En los últimos meses, una nueva red de bots basada en Golang dirigida a Windows ha estado atrapando a cientos de nuevos sistemas con cada servidor de comando y control (C&C) recién implementado, informa la firma de seguridad cibernética ZeroFox.
Apodado Kraken, la botnet puede descargar y ejecutar cargas útiles secundarias en los sistemas comprometidos, pero también es capaz de recopilar información, ejecutar comandos de shell, robar criptomonedas y tomar capturas de pantalla, además de mantener la persistencia.
Kraken apareció inicialmente en GitHub el 10 de octubre de 2021, con el código fuente anterior a todos los binarios observados. Sin embargo, no está claro si el operador de la botnet creó la cuenta de GitHub o simplemente robó el código.
La botnet se propaga a través de la puerta trasera SmokeLoader. Inicialmente, se estaba implementando como archivos RAR SFX autoextraíbles, pero ahora la puerta trasera descarga Kraken directamente.
La botnet intenta evadir la detección ejecutando dos comandos: uno para indicar a Microsoft Defender que no analice su carpeta de instalación y otro para establecer el atributo oculto en el archivo EXE copiado.
Además, Kraken establece una clave de registro de ejecución de Windows específica que garantiza que se ejecute cada vez que la víctima inicie sesión.
[LEER: El sofisticado botnet FritzFrog P2P regresa después de un largo descanso]
La botnet presenta un conjunto simple de capacidades, pero se observó que sus operadores agregaron nuevas características al malware, incluida la funcionalidad de recolección de información. También es capaz de descargar y ejecutar cargas útiles secundarias y actualizaciones de bots.
La amenaza también permite a los operadores ejecutar comandos de shell y toma capturas de pantalla al ejecutarse. Algunas de las compilaciones observadas presentaban la funcionalidad de fuerza bruta SSH que se eliminó.
Recientemente, los desarrolladores de Kraken agregaron la capacidad de robar fondos de una variedad de billeteras de criptomonedas. Los datos obtenidos de un grupo de minería de criptomonedas muestran que los operadores de la red de bots ganan aproximadamente $ 3,000 por mes.
Desde octubre de 2021, los ciberdelincuentes crearon múltiples versiones del panel de administración, y las más nuevas presentan un rediseño completo y ofrecen más estadísticas e información, así como opciones adicionales a la hora de seleccionar objetivos.
Según ZeroFox, debido a que los operadores de Kraken usan SmokeLoader para la entrega, se agregan cientos de nuevos bots a la red cada vez que cambian el servidor de C&C.
“Los comandos de monitoreo enviados a las víctimas de Kraken desde octubre de 2021 hasta diciembre de 2021 revelaron que el operador se había centrado por completo en empujar a los ladrones de información, específicamente RedLine Stealer. Actualmente se desconoce qué pretende hacer el operador con las credenciales robadas que se han recopilado o cuál es el objetivo final para crear esta nueva botnet”, concluye ZeroFox.
Relacionado: Abcbot DDoS Botnet vinculado a una campaña de cryptojacking anterior
Relacionado: La red de bots 'Manga' basada en Mirai apunta a una vulnerabilidad reciente de TP-Link
Relacionado: Una botnet masiva de Android llega al ecosistema de anuncios de Smart TV
Ionut Arghire es corresponsal internacional de SecurityWeek.
Tags:
