Un malware esconde su servidor de control en Dropbox

Share this…

Los piratas informáticos cada vez buscan nuevas técnicas con las que poder infectar a los usuarios sin levantar sospechas. Mientras que lo más habitual a la hora de controlar un malware de forma remota sea a través de un VPS controlado por los piratas informáticos donde se instala y configura un servidor C&C, con el auge de los servidores de almacenamiento en la nube, era de prever que los piratas informáticos no tardarían en buscar posibles formas de sacar provecho de esta tecnología. Finalmente, varios expertos de seguridad han encontrado un nuevo troyano que hace uso de la nube tanto para recibir órdenes como para alojar la información que roba de sus víctimas.

La empresa de seguridad FireEye ha detectado un nuevo tipo de troyano, concretamente una puerta trasera, que es capaz de esconder su servidor de comando y control (C&C) en Dropbox, plataforma de almacenamiento en la nube más utilizada en todo el mundo. Los piratas informáticos tras este malware tienen como principal objetivo los medios de comunicación de Hong Kong, los cuales infectan a través de campañas de phishing que llegan a dichos medios a través del correo electrónico.

En los correos electrónicos que reciben estos medios viene adjunto un documento de Word sobre temas de actualidad del país, el cual esconde un exploit que, al abrir el documento, aprovecha una vulnerabilidad en la suite ofimática de Microsoft, reconocida como CVE-2012-0158, a través de la cual consigue tomarse el control del sistema de la víctima e instalar este troyano, llamado Lowball.

Lowball es una sencilla, pero completa puerta trasera que, además de brindar acceso a los piratas informáticos al sistema infectado, es capaz de robar datos locales y subirlos a un servidor remoto, descargar nuevos archivos desde el servidor (actualizaciones de Lowball y otro malware) y ejecutar comandos de MS-DOS desde el terminal.

Según las características anteriores, este troyano no aporta nada que no pueda verse en cualquier otro troyano similar, y es que su principal característica es la forma que utilizan los piratas informáticos para controlarlo de forma remota. Según los investigadores de FireEye, todo el servidor de control se encuentra alojado en una cuenta personal de Dropbox bajo el nombre de admin@338.

Cuando Lowball infecta un ordenador, este envía toda la información que recopila de forma cifrada utilizando el protocolo HTTPS a través de la API de Dropbox al servidor asociado. Dentro de la misma cuenta de almacenamiento se crea una carpeta por cada víctima y dentro de esta se generan automáticamente varios scripts .bat para explotar diversas vulnerabilidades según el sistema operativo y la configuración del equipo de la víctima. Estas carpetas también se utilizan para almacenar todos los datos robados que envía el troyano desde el equipo infectado.

Dropbox con malware

La empresa de seguridad afirma que los piratas informáticos utilizan Lowball en primera instancia para identificar a los objetivos interesantes. Una vez que una de las víctimas de considera “de interés”, los piratas informáticos la infectan con un nuevo troyano backdoor, Bubblewrap, mucho más sencillo que Lowball y con mayor probabilidad de pasar desapercibido evitando así que los tests de seguridad puedan levantar cualquier sospecha.

A través de este nuevo troyano ya tienen un control más directo sobre las víctimas que ellos consideran interesantes y relevantes.

El malware avanza hacia la nube buscando aprovechar el potencial de servicios como Dropbox

Como podemos ver, Lowball es la primera aplicación que esconde su servidor de comando y control en Dropbox, una plataforma de almacenamiento de archivos en la nube que, aparentemente, es segura.

Aunque Lowball es el primer y único troyano capaz de hacer esto, no será el último. A partir de ahora, otros grupos de piratas informáticos comenzarán a buscar nuevas formas de utilizar, tanto Dropbox como otras plataformas de almacenamiento en la nube para controlar sus piezas de malware de forma remota y llevar a cabo así nuevas campañas de infección cada vez más peligrosas y descentralizadas dejando el menor posible rastro de identidad.

Fuente:https://www.redeszone.net/