NETSCOUT Arbor alertó que los ciberactores y distribuidores de malware aprovechan las botshops para construir redes de distribución de malware con la finalidad de liberar malware para robo de credenciales, ransomware, troyanos bancarios, entre otros. Esto significa una mayor actividad de los delincuentes cibernéticos que anteriormente se vieron obstaculizados por las capacidades técnicas.
Esto enciende los focos rojos ya que recientemente los investigadores de ASERT (Arbor Security Engineering and Response Team) descubrieron la aparición de un “programa de descarga de malware” anunciado en foros clandestinos como parte de un programa beta público llamado Kardon Loader, el cual permite a cualquiera construir una red de distribución de malware por tan solo 50 dólares y ha agregado funciones de panel de control para que los compradores puedan iniciar su propia botshop.
Richard Hummel, especialista de ASERT en NETSCOUT Arbor, hizo hincapié en que una botshop es un servicio en línea donde los actores criminales que han acumulado una botnet de gran tamaño pueden vender el uso de sus bots a otros. “El objetivo principal de Kardon Loader es construir redes de distribución de malware con botnets, cuanto más grandes puedan construir estas botnets, más podrán monetizar”, aseguró.
Por lo regular, los “programas de descarga de malware” incluyen un panel de control que permite a los compradores interactuar con sus bots y enviar un malware de segunda fase. Adicional a este panel estándar de C&C, Kardon también viene con una botshop desarrollada, una característica inusual, que permite a los compradores de Kardon Loader original abrir una tienda en línea donde pueden vender el acceso a los bots que recolectan.
Kardon Loader fue puesto a la venta por un ciberactor con el nombre de usuario Yattaze a partir del 21 de abril de 2018, quien lo vende como una versión inical con cargos adicionales por cada versión adicional, o la capacidad de configurar una botshop en cuyo caso cualquier cliente puede establecer su propia operación y vender el acceso a una nueva base de clientes. La descripción de la familia de malware sugiere que este malware fue un cambio de nombre de la red zombi ZeroCool que previamente estaba desarrollando el mismo ciberactor.
Richard Hummel explicó que el cibercriminal comprará Kardon Loader y creará payloads con malware que generalmente empaquetarán para su distribución. Cuando construyan una botnet lo suficientemente grande emitirán comandos para actualizar el bot, descargar y ejecutar malware adicional, o bien crear tokens de acceso para que otros cibercriminales utilicen una parte de su botnet.
Por último, el experto indicó que se prevé una mayor cantidad de infecciones bot debido al aumento de dicha actividad, por lo que se deberán tomar las medidas de seguridad necesarias para identificar y bloquear las amenazas.