El mundo está en constante evolución. Cada vez los cambios son más rápidos e intensos, por lo que los equipos de investigación y desarrollo no se pueden permitir ni un descanso. La competitividad en el sector de la tecnología está al límite. Podría decirse que la lucha por la innovación ha convertido a muchísimas empresas en rivales. Contrincantes en una batalla ‘non stop’ contra el tiempo en busca de soluciones e innovaciones.

Esto puede parecer muy bueno hasta que mencionamos que no todos los oponentes tienen buenas intenciones. Muchos de ellos son hackers y se centran en como atacar y aprovecharse de los demás. Y muchos de ellos ya han conseguido hacer mucho daño. Los hackers han sido responsables de llevar a muchísimas empresas y personas a la quiebra.

Nuevo botnet usa ngrok

Esta vez, la empresa china de seguridad cibernética Qihoo 360 Netlab se ha destacado. La compañía ha comunicado que ha dado con un nuevo tipo de botnet realmente innovador. La gran mayoría de las botnets son copias de otras botnet y se conectan al servidor remoto directamente. Sin embargo, este se conecta al servidor a través del servicio ngrok.com.

El sitio ngrok es un servidor proxy inverso simple que permite a los usuarios conectarse a servidores ubicados detrás de firewalls o en máquinas locales sin una dirección IP pública. El servicio es muy popular entre el sector corporativo, ya que con su ayuda los empleados pueden conectarse a las redes internas de sus empresas. Además, es utilizado por desarrolladores independientes para mostrar a los clientes las aplicaciones que desarrollan.

Subdominios aleatorios

“Esta botnet oculta su descargador y el servidor de informes mediante el servicio de proxy inverso ngrok para generar periódicamente una gran cantidad de nombres de subdominios aleatorios. El maestro de botnets no tiene control sobre lo que serán los subdominios, ya que los subdominios son generados aleatoriamente por el servicio ngrok, que en este caso es realmente una bendición para el botnet “, dijeron los investigadores.

En resumen, ngrok crea su dominio para el hacker y este lo comunica a los nodos infectados. Realiza la conexión al servidor mediante el dominio para, seguidamente, empezar con la extracción de criptomonedas. Este método dificulta aún más la labor de rastrear exactamente dónde se encuentra el servidor de carga.

Si una persona es atacada y no puede identificar la ubicación del servidor tampoco puede determinar con qué autoridades debe ponerse en contacto o con qué proveedor de servicios presentar queja.

“Esta campaña de minería y su actividad de cambio de dominio comenzó a partir de junio de este año. Los nombres de dominio C2 se reemplazan en grupos periódicamente y la vida útil de cada grupo es de menos de 12 horas”, agregaron los investigadores.

Dinero de bolsillo

Según el investigador de Netlab Hui Wang, este botnet en particular no es extremadamente exitoso en comparación con otras botnets que han ganado millones de dólares estadounidenses. Su operador hizo aproximadamente 70 monedas XMR, que es de alrededor de $ 7,800. En términos de operaciones de botnet, esto es solo dinero de bolsillo.

En el informe de Netlab encontrarán un análisis técnico y algunos indicadores de compromiso (IOC).