Victory Gate

Una amenaza descubierta por ESET en Latinoamérica

¿Qué es VictoryGate?

VictoryGate es el nombre que los investigadores de ESET le han dado a una botnet no documentada previamente que ha estado activa al menos desde mayo de 2019. Desde entonces, se han identificado tres variantes de su módulo inicial y apróximadamente 10 payloads que son descargados por el equipo de la víctima desde sitios de file hosting en Internet.

 

Propagación a través de dispositivos USB

El principal vector de propagación son pendrives infectados que, a primera vista, no resultan sospechosos. Estos dispositivos USB contienen una cierta cantidad de archivos maliciosos que reemplazan a todos los que estaban previamente contenidos en él, empleando el mismo nombre de archivo y el mismo ícono. La ejecución de cualquiera de estos archivos maliciosos instalará el malware en el equipo de la víctima. A partir de ese momento, el equipo se convierte en un bot y comenzará a recibir comandos del servidor de Comando y Control (C&C) de los cibercriminales. Finalmente, el software que ha sido instalado, comenzará a infectar a cualquier pendrive limpio que se le conecte, completando el círculo para lograr multiplicarse. La realidad es que aún continúan en circulación en los países afectados muchos dispositivos USB que están infectados y no se espera que su número se disminuya en lo inmediato, de ahí la importancia de considerar esta amenaza como un riesgo al momento de operar con este tipo de dispositivos.

 

Minería de criptomonedas

La finalidad de esta botnet ha sido la criptominería en los equipos infectados, en este caso particular usando Monero; una criptomoneda que se adopta cada vez con más frecuencia en la región y en el mundo, y que dadas sus características los cibercriminales la utilizan de forma cada vez más intensiva dentro de sus campañas maliciosas. Monero, sin ser una tecnología maliciosa, les ofrece mayor anonimato a los cibercriminales y hace que sea difícil determinar los montos de dinero generados. Pueden leer más sobre esta tendencia aquí.

 

¿Cómo funciona?

Infección y movimiento lateral

Como se mencionó anteriormente, la víctima recibe un pendrive infectado con una cierta cantidad de archivos maliciosos que intentan reemplazar a aquellos que estaban contenidos originalmente en él. En la Figura 1. se puede observar un ejemplo.

Figura 1. Comparación entre un dispositivo limpio y uno infectado

Como se puede observar, el tipo de archivo ha sido modificado. Todos los archivos de propagación son scripts desarrollados en el lenguaje de programación AutoIt que han sido compilados en ejecutables de Windows. Lógicamente, los nombres e íconos varían según cada pendrive, por lo que el proceso de compilación de estos archivos maliciosos debe ser dinámico, utilizando una plantilla como la que se observa en la Figura 2.

Figura 2. Plantilla utilizada por VictoryGate para compilar los scripts de propagación 

La ejecución de cualquiera de estos archivos por parte del usuario hará que se ejecute tanto el archivo original que se desea abrir, así como el módulo inicial de la amenaza, ambos escondidos en una carpeta oculta (marcada con atributos de sistema) en la raíz de la unidad de almacenamiento extraíble.

Figura 3. Script de propagación ejecutando un archivo legítimo junto al payload escondido

De esta manera, cuando el módulo de la amenaza es ejecutado, se copiará a si mísmo en el disco duro del equipo al que se encuentra conectado el pendrive.

Envío de comandos y descarga de payloads

Una vez que el equipo de la víctima es añadido a la botnet, comenzará a consultar periódicamente al servidor C&C, esperando recibir comandos. Estos comandos le pueden indicar a la víctima que descargue y ejecute un cierto archivo malicioso de internet. Si bien sólo se han observado minerios binarios siendo distribuídos por esta botnet, esta funcionalidad no era limitada. El atacante tiene control total sobre el equipo infectado. Ejemplo de un comando de descarga y ejecución enviado por el C&C:

Persistencia

Los mecanismos de persistencia son realmente simples. Por un lado, se crearán accesos directos a los archivos maliciosos en la carpeta de inicio de Windows y, por el otro, se creará una tarea programada para ejecutar al minero binario.

 

¿Cuál es el impacto?

Dado que la propagación es física y lo relativamente reciente de la aparición de la amenaza es esperable que la amenaza se encuentre más concentrada en una determinada región geográfica. Este es el caso de Perú, que registra hasta el 96% de las conexiones con el servidor C&C como se observa en la figura 4.

Figura 4. Distribución y alcance de la amenaza 

Esta información pudo ser obtenida ya que ESET registró dominios que estaban dentro del código de la amenaza. Esto permitió establecer un sumidero DNS y realizar un seguimiento preciso de la amenaza. Más allá de la alta concentración en un solo país, es importante estar atentos a este tipo de propagaciones; ya vimos con amenazas anteriores como HoudRAT, como puede ir creciendo la propagación en diferentes países en pocos meses.

Impacto en el equipo de la víctima

El impacto en el equipo de la víctima depende del payload que sea distribuído por la botnet. Sin embargo, en base a los payloads analizados, en líneas generales se puede decir que los principales efectos tienen que ver con:

  • Ralentización del equipo
  • Mayor consumo eléctrico
  • Gasto de la vida útil del hardware

Esto se debe directamente a las actividades de criptominería.

Disrupción de la botnet

ESET colaboró con distintas organizaciones para limitar la actividad de esta botnet en la región. Por un lado, colaboró con No-IP – empresa que permite registrar subdominios de forma gratuita – para dar de baja los subdominios utilizados para contactar a los servidores C&C. Por otro lado, colaboró con ShadowServer Foundation – ONG que facilita información sobre riesgos y amenazas presentes en internet a proveedores de internet y gobiernos – para alertar a las autoridades y facilitarles las direcciones IP de las redes infectadas por esta campaña. Sin embargo, esto no significa que VictoryGate haya desaparecido. Los pendrives infectados continuarán circulando e infectando nuevos equipos. Aunque uno de los resultados alcanzados es que ya no reciban comandos por parte de los cibercriminales y, por ende, no descarguen payloads maliciosos. Los equipos que fueron infectados previo a la disrupción continuarán minando para los cibercriminales mientras que éstos no sean desinfectados.

Autor
Alan Warburton
Security Intelligence

Abrir chat
1
¿Necesitas ayuda?
Hola👋
¿En qué podemos ayudarte?
Powered by