En
los últimos meses Hispasec ha colaborado con ESET en desmantelar una botnet
dedicada al robo de información, que en el 98% de los casos afectaba a usuarios
latinoamericanos.
Todo empezó con el descubrimiento
de Liberpy, una familia de "keyloggers"
que una vez instalado en un sistema envía un reporte de todo lo que el usuario
teclea y de los movimientos del ratón a un servidor controlado por los
atacantes. De esta forma el malware conseguía robar credenciales, cuentas bancarias
y otra información directamente desde las máquinas de los usuarios.
Tras un análisis más profundo
sobre el malware, se pudo descubrir que se trataba de una serie de scripts en Python compilados con Pyinstalller (herramienta
para convertir scripts en archivos
ejecutables, en parte similar a py2exe). Así se pudo descubrir
que Liberpy, además de actuar como keylogger, también tenía características de
bot y de gusano.
Hispasec colaboró con la compañía
de antivirus ESET para lograr realizar un Sinkhole de la botnet, lo que permitió
en primera instancia, dimensionar parte de su tamaño y además, coordinar el
cese de las operaciones de estos cibercriminales.
Con una idea más clara del uso de
esta familia de malware, los sitios desde los cuales se propagó y hacia dónde
enviaba la información teníamos todos los datos necesarios para intentar desmantelar
esta botnet, y así desactivar las acciones de estos cibercriminales en la
región. De esta forma, junto con ESET coordinamos y planificamos las acciones a
seguir para el reporte y baja de las URLs en cuestión.
 |
| Fuente: Informe ESET |
Vídeo en el que ESET describe la
Operación Liberpy
ESET ha publicado un completo
informe en el que se detallan todos los detalles técnicos del keylogger, acciones
realizadas, estadísticas, etc.
Más información:
Operación Liberpy: keyloggers en
Latinoamérica
Operación Liberpy: Keyloggers
y robo de información en Latinoamérica
Operation Liberpy’:Keyloggersand information
theft in LatinAmerica
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario