Malware L0rdix en la dark web; roba datos, mina criptodivisas y esclaviza PCs como botnet.

Malware

Como es habitual en el mundo de la ciberseguridad; ha aparecido una nueva herramienta que se difunde en foros clandestinos de la Dark Web, dicha herramienta permite a los ciberdelincuentes atacar computadoras con sistema operativo Microsoft Windows. El malware denonimado L0rdix, se ha convertido en la herramienta universal más novedosa para atacar a una máquina con Windows, esto debido a que presenta una combinación absolutamente letal de robo de datos, criptomineria y capacidades de espionaje.

Ha sido descubierto por Ben Hunter, un reconocido investigador de seguridad de ENSILO, el malware está siendo comercializado de manera persistente por 4000 Rublos ($ 60.96) en los foros de Dark Web. Escrito en .NET y cuenta con un panel que hace que el trabajo sea aún más fácil para los piratas informáticos que buscan comprometer una máquina con Windows.

L0rdix permite a los atacantes obtener información completa sobre la PC seleccionada. Después de recibir la información requerida, los atacantes pueden ejecutar comandos, cargar archivos y realizar otras actividades maliciosas, incluida la carga de módulos de minería. También es capaz de evadir el escaneo de malware. Los investigadores de ciberseguridad de ENSILO explicaron en su blog oficial que:

"Está destinado a infectar máquinas basadas en Windows, combina métodos de minería y es capaz de evitar las herramientas de análisis de malware".

Esto lo consigue empleando nombres de las herramientas comunes de análisis de malware y utilizando las consultas de WMI para verificar la cadena. De esta manera, el malware puede determinar si se está ejecutando en un entorno virtual.

Hunter ha descubierto que es una herramienta relativamente nueva, y parece que aún está en desarrollo. No obstante, muchas de sus funciones ya están implementadas. El objetivo principal detrás del diseño de este malware es explotar la criptomoneda sin ser detectado. Para permanecer ofuscado, el malware utiliza el ofuscador ConfuserEX mientras que en algunas muestras también se identificó el ofuscador .NETGuard.

Adicionalmente, L0rdix puede realizar una variedad de análisis estándar para detectar entornos virtuales y entornos aislados, las principales herramientas en las que confían los investigadores de seguridad para detectar malware.

"Las comprobaciones menos comunes realizadas por L0rdix incluyen procesos de búsqueda que cargan sbiedll.dll, que pertenece al producto Sandboxie, y aspiran a aumentar sus posibilidades de evitar la ejecución en una sencilla herramienta de entorno virtual gratuita", explica Hunter.

Después de infectar una máquina, L0rdix puede extraer información sobre la versión del sistema operativo que se ejecuta en la máquina, el modelo de CPU, la ID del dispositivo, los productos antivirus instalados en la PC y los privilegios de usuario existentes. Los datos se envían al servidor de C&C en forma encriptada por el malware junto con la captura de pantalla de la computadora. Los archivos y los ajustes de configuración de L0rdix se actualizan en la máquina y se determina si el cifrado y el robo de datos se pueden realizar en el dispositivo o no. Es decir, el malware realiza una evaluación de la victima y determina si es viable comprometer la maquina.  

Como si fuera poco, L0rdix también infecta unidades extraíbles en la PC y se asigna a sí mismo sus iconos, mientras que los archivos y directorios originales de la unidad permanecen ocultos. Esto se hace para garantizar que el malware se ejecute cuando el usuario hace doble clic en cualquier otra máquina. El malware también se copió en diferentes áreas como las tareas programadas para mantener la persistencia. Puede actuar como una botnet esclavizando la PC objetivo y usarla para realizar domain flooding en ataques DDoS.

Para finalizar, cabe mencionar que L0rdix puede ejecutar comandos cmd, eliminar procesos específicos y cargar / ejecutar nuevas cargas útiles. Eso no es todo; también busca portapapeles de Windows para identificar cadenas de carteras de criptomonedas y, si las encuentra, envía la información al servidor de C&C. Las actividades del portapapeles se monitorean para Monero, Bitcoin, Litecoin, Ripple, Ethereum y Doge, mientras que para los navegadores Chrome, Opera, Orbitum, Comodo y Torch L0rdix está apuntando extraer información de cookies.

Síguenos en FacebookTwitterunete a nuestro chat en Discord y no olvides compartirnos en las redes sociales. También puede hacernos una donación o comprar nuestros servicios.

 

Acerca del autor

Fredy Yesid Avila - Ingeniero de Sistemas, CEH - ECSA.

@fredyavila