En el panorama digital actual, la ciberseguridad es una preocupación creciente para individuos y empresas por igual. Un ejemplo particularmente alarmante es el malware SystemBC, que ha captado la atención de expertos en seguridad informática. En este artículo, desentrañamos la complejidad de SystemBC, sus servidores de comando y control (C2) y cómo podemos protegernos contra tales amenazas.
Expertos en ciberseguridad han revelado detalles sobre cómo funciona el servidor de comando y control (C2) de SystemBC, un conocido malware. SystemBC, disponible en mercados ocultos, se ofrece en un paquete que incluye el malware, un servidor C2 y un portal de administración web en PHP, según un análisis reciente de Kroll. Esta firma, especializada en asesoría financiera y gestión de riesgos, ha notado un incremento en el empleo de este malware durante el segundo y tercer trimestre del 2023.
Detectado por primera vez en 2018, SystemBC permite a los atacantes controlar de manera remota dispositivos comprometidos y distribuir otras amenazas, como troyanos, Cobalt Strike y ransomware. Además, cuenta con la capacidad de añadir módulos adicionales para extender sus funcionalidades básicas. Una característica notable de SystemBC es su uso de servidores proxy SOCKS5 para ocultar el tráfico de la red hacia y desde su infraestructura C2, sirviendo como un mecanismo persistente de acceso tras la explotación.
Conoce más sobre: Desentrañando el Mundo de la Ciberseguridad C2
Los compradores de SystemBC obtienen un conjunto de instalación que incluye el ejecutable del malware, servidores C2 para Windows y Linux y un archivo PHP para la interfaz del panel C2. Este paquete viene acompañado de instrucciones en inglés y ruso que explican los procedimientos y comandos a seguir.
Te podrá interesar leer: GootBot, la Variante de Gootloader que Revoluciona el Malware
Los servidores C2, "server.exe" para Windows y "server.out" para Linux, están configurados para abrir al menos tres puertos TCP. Estos facilitan tanto el tráfico C2 como la comunicación entre procesos (IPC) entre el servidor y la interfaz del panel PHP (normalmente en el puerto 4000), y un puerto adicional para cada implante activo (también conocido como bot).
El servidor también utiliza tres archivos adicionales para registrar información sobre la actividad del implante, tanto en su función de proxy como de cargador, así como detalles sobre las víctimas. Por su parte, el panel PHP es de diseño minimalista, mostrando una lista de implantes activos. También sirve como medio para ejecutar shellcode y archivos arbitrarios en el dispositivo de la víctima.
Según los investigadores, la funcionalidad del shellcode no se limita solo a un shell inverso, sino que también posee capacidades de control remoto completas que pueden inyectarse en el implante en tiempo real. Aunque esta funcionalidad es menos evidente que simplemente activar cmd.exe para un shell inverso.
Además, Kroll analizó una versión actualizada de DarkGate (versión 5.2.3), un troyano de acceso remoto (RAT) que permite a los atacantes controlar completamente los sistemas de las víctimas, sustraer datos confidenciales y distribuir más malware.
El investigador de seguridad Sean Straw señaló que esta versión de DarkGate utiliza una mezcla del alfabeto Base64 al inicializar el programa. DarkGate altera el último carácter por uno aleatorio anterior, moviéndose hacia atrás en el alfabeto.
Kroll identificó una debilidad en este alfabeto Base64 personalizado que facilita la decodificación de la configuración en el disco y las salidas del registro de teclas, codificadas con este alfabeto y almacenadas en una carpeta de exfiltración en el sistema.
Straw explicó que este análisis permite a los expertos forenses decodificar archivos de configuración y del registrador de teclas sin necesidad de determinar primero la identificación del hardware. Los archivos de salida del keylogger contienen pulsaciones de teclas capturadas por DarkGate, incluyendo potencialmente contraseñas, correos electrónicos y otra información confidencial.
Te podría interesar leer: Prevención de Keylogging: Una Amenaza Silenciosa
La defensa contra SystemBC y otros malwares requiere un enfoque multifacético. Esto incluye:
En resumen, el malware SystemBC es un recordatorio de la constante evolución de las amenazas cibernéticas. Su análisis detallado no solo ayuda a comprender sus operaciones, sino que también informa sobre estrategias de defensa. La lucha contra el malware es un esfuerzo continuo que requiere vigilancia, educación y tecnología avanzada.