La red de bots se remonta a un grupo que llama ShuangQiang (también llamado Double Gun ), que ha estado detrás de varios ataques desde 2017 destinados a comprometer las computadoras con Windows con bootkits MBR y VBR , e instalar controladores maliciosos para obtener ganancias financieras y secuestrar el tráfico web a e -comercios de comercio.

Además de usar imágenes cargadas en Baidu Tieba para distribuir archivos de configuración y malware, una técnica llamada esteganografía, el grupo comenzó a usar el almacenamiento de Alibaba Cloud para alojar archivos de configuración y la plataforma de análisis de Baidu Tongji para administrar la actividad de sus hosts infectados, dijeron los investigadores. .

El compromiso inicial se basa en atraer a los usuarios desprevenidos para que instalen software de lanzamiento de juegos desde portales de juegos incompletos que contienen código malicioso bajo la apariencia de un parche.

Malware de botnet chino

Una vez que el usuario descarga e instala el parche, accede a la información de configuración antes mencionada para descargar un programa separado llamado «cs.dll» de Baidu Tieba que se almacena como un archivo de imagen.

En las etapas posteriores, «cs.dll» no solo crea un ID de bot y lo informa al servidor controlado por el atacante, sino que también inyecta un segundo controlador que secuestra los procesos del sistema (por ejemplo, lassas.exe y svchost.exe) en para descargar las cargas útiles de la siguiente etapa para avanzar en los motivos del grupo.

Los investigadores de Qihoo también detallaron una segunda cadena de infección en la que el software del cliente del juego se altera con bibliotecas maliciosas (una versión modificada de photobase.dll), utilizando un método llamado secuestro de DLL para liberar y cargar el controlador malicioso antes de cargar el módulo legítimo.

La compañía dijo que contactó al equipo de seguridad de Baidu el 14 de mayo y que tomaron medidas conjuntas para evitar una mayor propagación de la botnet al bloquear todas las descargas de las URL involucradas.

«Durante esta operación conjunta, a través del análisis, el intercambio y la respuesta de información sobre amenazas, hemos logrado comprender mejor los medios técnicos, la lógica y las reglas de la pandilla Double Gun», dijo Baidu.

Fuente y redacción: thehackernews.com

Compartir