Kardon Loader: así de fácil es crear una red de distribución de malware o botnet

Investigadores de Netscout Arbor han descubierto un downloader anunciado en foros underground, con el nombre de Kardon Loader, que permite a los clientes construir una red de distribución de malware o una tienda de bots.

Kardon Loader, descubierto a la venta en la Dark Web

El primer avistamiento de Kardon Loader tuvo lugar el 21 de Abril de 2018, cuando el autor -con pseudónimo de Yattaze- comenzó a pedir 50 dólares pos la aplicación. Se ofrece como una versión a medida, que deberá comprarse de nuevo para cada nuevo rediseño. En palabras de Netscout Arbor:

Kardon Loader es un descargador de malware anunciado en estos foros como un producto de pago en beta abierta. […] El sujeto ofrece la venta del malware como un producto a medida que implica cargo adicional en cada reconstrucción, o la capacidad de establecer una botshop, en cuyo caso el cliente puede establecer su propio negocio y comenzar a vender a sus propios clientes.

Este tipo de downloaders y botshops son esenciales para la creación de botnets que podrían utilizarse para distribuir un amplio abanico de malware: ransomware, troyanos bancarios o mineros de criptomoneda. Los ciberdelincuentes suelen ofrecer acceso a las redes de distribución en los foros de la Deep Web.

Parece ser, o eso se cree, que Kardon Loader es una remodelación de la botnet ZeroCool, de los mismos creadores.

Un producto profesional para crear botnets

Quien está detrás del sistema es alguien profesional, con su propio logo y disclaimer afirmando que no se debe usar el software con fines maliciosos. además, ha publicado un vídeo en youtube donde se ve como opera el panel de administración.

Características de Kardon Loader

Este producto es -según sus creadores- capaz de lo siguiente:

• Función de bot
• Descargar y ejecutar tareas
• Actualizar tareas
• Desinstalar tareas
• Rootkit usermode
• Cifrado RC4 (próximamente)
• Protección frente a debugging y análisis forense
• Soporte para TOR
• DGA (Algoritmo de Generación de Dominios)

Los investigadores de ASERT analizaron algunas muestras de código y se dieron cuenta de algunas características aún sin implementar, como por ejemplo que todas las muestras estaba utilizando URLs con el C&C (servidor de control) hardcodeado en lugar de usar el DGA. TOR y el usermode rootkit aún están sin implementar. De ahí la fase beta, se entiende 😀

Auto-preservación

Con el fin de evitar ser ejecutado en un entorno virtualizado, el loader enumera el valor CPUID Vendor y lo compara con las siguientes cadenas (que representan valores conocidos de desarrolladores de virtualización):

• KVMKVMKVM
• Microsoft Hv
• VMwareVMware
• XenVMMXenVMM
• prl hyperv
• VBoxVBoxVBox

En caso afirmativo, el malware se detendrá.

El código malicioso utiliza una infraestructura de C & C basada en HTTP, con parámetros de URL codificados en Base64. Una vez Kardon Loader sea ejecutado, enviará varios comandos POST HTTP al servidor remoto:

• ID = Identification Number
• OS = Operating System
• PV = User Privilege
• IP = Initial Payload (Full Path)
• CN = Computer Name
• UN = User Name
• CA = Processor Architecture” 

En el sentido opuesto, el servidor proporcionará instrucciones al malware, como la descarga de payloads adicionales, navegación remota, desinstalarse a sí mismo, etcétera.

El panel de administración es sencillo, implementa un tablero que proporciona información sobre la distribución del bot y estadísticas de instación.

Una característica interesante de este panel es que posee una «tienda» que permite al administrador generar claves de acceso a los clientes, lo que les daría opción a ejecutar tareas basadas en parámetros ya definidos.