Forças de segurança em todo o mundo conseguiram interromper várias botnets que estavam sendo “alimentadas” por uma família de malwares batizada como Gamarue (geralmente detectada pela ESET como Win32/TrojanDownloader.Wauchos), e também conhecida como Andromeda. Isso ocorreu após mais um ano de trabalho em conjunto com a inteligência técnica de pesquisadores da Microsoft e ESET.

A ESET, depois de ter sido abordada pela Microsoft para se juntar ao esforço de interrupção da botnet, forneceu uma análise técnica para a operação que finalmente conseguiu desmontar Wauchos. Os pesquisadores da ESET acompanharam de perto as botnets, identificaram seus servidores de Comando e Controle (C&C) para a desmontagem (ou takedown en inglês) e mantiveram um registro do que foi instalado nos sistemas das vítimas. Em seguida, a Microsoft entrou em contato com as forças de segurança com informações que incluíam: 464 botnets diferentes, 80 famílias de malwares associadas e 1.214 domínios e endereços IP dos servidores de C&C das botnets.

Wauchos: um flagelo global

Wauchos vem criando problemas desde pelo menos setembro de 2011, tendo lançado cinco grandes versões ao longo dos anos. A ameaça estava disponível nos cantos mais sombrios da Internet como um kit de crime, permitindo que qualquer um com más intenções pudesse comprar uma "porção".

O mapa de prevalência com base na telemetria da ESET (Figura 1) mostra o alcance global do Wauchos, que criou dezenas de botnets em várias partes do mundo.

Imagem 1: Mapa de prevalência do Wauchos (Dezembro de 2016, fonte: http://virusradar.com/)

Segundo a Microsoft, a infecção foi detectada ou bloqueada em uma média de quase 1,1 milhão de máquinas por mês no último semestre. Ao longo do monitoramento da ameaça, a ESET encontrou dezenas de servidores C&C todos os meses. A maior parte da pesquisa da ESET foi realizada no final do ano passado, momento no qual a atividade do Wauchos obteve maior pico.

"Wauchos foi usada principalmente para roubar credenciais e também para baixar e instalar malwares adicionais em um sistema. Por isso, caso um sistema tenha sido comprometido com o Wauchos, é provável que haja várias outras famílias de malwares", de acordo com o pesquisador da ESET, Jean-Ian Boutin.

Geralmente, o malware secundário que compromete a máquina da vítima, após fazer parte da botnet, é o Kasidet (também conhecido como Neutrino bot), que costuma ser usado para realizar ataques distribuídos de negação de serviço (DDoS). Além disso, Kelihos e Lethic também são geralmente instalados e usados em envios massivos de spam.

Devido à sua modularidade, as funcionalidades do Wauchos podem ser facilmente expandidas por plug-ins, como um keylogger e um grabber de formulários, que podem roubar informações pessoais dos usuários. Além disso, adiciona um rootkit, que pode ser usado para esconder a presença do malware e garantir sua persistência nos sistemas comprometidos.

Tendo em conta que o Wauchos foi adquirido e implantado por vários cibercriminosos, os vetores de ataque utilizados para propagar a ameaça foram bem variados. O código malicioso foi propagado através de redes sociais, aplicativos de mensagens instantâneas, dispositivos removíveis, spam (veja imagem 2) e exploit kits.

Imagem 2: Típico spam com amostra do Wauchos anexa.

Assim como outros códigos maliciosos, muitas amostras do Wauchos analisadas pela ESET foram configuradas para verificar o layout do teclado dos sistemas. Se o mesmo fosse configurado em russo, ucraniano, bielorrusso ou cazaque, o malware seria encerrado sem realizar qualquer ação maliciosa. O uso dessa tática provavelmente tenha sido para evitar que os cibercriminosos sofressem ações judiciais nesses países.

Ao longo dos anos, a inteligência fornecida pela ESET tem sido fundamental para desmontar uma série de operações criminais, incluindo as botnets Dorkbot e Mumblehard, e a rede Avalanche que foi utilizada por muitas outras botnets.

Se você acha que o seu sistema Windows foi comprometido pelo Wauchos e não é um cliente da ESET, não se preocupe, pois é possível baixar e usar de forma gratuita o ESET Online Scanner, que remove qualquer ameaça que esteja em seu sistema, incluindo o Wauchos.

Caso queira conferir uma análise detalhada de como a ESET ajudou a interromper essas botnets, leia o post "ESET takes part in global operation to disrupt Gamarue" (em inglês).