A principios de este año, los investigadores de seguridad de la firma antivirus Avast, que estaban monitoreando activamente las actividades de la botnet RETADUP, descubrieron una falla de diseño en el protocolo C&C del malware que podría haber sido explotada para eliminar el malware de la computadora de las víctimas sin ejecutar ningún código adicional.

Sin embargo, para hacer eso, el plan requería que los investigadores tuvieran control sobre el servidor C&C del malware, que estaba alojado con un proveedor de alojamiento ubicado en la región de Ile-de-France en el centro-norte de Francia.

Por lo tanto, los investigadores se comunicaron con el Centro de Lucha contra el Cibercrimen (C3N) de la Gendarmería Nacional Francesa a fines de marzo de este año, compartieron sus hallazgos y propusieron un plan secreto para poner fin al virus RETADUP y proteger a las víctimas.

Según el plan propuesto, las autoridades francesas tomaron el control del servidor RETADUP C&C en julio y lo reemplazaron con un servidor de desinfección preparado que abusó de la falla de diseño en su protocolo y ordenó que las instancias conectadas del malware RETADUP en las computadoras infectadas se autodestruyeran. .

«En el primer segundo de su actividad, varios miles de bots se conectaron a él para obtener comandos del servidor. El servidor de desinfección respondió a ellos y los desinfectó, abusando de la falla de diseño del protocolo C&C», explican los investigadores en una publicación de blog. publicado hoy.

«Al momento de publicar este artículo, la colaboración ha neutralizado más de 850,000 infecciones únicas de RETADUP».

Según Jean-Dominique Nollet , jefe del Servicio Nacional de Inteligencia Criminal de la Gendarmería Nacional, las autoridades mantendrán el servidor de desinfección en línea durante unos meses más ya que algunas computadoras infectadas aún no se han conectado con el servidor de C&C controlado por la policía, algunas han estado desconectado desde julio, mientras que otros tienen problemas de red.

 

RETADUP Malware

 

La policía francesa también contactó al FBI luego de encontrar algunas partes de la infraestructura de C&C de RETADUP en los Estados Unidos. El FBI los eliminó el 8 de julio, dejando a los autores de malware sin control sobre los bots.

«Dado que era responsabilidad del servidor de C&C dar trabajos de minería a los bots, ninguno de los bots recibió nuevos trabajos de minería para ejecutar después de este derribo», dicen los investigadores. «Esto significaba que ya no podían agotar el poder informático de sus víctimas y que los autores de malware ya no recibían ninguna ganancia monetaria de la minería».

Creado en 2015 y principalmente computadoras infectadas en toda América Latina, RETADUP es un malware de Windows multifuncional que es capaz de extraer criptomonedas utilizando la potencia informática de las máquinas infectadas, la infraestructura dirigida DDoSing utilizando el ancho de banda de las víctimas y la recopilación de información para el espionaje.

Hay varias variantes de RETADUP, algunas de las cuales se han escrito en Autoit o usando AutoHotkey. El malware ha sido diseñado para lograr la persistencia en las computadoras con Windows, instalar cargas de malware adicionales en las máquinas infectadas y también realizar periódicamente otros intentos de propagación.
RETADUP Malware
Además de distribuir malware de criptomonedas como carga útil, RETADUP, en algunos casos, también se ha encontrado difundiendo el ransomware Stop y el ladrón de contraseñas Arkei.

«El servidor de C&C también contenía un controlador .NET para un AutoIt RAT llamado HoudRat. Al observar las muestras de HoudRat, está claro que HoudRat es solo una variante de Retadup más rica en características y menos prevalente», descubrieron los investigadores después de analizar el incautado. Servidor C&C.

«HoudRat es capaz de ejecutar comandos arbitrarios, registrar pulsaciones de teclas, tomar capturas de pantalla, robar contraseñas, descargar archivos arbitrarios y más».

Al momento de publicar este artículo, las autoridades han neutralizado más de 850,000 infecciones únicas de Retadup, y la mayoría de las víctimas son de países de habla hispana en América Latina.

Fuente: thehackernews.com

Compartir