Investigador revela masiva profesional de los ladrones' botnet
"Clampi es el más profesional de los ladrones de piezas de malware que he visto nunca", dijo Joe Stewart, director de investigación de malware de SecureWorks' contra-amenaza a la unidad. "Sabemos de algunos otros que son de este sofisticado y de gran alcance. Es tener un verdadero impacto en los usuarios."
El Clampi Troyano ha infectado en cualquier lugar entre 100.000 y 1 millón de PCs con Windows, dijo Stewart -- "no Tenemos una buena manera de contar en este momento", reconoció -- y los objetivos de las credenciales de usuario de 4.500 sitios Web.
Eso es un número sorprendente, dijo Stewart, quien ha identificado a 1.400 de los 4.500 total. "Hay un montón de otros Troyanos bancarios por ahí, pero por lo general se meta a sólo 20 o 30 sitios."
Los Hackers colarse Clampi en los Ordenadores por engañar a un usuario en la apertura de una enviadas por correo electrónico en archivo adjunto o mediante el uso de un multi-exploit kit de herramientas que intenta código de ataque para diferentes vulnerabilidades de Windows, Stewart dijo. Una vez en una máquina, la de Troya de los monitores de las sesiones Web, y si el propietario del PC se desplaza a uno de los 4.500 sitios, recoge los nombres de usuario, contraseñas, números de pin y otra información personal se utiliza para iniciar sesión en los sitios, o para llenar los formularios.
Periódicamente, Clampi "teléfonos de la casa" el secuestrado información a un comando-y-control de ejecución del servidor por parte de los hackers, quienes, a continuación, vaciar banco o corredor de cuentas, la adquisición de bienes mediante robo de información de tarjetas de crédito o simplemente compilar para usarlo en el futuro, dijo Stewart.
A pesar de que describe a la mayoría de clave de registro o espionaje de malware, Stewart dijo Clampi es diferente, tanto por la evidente escala de su operación y debido a las múltiples capas de cifrado y el engaño utilizado por sus creadores para ocultar el código de ataque y hacer que sea casi imposible para los investigadores a investigar su funcionamiento.
Stewart comenzó el seguimiento de Clampi en 2007, pero comenzó un intenso examen a principios de este año. "El embalaje que Clampi utiliza es muy sofisticado, y lo hace muy, muy difícil de ingeniería inversa, dijo Stewart. "Yo diría que este es el más difícil pieza de malware que he visto de ingeniería inversa." Los investigadores de seguridad a menudo ingeniería inversa de malware -- separándola para intentar descifrar cómo funciona-durante sus investigaciones.
"Están usando una máquina virtual basada en los empacadores que les permite tomar el código de una CPU virtual del conjunto de instrucciones, de modo que la próxima vez que se llena, es completamente diferente", dijo Stewart. "No se puede mirar a Clampi con una herramienta convencional, como un depurador. Es un verdadero lío a seguir, francamente."
El Troyano también encripta el tráfico entre secuestrado sistemas y las redes de bots de comando-y-control de servidor utilizando múltiples métodos, dijo Stewart. No sólo es la red de tráfico de comunicaciones cifrado de cifrado blowfish de 448 bits, pero las cadenas de caracteres dentro del código de ataque binarios también están cifrados. Clampi también se utiliza otro inusual táctica para esconderse de los programas antivirus; sus módulos -- hay en cualquier lugar de cuatro a siete diferentes piezas de malware, se almacenan encriptados "blobs" en el registro de Windows.
El gran alcance de la Clampi operación también se separa de run-of-the-mill financiera de malware, Stewart argumentó. "Están dirigidas no sólo a los sitios de los bancos, pero una amplia variedad de sitios donde la gente pone en las credenciales que les ayude a robar el dinero de alguna manera," dijo Stewart. Entre las 1.400 sitio ha identificado con el ejército portales de información, hipoteca, seguros, casino en línea, la utilidad de las redes de publicidad y sitios de noticias. Los sitios están alojados en 70 países diferentes.
"Que, en sí mismo, habla de una vasta operación en la parte final," Stewart dijo.
Es imposible decir con certeza, pero todos los indicios apuntan a Rusia o Europa del este como la base para la banda criminal de montar manada en la Clampi botnet. "Parece que es sólo un grupo de personas detrás de él", dijo Stewart. "No vemos [charla acerca de esto] en la habitual foros underground, que es una razón por la que hay poca o ninguna cobertura sobre Clampi hasta ahora. Es muy celebrada, y el grupo es muy reservado."
De hecho, Stewart celebra fuera poco la esperanza de atrapar a los criminales detrás de Clampi. El comando-y-control de los servidores que utiliza para dirigir el secuestrado PCs, y para recibir el robo de nombres de usuario y contraseñas: no se hospedan en un comercial de servicios de hosting, sino que están ocultos dentro de cada Pc se vea comprometida. "No creo que nos va a llegar el comando-y-control de los servidores," Stewart admitió.
Una víctima de un Clampi la infección, y el resultado es el robo, que ha salido adelante es Flojo Auto Partes, en Gainesville, Ga., que fue despojado de casi $75,000, según un reportaje de la semana pasada en el Washington Post. El co-propietario de la compañía, Henry Holgura, dijo al diario que el malware arrancó los datos de registro de la firma en las cuentas bancarias, luego se las arregló para mover el dinero a varias de dinero "mulas" a través de los estados UNIDOS
Clampi había estado en un margen de PC durante más de un año antes de que el robot de controladores de utilizar la información recopilada para saquear la cuenta bancaria de la empresa.
Una manera para que las empresas-y los usuarios, para poner freno a este ultra-silenciosa de Troya, dijo Stewart, es hacer cualquier financieros tareas en un aislado, idiotizada PC que se utiliza para conectarse a los bancos, corredores de bolsa y similares. Que el consejo funciona porque Clampi se propaga de manera más eficiente en las redes de la compañía. Si se las arregla para infectar una PC dentro de una organización, que Windows utiliza una herramienta de SysInternals apodado "PsExec" hecho por Microsoft para copiar el Troyano a todos los equipos del dominio.
"Clampi puede propagarse a través de redes Microsoft en un gusano-como la moda", dijo Stewart. "Olvidar cosas como Conficker. Es mejor clasificar este [botnet] arriba a la derecha en la parte superior."
Autor: Keylogger.Org Equipo