Malware, del IRC a Twitter

Escrito el 14 agosto 2009, 06:27pm en Seguridad

Tagged with: , , , ,

Twitter Bot

Cuando un sistema es infectado, generalmente es controlado remotamente recibiendo comandos a través de canales de IRC, P2P ó HTTP. José Nazario (Arbor Networks) en cambio, encontró un interesante ejemplo de un botnet activa y real que hacía uso de Twitter como panel control.

Nada nuevo

Durante una de las presentación en Defcon 17, Tom Eston y Kevin Johnson mostraron una prueba de concepto de un bot llamado KreiosC2, cuyo funcionamiento es bastante sencillo, solo hay que crear una cuenta en Twitter y configurar el bot para que la siga (follow); cuando queremos que el bot haga algo solo basta con enviar una actualización en dicha cuenta de Twitter. Ejemplo: “cmd: look at 128.47.220.51” hará que ejecute el comando ping a la dirección IP 128.47.220.51.

Debido a que Twitter cuenta con la habilidad de detectar y filtrar texto entre las actualizaciones enviadas por sus usuarios, es posible modificar el lenguaje de los comandos dinámicamente así como también utilizar codificación Base64 y/o algún tipo de encriptación.

Es interesante ver como ya hay alguien haciendo uso de esta prueba de concepto para actividades fraudulentas; en este caso la botnet descubierta habría estado siendo utilizada por un troyano bancario cuyo objetivo serian entidades brasileras, Banco do Brasil seria una de ellas.

Actualización: Kaspersky Lab publica una entrada en su blog en donde muestran capturas y más información sobre este malware que también estaría haciendo uso de Jaiku, además de Twitter.

Jaiku Bot

Enlaces relacionados:

Más información sobre KreiosC2:
http://www.digininja.org/projects/kreiosc2.php

Using Twitter as a botnet: KreiosC2
http://securitybananas.com/?p=101

Vía Twitter-based Botnet Command Channel

Los comentarios están cerrados para este artículo.