Los creadores de malware de Lunar no son únicos: hay muchas variedades de "creadores de capturadores" disponibles en línea.
A veces, cuando estás investigando, te topas con algo inesperado. Eso es lo que le sucedió al equipo de Avast cuando investigaban el ransomware . Encontraron algo que parecía un ransomware normal, pero hubo algunas cosas raras que les llamaron la atención. El primero: la tarifa de rescate solicitada fue de solo $25.
Luego de una mayor investigación, el equipo descubrió que este malware estaba encriptando archivos y renombrándolos con la extensión "LUNAR". También encontraron otro malware en la familia, pero en lugar de ransomware eran ladrones de información y criptomineros.
El equipo estaba confundido: esta familia de malware no estaba en la línea de las cosas habituales con las que se encuentran. ¿Por qué alguien se tomaba el tiempo para crear y difundir algo que tenía una posibilidad de ganancias tan baja? ¿Y por qué la variedad?
Siguieron investigando y encontraron un servidor Discord dedicado a una familia de malware "Lunar", que rápidamente determinaron que era un producto de "malware como servicio". El malware como servicio es una tendencia reciente que permite a las personas piratear a otros sin ninguna habilidad técnica o de programación. Se trata básicamente de piratería plug-and-play para quien esté interesado, y sólo requiere que los usuarios determinen detalles como un ícono personalizado o un binario para usar como portador del código malicioso.
El creador del malware lo vendía en el servidor de Discord, aceptaba sugerencias de los clientes e incluso organizaba obsequios. Los miembros de la comunidad compartían complementos entre sí o, a veces, simplemente pasaban el rato para chatear. Y a medida que el equipo de Avast pasó más tiempo en la comunidad, observando su comportamiento y vocabulario, se dieron cuenta de algo sorprendente: la mayoría de los miembros eran menores de entre 11 y 16 años.
“Suponemos que esta es exactamente la razón por la que el autor de Lunar, conocido en Discord como Nex, anuncia precios bajos (5-25 EUR) para acceder a su generador de malware”, dice Jan Holman, investigador de malware de Avast. "Esta hipótesis también está respaldada por el hecho de que gran parte de la funcionalidad del malware, y definitivamente la mayoría de los complementos enviados por otros miembros de la comunidad, están destinados a molestar a las víctimas en lugar de causar un daño real".
También se dieron cuenta de que, si bien el generador de malware Lunar incluía opciones como contraseñas y robo de información, criptominería y ransomware, eso no era lo que anunciaban principalmente. En cambio, se centraron en funciones como robar cuentas de juegos, eliminar carpetas de Fortnite o Minecraft o abrir repetidamente un navegador web con Pornhub.
En otras palabras: bromas que podrían interesar a los adolescentes.
¿Cómo funciona el malware como servicio?
Los creadores de malware de Lunar no son únicos: hay muchas variedades de "creadores de capturadores" disponibles en línea. Por lo general, son campañas de malware de corta duración basadas en un código fuente de GitHub o incluso de algún otro creador, renombradas con un nuevo logotipo y nombre y, a veces, ligeramente ajustadas o modificadas con nuevas funciones.
Si bien varían un poco en la funcionalidad que ofrecen, la funcionalidad que brindan y la ofuscación utilizada, todos son fundamentalmente iguales. Tienen GUI similares basadas en .NET con diseños, paletas de colores, nombres y logotipos ligeramente diferentes. Aún así, ofrecen la misma función principal: generar muestras de malware personalizadas al marcar algunas casillas de verificación y completar algunos campos de formulario.
El equipo de Avast ha visto muchos constructores similares a Lunar, como Itr0ublveTSC, Mercurial, Snatch, HideGrabber, PirateStealer, AsteroidLLC, Stely, Viny, Rift, etc. Estos constructores comparten código y tienen un modus operandi similar. Los otros constructores también tienen grupos y comunidades similares en línea.
Discord confirmó que toman medidas para abordar este tipo de comunidades y prohibió los servidores asociados con los hallazgos de Avast.
¿Malware como comunidad?
Una vez que los adolescentes tienen el software malicioso como generador, deben descubrir cómo implementarlo, una tarea en la que la comunidad suele ayudar. Pueden disfrazar el malware como juegos crackeados o hacks de juegos o hacerlos pasar desapercibidos usando íconos y nombres de archivo de ejecutables de juegos legítimos. A veces incluso los agrupan con binarios benignos reales, esencialmente ocultando el código malicioso en el dispositivo de la víctima.
También atraen a las víctimas a través de cosas como videos de "anzuelo" (clickbait) en YouTube, alentando a las personas a descargar los medios deseados. Una vez que el atacante tiene el video configurado, lo publica en el servidor de Discord y todos los demás miembros de la comunidad lo comentan, proporcionando validación social para las posibles víctimas. Incluso llegan a "advertir" a las víctimas que su antivirus podría bloquearlo y dan instrucciones sobre cómo dejar pasar el archivo permitiendo excepciones (sitio en inglés).
“Advertimos encarecidamente sobre la descarga de software pirateado y trucos de juegos y, especialmente, contra la ignorancia de las advertencias antivirus y la creación de excepciones para dichos programas”, dice el investigador de malware de Avast, Jan Holman. “Si su programa AV marca un keygen (sitio en inglés) o un juego descifrado como malware, es probable que realmente contenga malware. No es trabajo del AV preocuparse por la legalidad de su software”.
Pero si bien parece haber apoyo de la comunidad, también hay muchos conflictos. El equipo de Avast observó luchas internas, inestabilidad, acoso potencial y miembros que robaban el código de los demás y lo vendían ellos mismos. Estas comunidades tienden a estallar y desaparecer rápidamente, ya que los constructores se aburren o la negatividad del grupo se vuelve demasiado.
Cuando se trata de amenazas reales, el impacto de este grupo es relativamente bajo. El equipo de Avast no planeó dedicarle mucho tiempo, pero decidió compartir sus hallazgos específicamente porque las personas involucradas, tanto los perpetradores como las víctimas, son principalmente menores de edad.
Eso queda muy claro en las conversaciones, que incluyen bromas abiertas sobre la edad, comentarios como "No quiero usar el paypal de mi mamá" y conversaciones sobre hacerse cargo del dispositivo de un maestro durante la clase. Discord compartió con Avast que aconsejan a los padres que ayuden a adaptar la configuración del menor para evitar que reciban mensajes de extraños. Se pueden encontrar más consejos de seguridad para padres en el blog de Discord .
“Estas comunidades pueden parecer atractivas para los niños, ya que la piratería se considera genial y los creadores de malware brindan una oportunidad barata y fácil de 'piratear' a alguien y alardear de ello ante sus compañeros”, dice Holman. “También pueden ofrecer la oportunidad de aprender un poco de programación; la comunidad es algo útil en esa área. Sin embargo, estos actos siguen siendo ilegales y merecen ser señalados”.
El equipo de Threat Labs también señala que la seguridad operativa en estos grupos era deficiente, con cuentas de redes sociales fácilmente accesibles o información personal compartida directamente en el chat. Y, por último, si bien las acciones realizadas por los perpetradores podrían verse como bromas infantiles, también podrían poner a sus víctimas (y a los padres de sus víctimas, si comparten dispositivos) en peligro real, lo que podría exponer sus datos confidenciales a los ciberdelincuentes profesionales.
Luego del descubrimiento y análisis del servidor por parte de Avast Threat Labs, los investigadores notificaron a Discord, quien luego desconectó el servidor.