Qihoo y Baidu interrumpen la red de bots de malware con cientos de miles de víctimas


china-ddos.png

Debido a que los usuarios chinos suelen pasar el rato en su propio rincón de Web, detrás del Gran Cortafuegos, tendemos a olvidar que también son blanco de malware a diario aunque diferente malware, y no suele ser el mismo que se dirige a todos los demás.

Durante los últimos tres años, el troyano DoubleGuns ha surgido para tomar la corona como una de las botnets de malware más grandes de China.

En una entrevista con ZDNet Hoy, el proveedor de antivirus chino Qihoo 360 dice que DoubleGuns se encuentra exclusivamente en China y se cree que ha infectado a cientos de miles de usuarios chinos en el momento de la redacción, con millones de infecciones históricas en los últimos años.

¿Qué es DoubleGuns?

DoubleGuns es un troyano de malware que se dirige a dispositivos Home windows. El malware ha estado operando desde julio de 2017 cuando los investigadores de Qihoo vieron las primeras muestras distribuidas en la naturaleza.

En los últimos tres años, el troyano DoubleGuns ha cambiado muy poco, a pesar de crecer en escala. Hasta el día de hoy, el malware sigue siendo principalmente distribuido a través de aplicaciones bobobytrapped compartidas en sitios internet chinos, con la mayoría de los juegos pirateados disponibles en las redes sociales y foros de juegos chinos.

Su objetivo principal sigue siendo infectar a los usuarios con los kits de arranque MBR y VBR, instale varios conductores maliciosos, y luego robar credenciales de aplicaciones locales, con un enfoque en las cuentas de Steam.

Además, DoubleGuns también actúa como módulo de adware y spam. Inserta anuncios en los dispositivos de los usuarios, y también secuestra cuentas QQ para difundir anuncios a los amigos de la víctima a través de mensajes privados.

Además, las versiones anteriores del malware DoubleGuns eran también detectó tráfico de secuestro de portales de comercio electrónico legítimos, redirigiendo a los usuarios infectados a sitios de clonación sin embargo, este comportamiento parece haberse eliminado en versiones recientes.

Como se mencionó anteriormente, el troyano se dirige exclusivamente a los usuarios chinos, y esto es muy claro al analizar el código fuente del malware, que incluye funciones para desactivar el program de seguridad, la mayoría de los cuales son productos antivirus chinos.

Qihoo y Baidu interrumpen temporalmente DoubleGuns

En una publicación de website la semana pasada, Qihoo 360 dice que recientemente se asoció con el gigante tecnológico chino Baidu para interrumpir las operaciones de la botnet, que han crecido demasiado para ser ignoradas.

Qihoo dice que desde el 14 de mayo, han estado trabajando con Baidu en una operación conjunta para eliminar parte de la infraestructura de back again-stop de la botnet, la mayoría de los cuales ha estado utilizando el servicio de alojamiento de imágenes Tieba de Baidu.

doubleguns.png "height =" auto "width =" 1200 "src =" https://zdnet2.cbsistatic.com/hub/i/r/2020/05/26/440ba321-e71b-46d9-be69-fbb8bedf3888/resize /1200xauto/d1f65e6ba80ddc27fdfc9defc7a1d756/doubleguns.png

Imagen: Qihoo 360 Netlab

Según Qihoo, durante los últimos tres años, DoubleGuns ha estado descargando imágenes del servicio Tieba. Las imágenes contenían código secreto (oculto dentro de la imagen usando una técnica conocida como esteganografía) que proporcionaba a los bots de DoubleGun instrucciones sobre qué operaciones realizar en los hosts infectados.

Qihoo y Baidu dicen que durante las últimas dos semanas, han estado eliminando imágenes utilizadas por DoubleGuns y registrando conexiones de hosts infectados, que es así como descubrieron el tamaño masivo de la botnet, actualmente estimado en «cientos de miles» de computadoras infectadas .

La interrupción se considera temporal, ya que otras partes de la infraestructura de la botnet aún se están ejecutando, y los operadores de la botnet todavía están en libertad.



Enlace a la noticia initial