La firma de seguridad china Qihoo 360 Netlab dijo que se asoció con el gigante tecnológico Baidu para interrumpir una botnet de malware que infecta a cientos de miles de sistemas.
El botnet se remonta a un grupo al que llama ShuangQiang (también llamado Double Gun), que ha estado detrás de varios ataques desde 2017 destinados a comprometer las computadoras con Windows con bootkits MBR y VBR, e instalar controladores maliciosos para obtener ganancias financieras y secuestrar el tráfico web para e. -sitios de comercio.
Además de usar imágenes cargadas en Baidu Tieba para distribuir archivos de configuración y malware, una técnica llamada esteganografía, el grupo comenzó a usar el almacenamiento en la nube de Alibaba para alojar archivos de configuración y la plataforma de análisis Tongji de Baidu para administrar la actividad de sus hosts infectados, dijeron los investigadores. .
El compromiso inicial se basa en atraer a los usuarios desprevenidos para que instalen software de lanzamiento de juegos desde portales de juegos incompletos que contienen código malicioso bajo la apariencia de un parche.
Una vez que el usuario descarga e instala el parche, accede a la información de configuración antes mencionada para descargar un programa separado llamado «cs.dll» de Baidu Tieba que se almacena como un archivo de imagen.
En las etapas posteriores, «cs.dll» no solo crea una ID de bot y la informa al servidor controlado por el atacante, sino que también inyecta un segundo controlador que secuestra los procesos del sistema (por ejemplo, lassas.exe y svchost.exe) en para descargar las cargas útiles de la próxima etapa para avanzar en los motivos del grupo.
Los investigadores de Qihoo también detallaron una segunda cadena de infección en la que el software del cliente del juego se altera con bibliotecas maliciosas (una versión modificada de photobase.dll), utilizando un método llamado secuestro de DLL para liberar y cargar el controlador malicioso antes de cargar el módulo legítimo.
La compañía dijo que se comunicó con el equipo de seguridad de Baidu el 14 de mayo y que juntos tomaron medidas para evitar una mayor propagación de la botnet al bloquear todas las descargas de las URL involucradas.
«Durante esta operación conjunta, a través del análisis, el intercambio y la respuesta de información sobre amenazas, hemos formado una mejor comprensión de los medios técnicos, la lógica y las reglas de la pandilla Double Gun», dijo Baidu.
