Botnet: Win32/Georbot

No inicio deste ano a equipa de investigação da ESET descobriu uma botnet que tem capacidades muitos interessantes de comunicação. Entre outras actividades, tenta roubar documentos e certificados, é capaz de criar gravações áudio e vídeo e analisa a rede local em busca de diversas informações. Curiosamente, utiliza um site governamental Georgiano para actualizar as informações command and control e os investigadores da ESET acreditam que o Win32/Georbot está a atacar principalmente os utilizadores localizados na Geórgia.

Uma característica pouco comum deste programa malicioso, é que procura com ficheiros de configuração alusivos ao Remote Desktop permitindo ao atacante o roubo de ficheiros para carregá-los posteriormente para máquinas remotas sem explorar qualquer vulnerabilidade. O que é mais preocupante no que concerne ao desenvolvimento deste malware, é que a ESET descobriu novas variantes que datam de 20 de Março.

O Win32/Georbot vem com um mecanismo de actualização que o permite transformar em novas versões, com o intuito de não ser detectado pelas soluções antivírus. O bot tem também um mecanismo de segurança para o caso de não conseguir comunicar com o servidor C&C (Command-and-Control). Nesse caso ele irá ligar-se a uma página web especial que foi colocada num sistema alojado pelo Governo Georgiano.

“Isto não significa que o Governo da Geórgia esteja envolvido. Muitas vezes as pessoas não têm noção que os seus sistemas estão comprometidos”, afirma Pierre-Marc Bureau, ESET Security Intelligence Program Manager. “Importa também salientar que a Data Exchange Agency of the Ministry of Justice of Georgia e o CERT estão a par desta situação desde 2011 e estão a trabalhar com a ESET na análise deste problema”.

De todos os servidores infectados, 70% estão localizados na Geórgia e os restantes nos Estados Unidos, Alemanha e Rússia

Os investigadores da ESET conseguiram também ter acesso ao painel de controlo do bot, conseguindo detalhes acerca do número de máquinas infectadas, a sua localização e os comandos enviados. A informação mais interessante encontrada no painel de controlo tem uma lista das palavras-chave que foram usadas nos documentos presentes nos ficheiros infectados. Entre as palavras inglesas encontram-se termos como “ministry, service, secret, agent, USA, Russia, FBI, CIA, weapon, FSB, KGB, phone, number”.

O facto que esta botnet utiliza um site Georgiano para actualizar as informações C&C, revela que os habitantes desse país são os alvos principais desta ameaça. Por outro lado, o nível de sofisticação desta ameaça é baixo. Os investigadores da ESET consideram que se esta operação tivesse sido patrocinada pelo Estado, seria bastante mais avançada e robusta. A hipótese mais provável, é que o Win32/Georbot foi criado por um grupo de criminosos que pretendiam obter informações confidenciais para as venderem posteriormente a algumas organizações.

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

two × 4 =