viernes, 11 de septiembre de 2015

Desmantelan la Operación Liberpy de robo de información en Latinoamérica.

Desmantelan la Operación Liberpy de robo de información en Latinoamérica.

Se ha desmantelado una botnet dedicada al robo de información, que en el 98% de los casos afectaba a usuarios latinoamericanos.
La Operación Liberpy abarca un período de más de 8 meses de actividades de una botnet en Latinoamérica, sus acciones, campañas de propagación, técnicas de persistencia y los pasos que se han llevado a cabo para desmantelarla.

Todo empezó con el descubrimiento de Liberpy, una familia de "keyloggers" que una vez instalado en un sistema envía un reporte de todo lo que el usuario teclea y de los movimientos del ratón a un servidor controlado por los atacantes. De esta forma el malware conseguía robar credenciales, cuentas bancarias y otra información directamente desde las máquinas de los usuarios.

Tras un análisis más profundo sobre el malware, se pudo descubrir que se trataba de una serie de scripts en Python compilados con Pyinstalller (herramienta para convertir scripts en archivos ejecutables, en parte similar a py2exe). Así se pudo descubrir que Liberpy, además de actuar como keylogger, también tenía características de bot y de gusano.

Hispasec colaboró con la compañía de antivirus ESET para lograr realizar un Sinkhole de la botnet, lo que permitió en primera instancia, dimensionar parte de su tamaño y además, coordinar el cese de las operaciones de estos cibercriminales.

Con una idea más clara del uso de esta familia de malware, los sitios desde los cuales se propagó y hacia dónde enviaba la información teníamos todos los datos necesarios para intentar desmantelar esta botnet, y así desactivar las acciones de estos cibercriminales en la región. De esta forma, junto con ESET coordinamos y planificamos las acciones a seguir para el reporte y baja de las URLs en cuestión.

Gráfico en el que ESET muestra el funcionamiento de la botnet Liberpy: 



Vídeo en el que ESET describe la Operación Liberpy
https://www.youtube.com/watch?v=xdbGOlts5lE

ESET ha publicado un completo informe en el que se detallan todos los detalles técnicos del keylogger, acciones realizadas, estadísticas, etc.
http://www.welivesecurity.com/wp-content/uploads/2015/07/Operaci%C3%B3n-Liberpy-Keyloggers-en-Am%C3%A9rica-Latina.pdf


Más información:

Operación Liberpy: keyloggers en Latinoamérica
http://www.welivesecurity.com/la-es/2015/07/14/operacion-liberpy-keyloggers-latinoamerica/

Operación Liberpy:Keyloggers y robo de información en Latinoamérica
http://www.welivesecurity.com/wp-content/uploads/2015/07/Operaci%C3%B3n-Liberpy-Keyloggers-en-Am%C3%A9rica-Latina.pdf

Operation Liberpy’:Keyloggersand information theft in LatinAmerica
http://www.welivesecurity.com/wp-content/uploads/2015/07/Operation-Liberpy-Keyloggers-in-Latin-America.pdf

No hay comentarios:

Publicar un comentario