Español | English
rss facebook linkedin Twitter

Uso de mensajería instantánea (IM) en botnets

Ya hace bastantes años que es común el uso de mensajería instantánea por distintas familias de malware. Y es que la IM (Instant Messaging) ha sido normalmente utilizada de forma habitual por los ciberdelincuentes para distribuir su malware, tradicionalmente mediante ingeniería social, con la publicación de un enlace y engañando a la víctima para que descargue el malware o bien para que acceda a un exploit kit. Siendo la máquina una vez infectada con el malware, también propicia para la generación de nuevos mensajes y enlaces que se propaguen entre los contactos.

Prácticamente ninguna de las mensajerías más utilizadas (MSN, Skype, GTalk, Pidgin, el chat web de Facebook) se han quedado libre de tal uso. Pero no es la única función que se le ha dado a la IM. Con la aparición de las botnets, el IRC se convirtió en el medio clásico para que el botmaster se comunicara con su pequeño ejercito de máquinas infectadas, y así poderles dar órdenes. Típicamente una de las órdenes suele ser el envío de las contraseñas robadas, enviar los resultados del robo de dinero de la cuenta bancaria de la víctima, o simplemente conocer el estado del bot.

Citadel, el troyano bancario de más auge últimamente, es uno de estos malware que son capaces o utilizan en ocasiones mensajería instantánea. Tal y como denota su panel de control, con un apartado llamado jabber-notifier, siendo capaz de utilizar jabber (protocolo XMPP) para obtener notificaciones.



Desde el panel, es posible establecer comunicaciones con múltiples destinatarios a través de jabber. Incluso si los bots no pudieran enviar archivos de logs notificando su estado, existe la posibilidad de que se pudieran recibir estas notificaciones por jabber.

Otra de las opciones disponibles para el botmaster es escanear diariamente sus bots con el servicio anónimo scan4you utilizando un servicio cron y recibir en jabber una notificación cuando uno de estos bots es detectado por varios antivirus.

Como ya he comentado, en ocasiones la IM es utilizada por el botmaster para conocer en directo los resultados del robo de dinero de la cuenta bancaria de la víctima. La siguiente inyección de Citadel, nos deja vislumbrar pistas de que algo así es posible, en este caso con jabber:



En esta ocasión, se utilizaba esta inyección para enviar unos datos al panel, en forma de log, haciendo un POST HTTP.

Y es que en este caso, para establecer una conexión jabber, al estar las inyecciones insertadas en el dominio de la entidad bancaria, no se podría establecer con javascript una comunicación con un servidor de jabber externo, y establecer un GET de un xml en otro dominio, establecer una comunicación jabber. Es por ello que se requeriría de un servidor destino, que hiciera de cliente y gestionase las conexiones. A la inyección le correspondería un código similar a este:



Y ese servidor destino, que haría de cliente, podría tener un código como el siguiente:


Pero el uso de jabber en este troyano, no se queda ahí, sino que también, y esta es una de las novedades de los paneles de Citadel, se ha incorporado el panel de administración de VNC. Y ahora es posible trabajar con la API, pasarle el BotID o la dirección IP a través de una inyección, y establecer una conexión inversa de VNC mediante el envío de datos para conectar con jabber.



Por último, jabber es utilizado para interactuar con la CRM Store. La CRM Store, es un sistema que sirve para comunicar a los clientes que compran los paneles de Citadel con los desarrolladores, no con personal de soporte de producto. De ese modo, se abre un ticket rápidamente en caso de bug, y puede ser rápidamente reparado. Así como se pueden proponer cambios y dar opiniones. Pudiendo el cliente enterarse de las novedades también.

Podemos concluir por tanto, que el uso de la IM por malware y ciberdelincuentes, ha sido ampliado con el paso de los años, a medida que avanza la tecnología y aumenta su necesidad de keep in touch con sus bots y los desarrolladores de malware.

Luis Miguel Laguna
S21sec ACSS


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login