Los cibercriminales utilizan cada vez más la red Tor

Los desarrolladores de malware cada vez más consideran la red Tor como una opción para esconder la posición real de sus servidores de mando y control, según investigadores de la empresa de seguridad ESET.

malware web

Los investigadores de ESET recientemente encontraron dos programas de malware del tipo botnet que utilizan servidores que operan como “servicios escondidos” de Tor.

El protocolo de servicio escondido Tor permite a los usuarios desarrollar servicios, normalmente servidores web, a los que únicamente se puede acceder desde la red Tor a través de un nombre de host aleatorio que termina con la falsa extensión de dominio .onion.

El protocolo se diseñó para esconder la dirección de IP real de un “servicio escondido” a sus clientes, así como esconder las direcciones IP de los clientes del servicio, haciendo así casi imposible para ambas partes determinar la posición o identidad del otro.

El tráfico entre un cliente Tor y un servicio escondido Tor está difrado, y se encamina aleatoriamente a través de una serie de ordenadores que participan en la red y que actúan como relés.

Utilizar Tor para albergar servidores de mando y control tipo botnet no es una idea nueva. Las ventajas e inconvenientes de tal enfoque se discutieron ya en una presentación en la 18 conferencia de seguridad DefCon en 2010.

Ejecuciones prácticas de este concepto también se han visto en el pasado. En diciembre investigadores de la firma de seguridad Rapid7 identificaron el botnet de Skynet de 12000 a 15000 ordenadores comprometidos que estaban recibiendo órdenes de un servidor IRC (Internet Relay Chat) funcionando como un servicio escondido Tor.  Los investigadores advertían que otros desarrolladores de malware probablemente adaptarían el mismo diseño.

Dos nuevos programas de malware descubiertos recientemente por ESET sugieren que la predicción era correcta.

“En julio investigadores de ESET detectaron dos tipos diferentes de botnets basados en TOR basados en las familias de malware Win32/Atrax y Win32/Agent.PTA”, afirmaron en un blog los investigadores de ESET Anton Cherepanov y Aleksandr Matrosov.

A diferencia de Skynet, los botnets Atrax y Agent.PTA utilizan servidores Web, no IRC, escondidos en la red Tor con propósito de mando y control.

Atrax puede bajar, ejecutar e inyectar ficheros malignos en procesos del navegador.  Su funcionalidad se puede extender con plug-ins que están cifrados localmente con una clave AES generada con parámetros del hardware de cada ordenador infectado.

Atrax viene con un componente cliente de Tor que consigue inyectarse en el navegador local para encaminar el tráfico de mando y control del malware por la red Tor.

Los investigadores de ESET pudieron engañar al servidor de mando y control de Atrax para que enviara dos plug-ins adicionales a un sistema de prueba infectado con el malware. Uno de ellos estaba diseñado para robar información de entrada en formularios Web y el otro podía robar contraseñas.

La otra amenaza identificada en julio, denominada Agent.PTA es parte de una familia de malware conocida desde 2012, afirmaron los investigadores de ESET. No obstante la funcionalidad Tor es una nueva capacidad añadida.

“Este año ya habíamos detectado botnets basados en TOR, pero durante el verano hemos observado un crecimiento en el número de familias de malware que empiezan a utilizar comunicaciones basadas en TOR”, afirmaron los investigadores de ESET.  Los botnets basados en TOR hacen realmente difícil la investigación y el seguimiento de la localización de los servidores de mando y control.

No obstante, aunque la localización de las direcciones IP de los servidores de mando y control es difícil cuando sólo se pueden acceder desde dentro de la red Tor, todavía podemos hacer el análisis de los protocolos de comunicación del malware y del tráfico de mando y control, afirmaron los investigadores.



Contenido Patrocinado

Fernando Rubio Román, CTO de Microsoft España. TECNOLOGÍA
Forma parte de nuestra comunidad

 

¿Te interesan nuestras conferencias?

 

 
Cobertura de nuestros encuentros
 
 
 
 
Lee aquí nuestra revista de canal

DealerWorld Digital