ANÁLISIS DETALLADO DE LA RED DE BOTS GOZNYM

El equipo Cisco de Talos publicó un análisis detallado de la red de bots GozNym, fue posible empleando el algoritmo DGA utilizado por el malware

En abril de 2015, los investigadores de la X-Force de IBM descubrieron un nuevo troyano bancario denominado GozNym que combina las mejores características de Gozi ISFB y el malware Nymaim.

El GozNym se ha visto en instituciones bancarias, cooperativas de crédito y bancos minoristas. Entre las víctimas de la GozNym Troya hay 24 instituciones financieras en América del Norte y organizaciones de Europa, incluyendo los proveedores de servicios de correo web, banca de inversión y cuentas de consumidores en 17 bancos en Polonia y un banco en Portugal.

Ahora los expertos del equipo de Talos de Cisco han analizado la amenaza y han identificado cuatro variantes que difieren en el uso del algoritmo de generación de dominio (DGA).

Una DGA es un algoritmo que permite que el malware para generar periódicamente un gran número de nombres de dominio que se utilizan como puntos de encuentro con sus servidores C & C.

Los ladrones utilizan los mensajes de phishing que contienen documentos de Word especialmente diseñados como un vector de ataque. Una vez que las víctimas abren los documentos permiten la macro, un código de descarga VBA y ejecutar el GozNym.

Una vez que el malware ha infectado un sistema, se comprueba la conectividad a Internet a través de una consulta DNS para los registros de Google.com y Microsoft.com. En presencia de una conexión, entra en contacto con el comando y control (C & C) dominios generados por la DGA a través de un simple Gethostbyname llamada a la API oa través de una compleja implementación del protocolo DNS o bien 8.8.4.4 o 8.8.8.8 como su servidor.

El GozNym troyano bancario secuestra sesiones de navegación de las víctimas les redirigir a un sitio web de phishing. Los expertos del grupo de Talos identificaron varias variantes DGA, por debajo de la descripción de uno de ellos publicados por los investigadores de malware.

"En la primera etapa de DGA, una variación de la Número Pseudo-Random Generador XORShift (PRNG) se utiliza para crear una lista de quince dominios. El PRNG se siembra con un valor de bit desplazado del día actual, así como dos DWORD cifrados duros. Cada dominio entre 5 y 12 letras minúsculas largos, seguidos de un TLD seleccionado al azar de .net, .com, .in, o .pw. GozNym a continuación, utiliza el servidor DNS de Google para consultar cada dominio, y comprueba si las respuestas son IP enrutable públicamente. Una vez que se resuelva 2 IPs diferentes, utiliza los de la segunda etapa de la DGA. " Segun informe Cisco de Talos.

En la segunda etapa, el programa malicioso crea una lista de 128 nombres de dominio utilizando los mismos métodos de la etapa 1, pero sustituyendo las semillas DWORD codificadas con las direcciones IP obtenidas en la primera etapa. El GozNym DGA es complejo, pero los investigadores han identificado defectos que les permitió predecir nombres de dominio utilizando la fuerza bruta.

Los investigadores de Talos han descubierto vulnerabilidades en la DGA que les permitió predecir nombres de dominio utilizados por la amenaza, una información que preciosa para los cazadores de malware que pueden utilizar DNS sumideros para analizar el malware.

Los expertos fueron capaces de perfilar el botnet, el servidor socavón que utilizaban, recibió 23.062 balizas dentro de las primeras 24 horas. Esto significa que la botnet se compone de aproximadamente 23.062 máquinas porque cada una de la única enviaría un solo faro, excepto los casos de las cajas de arena, que pueden Beacon a cabo varias veces a partir de un pequeño conjunto de direcciones IP.

El número de direcciones IP únicas que pertenecen a la red de bots es 1.854.

Fecha actualización el 2021-9-28. Fecha publicación el 2016-9-28. Categoría: Malware. Autor: Oscar olg Mapa del sitio
troyano