ejemplo, CSIS dijo que ha visto a grupos criminales usar Dreambot para infectar sistemas y buscar computadoras que ejecutan application de punto de venta, implementar ransomware en redes corporativas, orquestar fraudes BEC u ordenar productos de cuentas de compras electrónicas secuestradas (eBay , Amazon, etcetera.).

En este caso, la evolución de Dreambot de un troyano bancario altamente especializado a un «cargador de malware» genérico refleja lo que hemos visto pasarle a Dridex, TrickBot o Emotet, otros ex troyanos bancarios que se han convertido en servicios que alquilan acceso a piratas informáticos ordenadores.

Al momento de escribir este artículo, los operadores de Dreambot no han sido identificados públicamente y siguen en libertad. La razón de la desaparición precise de toda esta plataforma de cibercrimen también sigue siendo un misterio.

Con los operadores en standard, el regreso de Dreambot sigue siendo una posibilidad.



Enlace a la noticia first