• Tweet

John Leyden

Hackers han programado un caballo de Troya que usa los grupos de discusión de Google para distribuir ordenes.

La distribución de caballos de Troya via grupos de discusión ha existido por más de una decada, pero el uso de los grupos de discusión como un canal de control de ordenes es una nueva innovación.

El caballo de Troya Grups es por si mismo bastante simple y solo es siginificativo para la estructura de mando y control que despliega. El malware esta programado para registrarse en un grupo de discusión en idioma chino para recibir ordenes, escribió el investigador de Seguridad de Symantec Gavin O"Gorman.

Cuando se registra exitosamente, el caballo de Troya solicita un página de un grupo de discusíon privado escape2sun. La página contiene ordenes que realiza este caballo de Troya.

El comando consiste en un número de índice, una línea de comandos a ejecutar y opcionalmente un archivo para descargar, las respuestas son cargadas como noticias del grupo de discusión usando el número de índice como asunto.

El contenido de la página y de la noticia estan cifrados usando RC4 y después codificado en Base64, El atacante puede de esta manera, publicar comandos confidenciales y leer las respuestas. Si la orden no es recibida de la página estática, el host infectado carga el tiempo actual.

Los sinverguenzas necesitan mantener las comunicaciones con caballos de Troya como puertas traseras para ordenarles distribuir spam, lanzar ataques de denegación de servicio o cargar datos comprometidos, por ejemplo, tradicionalmente los canales IRC han sido usados para realizar esta función. Más recientemente los black hats han experimentado con diferentes canales de control tales como los grupos de Google, como en el último incidente y hace unas pocas semanas a Twitter.

Usar los grupos de Google tiene ventajas en cuanto al anonimato pero deja un registro de la actividad del caballo de Troya para ser analizado por los investigadores de seguridad, por ejemplo, el crecimiento del caballo de Troya puede ser rastreado por el volumen de post utilizados por él. El objetivo de la información también puede ser distinguido.

Examinar al caballo de Troya proporciona asi mismo más pistas, varias cadenas depuradas en el código del caballo de Troya porporciona la evidencia de que el malware puede ser un prototipo, probando el uso de los grupos de discusión para el orden y control de botnets/caballo de Troya. Las ordenes emitidas se refieren a las acciones involucradas con los dominios .tw (taiwaneses), esto, junto con el simplificado idioma chino de los grupos de discusión en cuestión, proporcionan evidencia de que el malware fue hecho en Taiwan o china.

Solo un número pequeño de muestras del caballo de Troya Grups han aparecido en su estado natural, guiando la clasificacion de malware de Symantec como una amenaza de bajo riesgo.