El concepto del low cost llega al malware: DCRat está aquí

Posted on Profesional

Estamos en un momento histórico dentro del malware. El común de los mortales se está enterando de que existen múltiples amenazas que van más allá de los simples virus de Windows. Ahora se habla en los medios de comunicación generalistas de spyware, troyanos, backdoor, phising, smsising y de la gran diversidad de software malicioso que está agrupado dentro del término malware y todo ello gracias a Pegasus, un tipo de spyware que se ha puesto de moda en estos días por haber salido a la luz que ciertos intereses geopolíticos de gobiernos de medio mundo se dedican a espiar al otro medio. En esto no hay nada de raro, espiar a los otros se ha hecho siempre, pero ahora queremos que, o bien no se sepa si estamos del lado del que espía o que se le dé bombo y platillo si estamos del lado de los espiados.

El caso de Pegasus, que es el spyware que está en estos días en boca de todos, es algo que se encuentra a un nivel un tanto fuera de las posibilidades del común de los delincuentes que quieren espiar, prioritariamente, por razones de lucro económico. La empresa NSO Group que lo desarrolla (el enlace a la web de la empresa devuelve un error 403 (?) desde hace unos días, de ahí que el enlace que te pongo sea hacia la Wikipedia) se lo vende exclusivamente a gobiernos y organizaciones «por el bien de la defensa de la democracia y la paz mundial». Supongo que por eso se lo han vendido a Arabia Saudíta, Palestina, Tailandia, Singapur, Hungría, Kazajistán, Azerbaiyán, Marruecos, México, Togo, Ruanda, Líbano, Israel, Emiratos Árabes Unidos, Qatar, Yemen, Baréin, Congo, Uganda, Argelia, Omán y muchos otros defensores de la paz mundial y los derechos humanos, incluyendo a Estados Unidos, Canadá y España. Pero ahora y aquí es cuando entra en escena el concepto del low cost: Si malware como Pegasus es eficiente pero caro y hay un nicho de mercado que desea espiar a sus vecinos, a empresas, a ex-parejas a sus profesores o a quien buenamente le venga en gana, ¿por qué no ofrecerle la oportunidad de adquirir un buen spyware a un coste razonable? y ahí es donde entra en juego DCRat, un spyware de muy bajo coste y un buen nivel de eficiencia, aunque con fallos aún por pulir.

DCRat nace en 2018 y tras probarlo y ver que resulta operativo, aunque con fallos, decide venderlo. DCRat se encuentra disponible en foros rusos sobre ciberdelincuencia como lolz[.]guru, accesible en la DarkWeb usando Tor. Localizarlo es fácil, ya que su autor responde a los alias boldenis44, crystalcoder y Кодер, así que si te apetece, busca y encontrarás.

Lo interesante del tema, es que se trata de un único desarrollador, que posiblemente sea algo novato y que por tanto puede ofrecer un producto razonablemente bien hecho a un bajo coste, ofreciendo un modelo de suscripción con precios tan bajos como 7 dólares bimensuales, 21 anuales o 40 de por vida. Como ves, barato y accesible es y esto es lo que lo convierte en su mayor peligro si montones de descerebrados aprendices de ciberdelincuentes deciden optar por adquirirlo y usarlo indiscriminadamente. Y lo más gracioso del tema, es que el autor de DCRat, ofrece actualizaciones diarias a medida que lo va perfeccionando y puliendo errores.

El producto (esta es la mejor forma de denominarlo viendo su carácter comercial) está compuesto de tres módulos. El primero de ellos es el ejecutable que se distribuye y que se encarga de robar los datos de la víctima. Este ejecutable se puede compilar para diversos sistemas operativos como Android, IOS o Windows, desde la herramienta del administrador que hay que instalar en un servidor C2. Se trata de un servidor de Control y Comando que emite órdenes remotas a un cliente que ha infectado el dispositivo de la víctima y recibe la información que este roba. Este servidor C2 que contiene una página realizada en JPHP que hace de interfaz entre el ejecutable y la herramienta de administración. Una acción interesante que hace la página web es la de «apagar» el spyware y su comunicación con la herramienta administrativa. Esto se hace por diversas razones como puede ser que el desarrollador se vea amenazado por organizaciones gubernamentales o policiales y decida apagar «su obra» para eliminar las huellas que puedan llevar a la policía hacia su persona. Esto es lógico, pero me lleva a pensar que el desarrollador se guarda una carta que le permita acceder a toda la información que pueda robar DCRat y de esta forma obtener un doble beneficio: Por un lado el obtenido de la venta de su producto y por otro el que pueda obtener al robarle a sus clientes la información robada que estos puedan tener en su poder. Como ves, el negocio es perfecto.

Ahora se me ocurre pensar si estamos caminando hacia una nueva era de la ciberdelincuencia que ofrece posibilidades low cost accesibles a cualquier descerebrado que quiera tener su minuto de gloria obteniendo unos beneficios fáciles, sentado ante su ordenador mientras el software desarrollado por otros trabaja para él.

¿Aún navegas por Internet sin protección en tu smartphone, en tu tablet o en tu ordenador?

Author: fbno

Website | All posts

Sarcástico, irónico y cáustico. Agnóstico, irreverente, apolítico, apátrida y ciertamente asocial. Defensor del abstencionismo reflexivo y amante de la penúltima cerveza y del Rock.