La multinacional de Seguridad BitDefender alerta sobre un nuevo bot (programa malicioso que permite el control del ordenador a distancia) que presenta como principal novedad el hecho de que se controla desde la popular red social Twitter. Para conseguirlo, un atacante sólo tiene que lanzar el SDK (software development kit, un conjunto de herramientas que permite al programador crear aplicaciones para un determinado paquete de software) e introducir un nombre de usuario de Twitter. Ese usuario actuará como centro de control y modificará el nombre de la red de bots y el icono de la misma.
La nueva red de bots interrogará constantemente el perfil de Twitter especificado para recibir órdenes. Para evitar confusiones, los comandos soportados tienen que comenzar de alguna de las siguientes maneras:
1. El comando .VISIT acepta dos parámetros separados por un asterisco, tipo: .VISIT*URL*1 o .VISIT*URL*0. Este comando haría al bot visitar la web especificada en el comando. El parámetro numérico dice al bot si debe visitar la página en una ventana visible (1) o invisible (0).
2. El comando .SAY sólo toma un parámetro e inicia el motor Microsoft Text-To-Speech para leer el parámetro específico, por ejemplo: SAY*Something to say
Hasta aquí, el bot parece ser más o menos inofensivo, pero la introducción de los siguientes comandos lo hace realmente peligroso:
3. El comando .DOWNLOAD toma una URL como primer parámetro y un 0 o un 1 como segundo. DOWNLOAD*URL/somefile.exe*0 o .DOWNLOAD*URL/somefile.exe*1. La URL dice la bot desde que web tiene que descargarse un archivo mientras que el parámetro numérico le dice si éste debe ejecutarse o no cuando haya sido descargado del todo.
4. El comando .DDOS*IP*PORT permite lanzar un ataque de inundación UDP (User Datagram Protocol) contra la IP indicada en el puerto especificado (contra un ordenador, router o servidor)
5. .STOP asegura que los ordenadores controlados detienen las acciones repetitivas como visitar web de recursos o atacar una IP para causar un problema de denegación de servicio.
6. El comando .REMOVEALL sirve para ordenar a los bots que se desconecten de la cuenta de Twitter y permanezcan inactivos hasta el próximo reinicio. Este comando prácticamente elimina el tráfico entre el bot y la web, así, hace menos invisible la infección y dificulta la detección del bot.
Se trata del primer intento de controlar una red de bots desde Twitter. En todo caso, se ve que algunos aspectos son aún experimentales. Así, el creador no ha protegido sus bots contra la ingeniería inversa ni contra procesos de detección. No obstante, esto no lo hace menos peligroso.
Un aspecto interesante es que hay una cuenta de usuario de Twitter (@korrupt) asociada por defecto a la herramienta y que podría enviar comandos a todos los ordenadores zombies controlados desde la misma. Sin embargo, no presenta de momento ninguna actividad.
Es cierto que para los ciberdelincuentes controlar una red de bots desde una cuenta de Twitter presenta algunas desventajas. Por ejemplo, si la cuenta es anulada por Twitter, la red se queda sin usuario desde el que recibir órdenes. Pero, por otro lado, también tiene sus ventajas: con una simple frase en Twitter publicada desde un teléfono móvil, los ciberdelincuentes podrían lanzar un ataque de denegación de servicio en toda regla”, explica Raúl García, Responsable de Marketing de BitDefender en España.
Los bots que permiten el control de los ordenadores a través de esta herramienta han sido detectados por BitDefender como Trojan.TweetBot.A. BitDefender cuenta con una herramienta específica para eliminar esta amenaza disponible en http://http//www.malwarecity.com/files/Anti-TweetBot-EN.rar.
Primer intento de controlar una red de bots desde Twitter
Etiquetas:
Bitdefender
