Análisis de amenazas

Botnet Geost: la red maliciosa que accedió a miles de cuentas bancarias

Jeff Elder, 3 octubre 2019

Los errores de seguridad expusieron un sindicato criminal que accedió a millones de euros en las cuentas bancarias de aproximadamente 800,000 víctimas

Un grupo de compañeros de trabajo en Skype charlan sobre los viejos tiempos, cuánto dinero ganan ahora y la moral caída. "Me estoy desmotivando y no quiero hacer nada", le dice uno al grupo. 

¿Otro día en la vida de los trabajadores tecnológicos? De alguna manera, con una gran diferencia. Este grupo trabajó para apoyar una red de bots maliciosa que accedía a millones de euros en las cuentas bancarias de aproximadamente 800,000 víctimas. 

El equipo de Avast Threats Lab ha ayudado a retirar el telón de la botnet Geost, que utilizó 13 servidores de comando y control para ejecutar cientos de dominios maliciosos. La botnet saqueó las cuentas bancarias en Rusia hasta que, en un giro irónico, los fallos de seguridad cibernética dejaron al descubierto toda la operación, incluido lo que los desarrolladores que trabajan en la empresa criminal se dijeron en línea. 

"Realmente obtuvimos una visión sin precedentes de cómo funciona una operación como esta", dijo Anna Shirakova, investigadora de Avast que ayudó a exponer al grupo criminal. "Debido a que este grupo tomó algunas decisiones muy malas sobre cómo intentó ocultar sus acciones, pudimos ver no solo muestras del malware , sino también profundizar en cómo funciona el grupo".

La botnet Geost utilizó una infraestructura compleja de teléfonos Android infectados que estaban conectados a la botnet y controlados de forma remota. Los atacantes accedieron a textos, enviaron textos, se comunicaron con bancos y redirigieron el tráfico de los teléfonos a diferentes sitios. 

Un trabajo de investigación de Shirokova, Sebastián García, de la Universidad Técnica Checa de Praga, y María José Erquiaga, de la Universidad UNCUYO, ofrece una visión poco común de una operación de delito cibernético que se desmorona debido a sus propios errores de seguridad en las operaciones. 

Los hackers confiaron en una red proxy maliciosa, no pudieron encriptar los servidores de comando y control; servicios de seguridad reutilizados; confiaba en otros atacantes que practicaban aún menos seguridad operativa; y no pudo encriptar las sesiones de chat.

"En resumen, una cadena de pequeños errores fue suficiente para revelar el funcionamiento de una gran botnet bancaria de Android", escribieron los autores en el trabajo de investigación. 

Esas sesiones de chat brindan una oportunidad de volar sobre la pared para escuchar a los seres humanos dentro de un vasto sindicato criminal de Internet. En el caso del trabajador "desmotivado", un colega lo insta a continuar con un concierto gratificante:

“Alexander, realmente, si comenzamos juntos, necesitamos terminarlo. Porque por ahora esto está funcionando y podemos ganar dinero ”. 

Pero sus súplicas caen y su compañero de trabajo declara: "Lo pensé y no estoy".

El alentador colega responde: “Comprende, está bien. Vergüenza. Si cambias de opinión, escríbeme. 

“La visión muy interesante de las relaciones sociales dentro de un grupo de cibercriminales clandestinos” involucró más de 6,200 líneas, cubriendo ocho meses de chats, y mostró las conversaciones privadas de 29 personas involucradas en diferentes operaciones. 

A pesar de estar operativo desde al menos 2016, la botnet Geost permaneció desconocida hasta que su tráfico fue capturado por el malware HtBot en el servidor malicioso. Los investigadores presentan su artículo (en inglés) en la conferencia Virus Bulletin en Londres. Avast Threats Lab continuará monitoreando diferentes aspectos de la operación.