En menos de un mes ha afectado a importantes entidades bancarias. Su costo en el mercado clandestino es de 140 dólares
Lima, 13 de marzo del 2013.— Luego de la masificación de las populares botnets latinoamericanas vOlk (México) y S.A.P.Z (Perú), se suma al escenario underground de ésta región PiceBOT, cuyo costo en el mercado clandestino ronda los 140 dólares estadounidenses.
Al igual que otros crimeware de éste estilo, su objetivo principal es la distribución de malware específico para el robo de información financiera a través ataques de pharming local (modificación arbitraria del archivo host). A pesar de su reciente aparición (menos de un mes) ya ha sido adoptada por los ciberdelincuentes de LatAm para atentar contra usuario bancarios de importantes entidades bancarias. “Hasta el momento, Kaspersky Lab, ha registrado ataques de phishing generados y administrados a través de ésta botnet para Chile, Perú, Panamá, Costa Rica y Argentina”, afirmo Jorge Mieres, analista malware de Kaspersky Lab para América Latina.
La imagen que aparece en el encabezado, obtenida desde un foro underground, muestra algunos ejemplos:
- Desde el punto de vista técnico comparte muchas similitudes con los códigos maliciosos propagados a través de vOlk y S.A.P.Z. Sin embargo, aún no está claro desde qué país de Latinoamérica es, pero algunos indicios indican que podría tratarse de un crimeware de origen guatemalteco, mexicano o peruano. Otra interesante característica que se distingue respecto a los otros crimeware de LatAm es su proceso simple de autenticación que solo necesita contar con un solo factor: la contraseña de acceso al panel de administración.
- Además, el ciclo de propagación descarga en primera instancia un Dropper que se encargará de establecer la primera comunicación clandestina con el C2 (panel de Comando y Control) enviando a la botnet parámetros de interés para los delincuentes informáticos. Luego descargará otra pieza de malware desde la URL configurada en “url_des.txt” y modificará vía web la información contenida en el archivo hosts a través de los parámetros establecidos desde el “toma.php”.
Mieres indica que hasta el momento, Kaspersky Lab ha detectado al menos un par de docenas de variantes del malware gestionado a través de PiceBOT, detectadas de forma genérica como Trojan-Dropper.Win32.Injector y su distribución geográfica se concentra, por el momento, en los países anteriormente mencionados.
Claro está que Latinoamérica se ha transformado en un mercado muy competitivo y muy preciado para los delincuentes informáticos de la región y fuera de ella también, debido en parte a la falta de madurez en materia penal.
En el particular caso de PiceBOT, en su poco tiempo de vida ha alcanzado una tasa de éxito importante entre la comunidad delictiva “regionalista” que lo adoptan por encima del crimeware desarrollado en Europa del Este. Tal vez los tres puntos más importantes que consideran los delincuentes informáticos que prefieren el uso de crimeware local sean: en primera instancia, el bajo costo comparado con los desarrollos Europeos que superan los 1000 dólares estadounidenses en la mayor parte de los casos. En segundo lugar la facilidad de uso ya que solo se limitan al phishing como estrategia de ataque final y en tercero el Retorno de Inversión (ROI) casi inmediato que obtienen ya que a pesar del empleo de técnicas triviales que se potencian con maniobras de Ingeniería Social visual la tasa de infección a través de éstos códigos maliciosos es muy alta, fundamentalmente, por la falta de conciencia de los usuarios.
Acerca de Kaspersky Lab
Kaspersky Lab es el proveedor privado más grande del mundo de soluciones de protección para endpoints. La compañía se ubicó entre los cuatro principales proveedores de soluciones de seguridad para los usuarios de endpoints*. Durante sus ya más de 15 años de historia, Kaspersky Lab continúa siendo una compañía innovadora en la seguridad informática y ofrece soluciones efectivas en seguridad digital para los consumidores, pequeñas y medianas empresas y grandes compañías. Kaspersky Lab, a través de su compañía de holding registrada en el Reino Unido, opera actualmente en casi 200 países y territorios en todo el mundo, ofreciendo protección para más de 300 millones de usuarios en todo el mundo. Para obtener mayor información, visite http://latam.kaspersky.com.
*La compañía logró el cuarto lugar en la clasificación IDC de los Ingresos por Seguridad de Endpoints en el Mundo por Proveedor, 2011. La clasificación fue publicada en el reporte IDC del «Pronóstico Mundial de Endpoint Security 2012-2016 y Acciones de Proveedores 2011» – (IDC #235930, Julio de 2012). El reporte calificó a los proveedores de software según sus ganancias por las ventas de soluciones de Endpoint Security en 2011.