Permiten construir redes de bots con sólo 50 dólares.
Las botshops, son tiendas virtuales que comercializan de manera clandestina redes de bots que son utilizados para distribuir malware, facilitan de manera significativa la actividad de la ciberdelincuencia pues además de ofrecer servicios cada vez más asequibles les otorgan facilidades técnicas.
Ejemplo de ello es el programa de descarga de malware llamado Kardon Loader que se anuncia en foros clandestinos y que permite prácticamente a cualquier persona construir una red de distribución de malware por tan sólo 50 dólares, incluyendo funciones de panel de control para que los compradores puedan iniciar su propia botshop.
La firma de ciberseguridad, NETSCOUT Arbor advirtió que tanto los ciberactores como los distribuidores de software malicioso aprovechan los servicios de las botshops para construir redes de distribución con la finalidad de liberar malware para robo de credenciales, ransomware y troyanos bancarios, entre otros.
“El objetivo principal de Kardon Loader es construir redes de distribución de malware con botnets, cuanto más grandes puedan construir estas botnets, más podrán monetizar”, explicó Richard Hummel, especialista de ASERT en NETSCOUT Arbor.
La firma de seguridad informática refirió que los programas de descarga de malware incluyen un panel de control que permite a los compradores interactuar con sus bots y enviar un malware de segunda fase, y además pueden tener un panel estándar de C&C.
En el caso de Kardon los creadores incluyen una caracterísica inusual: una botshop desarrollada que permite a los compradores abrir una tienda en línea donde pueden vender a su vez el acceso a los bots que recolectan.
«Kardon Loader fue puesto a la venta por un ciberactor con el nombre de usuario Yattaze a partir del 21 de abril de 2018, quien lo vende como una versión inical con cargos adicionales por cada versión adicional, o la capacidad de configurar una botshop en cuyo caso cualquier cliente puede establecer su propia operación y vender el acceso a una nueva base de clientes», refirió NETSCOUT Arbor.
La descripción de la familia de malware sugiere que este software malicioso fue un cambio de nombre de la red zombi ZeroCool que previamente estaba desarrollando el mismo ciberactor.
Richard Hummel explicó que una vez que el cibercriminal adquiere Kardon Loader puede crear payloads con malware que puede empaquetar para su distribución, cuando logra tener una botnet lo suficientemente grande es capaz de emitir comandos para actualizar el bot, descargar y ejecutar malware adicional, o bien crear tokens de acceso para que otros cibercriminales utilicen una parte de su botnet.
En este contexto, el experto indicó que se prevé una mayor cantidad de infecciones bot debido al aumento de dicha actividad, por lo que se deberán tomar las medidas de seguridad necesarias para identificar y bloquear las amenazas.
C$T-GM