Anton Cherepanov, investigador de malware de ESET, recibió un Pwnie Award a "mejor backdoor" en esta edición 2017 de Black Hat, en Las Vegas.
El premio fue en reconocimiento a su trabajo cuando descubrió el astuto y elaborado backdoor usado por el grupo TeleBots, que les permitió a los cibercriminales instalar y propagar el malware Diskcoder.C a través del software M.E.Doc.
ESET's @cherepanov74 won the @PwnieAwards for Best Backdoor in #BHUSA. He seems to be way too distracted by something ... pic.twitter.com/7u7oHOsDTy
— ESET (@esetglobal) 28 de julio de 2017
Tal como los organizadores de los premios comentaron en la declaración de la nominación: "Para preparar sus impuestos, la gente en todo el mundo instala software desarrollado para un mercado cautivo de las leyes fiscales de su nación. En Ucrania, los contadores que instalaron M.E.Doc recibieron un backdoor".
Según Cherepanov en su análisis, se descubrió que el backdoor fue inyectado en uno de los módulos legítimos de M.E.Doc, lo cual no podría haber sucedido sin que los atacantes tuvieran acceso al código fuente del software.
"El módulo al cual se le agregó el código del backdoor tenía como nombre de archivo ZvitPublishedObjects.dll. Fue escrito usando el framework .NET y constaba de 5MB que contenían una gran cantidad de código legítimo, que puede ser llamado por otros componentes incluyendo el ejecutable principal M.E.Doc ezvit.exe", explicó el investigador en su análisis.
Además, halló que este módulo alterado no usa servidores externos como C&Cs para comunicar las máquinas infectadas con los atacantes. De hecho, usa las peticiones regulares de verificación de actualización del software M.E.Doc, hechas a su servidor oficial.
La conclusión de la investigación arrojó que se trató de una operación altamente planificada y ejecutada con precisión, que indica que los atacantes tuvieron acceso al código fuente de la aplicación M.E.Doc.
"Tuvieron tiempo de conocer el código e incorporarle un backdoor bien sigiloso y astuto, que evita ser detectado fácilmente", había escrito Cherepanov. Pero para él eso no fue un obstáculo, ya que logró analizar los componentes de este backdoor para explicar su funcionamiento con claridad, lo cual le valió este premio.