Uma operação recente realizada por agências policiais em todo o mundo conseguiu derrubar centenas de botnets ao redor do planeta. As botnets, ou redes de “bots” foram conduzidas por malwares, que são classificados pelos pesquisadores da ESET como Win32/TrojanDownloader.Wauchos, mas também recebem o nome de Gamarue ou Andromeda por outros fornecedores de segurança.

A operação internacional realizada em 29 de novembro foi o resultado de um esforço conjunto entre os pesquisadores da ESET e da Microsoft que durou mais de um ano. A ESET forneceu inteligência técnica para a operação depois de rastrear as botnets, identificando seus servidores C&C e mantendo-se atualizada sobre o que os cibercriminosos instalavam nos sistemas das vítimas. Nos encontramos com Jean-Ian Boutin, Senior Malware Researcher da ESET, para falar sobre seu papel na operação, bem como sobre as ameaças que as botnets representam em termos gerais.

Tendo em conta que Wauchos tem sido uma das famílias de malware mais antigas no ambiente, o que fez com que a ameaça durasse tanto tempo?

Wauchos existe desde 2011 e está disponível em fóruns underground, sendo vendido a várias pessoas. Além disso, suas numerosas funcionalidades e desenvolvimento contínuo atraíram cibercriminosos que acabaram usando a ameaça por longos períodos.

Por que demoraram tanto para agir contra o Wauchos?

Estes tipos de operações levam muito tempo. Como mencionamos no WeLiveSecurity, tudo começou em 2015. Levou algum tempo para que tudo estivesse pronto para iniciar uma operação policial. Além disso, as entidades apropriadas precisam estar dispostas a investir os recursos necessários para derrubar uma botnet. Por isso, a botnet contou com algum tempo para se propagar e foi capaz de causar prejuízos suficientes para instigar uma operação dessa escala.

Quais países foram mais afetados pela infecção?

A maioria das infecções que vimos nos últimos seis meses ocorreu no Sudeste Asiático e na América do Sul. 

Quais tipos de dispositivos foram mais afetados? Computadores domésticos, computadores corporativos, servidores...?

Os vetores de infecção do Wauchos incluíam redes sociais, mídias removíveis, spam e drive-by downloads. Como nenhum desses aponta para um grupo específico de usuários, praticamente qualquer usuário que clique no link da ameaça é uma vítima em potencial.

Qual foi o seu papel na operação e o que incluíram em sua pesquisa e colaboração com a Microsoft e as agências policiais?

Nosso papel na operação foi do lado técnico: análise de malware e busca de servidores C&C usados ​​pelas diferentes botnets do Wauchos. Como essa ameaça foi vendida em fóruns underground, era importante garantir que todos os servidores C&C do Wauchos fossem identificados e derrubados simultaneamente. Ajudamos por esse lado através do nosso sistema de rastreamento de botnet.

Como vocês conseguiram fazer com que os criminosos não soubessem nada sobre essa investigação?

Claro, quando trabalhamos nesses tipos de operações, é essencial garantir que os criminosos não estejam cientes disso. Por isso, tentamos informar apenas aqueles que precisavam saber sobre a operação, mantendo as informações confidenciais de forma privada.

Qual foi o prejuízo mais comum que o Wauchos causou ao infectar um computador?

Historicamente, o Wauchos foi usado para roubar credenciais de acesso através de um plugin que captura essas informações e instala um malware adicional no sistema infectado.

Qual foi a maneira mais comum de comprometer os dispositivos?

Wauchos

Como o Wauchos foi adquirido e depois distribuído por uma variedade de cibercriminosos, os vetores de infecção utilizados para propagar essa ameaça variaram amplamente. Historicamente, as amostras do Wauchos foram distribuídas através de redes sociais, mensagens instantâneas, mídias removíveis, spam e exploit kits.

Havia algum indicar para que o usuário soubesse que tinha sido comprometido pelo Wauchos?

Na verdade, não.

Como a botnet foi monetizada? Acredito que o dinheiro foi o motivo pelo qual as botnets foram criados inicialmente.

Como o Wauchos foi vendido em fóruns underground, houveram vários esquemas de monetização. Um deles foi o uso do plugin que captura credenciais para roubar senhas de contas on-line. Outro foi, por uma taxa, a instalação de malwares adicionais na máquina comprometida, um formato muito popular entre os cibercriminosos, conhecido como "pay-per-install".

Que tipo de infra-estrutura C&C foi usada pelos operadores do Wauchos para controlar os computadores “zumbis”?

Eles usaram vários servidores C&C em diversos locais. Estavamos focados exatamente nesses servidores para a operação de desmontagem.

Existe alguma forma confiável de detectar que um bot estava se comunicando com o seu servidor C&C?

Os bots do Wauchos usaram um padrão de rede reconhecível quando se comunicavam com seus servidores C&C. Isso nos permitiu proteger melhor nossos usuários, adicionando outra camada de proteção: a criação de uma rede de detecção capaz de reconhecer quando um bot estava tentando se comunicar com seu servidor C&C.

Como você descobriu a comunicação entre um computador infectado e seu servidor C&C. Além disso, como essa comunicação era realizada?

Os detalhes da comunicação podem ser encontrados no WeLiveSecurity (em inglês). Foi obtido pela aplicação de engenharia reversa em várias amostras.

O tráfego C&C estava criptografado?

Sim, foi criptografado usando um algoritmo RC4 vinculado no binário.

Como o malware por trás da botnet interferia na funcionalidade do sistema operacional?

O Wauchos interferia no sistema operacional de várias maneiras. Entre outras formas, a ameaça tentava desconectar o Firewall do Windows, a atualização do Windows e as funções de controle do usuário.

O Wauchos usou técnicas anti-VM ou anti-sandbox?

Uma vez que essa família de malwares estava à venda em fóruns underground, vários cibercriminosos usaram técnicas diferentes, mas também verificamos amostras usando anti-VM e anti-sandbox.

Existe alguma forma de determinar quão bem sucedido o plugin do rootkit foi ao cobrir esta infecção?

Na verdade, não.

Com base na sua experiência de desmontagem de botnets, o que você espera que aconteça agora que o Wauchos foi interceptado?

Provavelmente, desaparecerá pouco a pouco, considerando que a reparação está sendo realizada. Com este tipo de botnet tão durável, é muito difícil limpar todos os sistemas que foram comprometidos pelo Wauchos. No entanto, considerando que o lado do “bem” está controlando os servidores C&C, posso dizer que a ameaça não poderá ocasionar mais prejuízos nos computadores comprometidos.

Em termos gerais, quais sinais podem servir de alerta para os usuários de que seus computadores estão sendo controlados por uma botnet?

Dependendo da família de malwares, pode ser difícil reconhecer que seu computador esteja comprometido. Se você notar comportamentos estranhos na sua máquina, como (mas não se limite a isso) sua solução de segurança está desabilitada sem a capacidade de se atualizar, ou se notar que não está recebendo atualizações normais do Windows, o malware pode ser o culpado. O uso de ferramentas gratuitas, como o ESET Online Scanner, de análise do seu sistema pode ser útil para encontrar e eliminar o malware que esteja causando esses problemas.

Como é possível estar prevenido e garantir que seu computador não acabe sendo parte de uma botnet?

A maioria das famílias de malware estão usando truques antigos e não podem ser instaladas sem alguma ajuda de usuários descuidados. As recomendações típicas de não clicar em links aleatórios ou abrir anexos que provêm de fontes não confiáveis ​​são uma ótima ajuda para estar seguro na Internet.

Você comemorou o sucesso da operação com uma taça de champanhe?

Sim, comemoramos. :)