Qué hay tras el “Pony”

0

El pony del que hablamos obtiene su imagen del conocido juego de Facebook “Farmville”. El laboratorio de seguridad de la información de INTECO ha descubierto entre Febrero-Marzo de este año, varios sitios web donde se alojaba esta botnet, “Pony“. 

Como veréis a continuación, se trata una botnet cuyo objetivo primordial es la extracción de credenciales de usuario para un buen número de servicios susceptibles de añadir nuestro ordenador a dicha red zombi a través de malware. El número de servicios afectados es muy amplio y abarca desde clientes ftp y de correo electrónico hasta conexiones RDP y certificados. Por si esto no fuera suficiente, esta botnet cuenta con capacidad para descifrar contraseñas guardadas en los siguientes programas: 

Software afectado

El malware utilizado para infectar los sistemas de los usuarios afecta a todas las versiones de Windows, desde Windows 98 hasta Windows 8, incluyendo tanto versiones de 32 como de 64 bits. Con un campo de actuación tan amplio, esta botnet puede llegar a capturar millones de credenciales que posteriormente podrían emplearse con fines ilegítimos. 

Datos ofrecidos por el programa

Desde comienzos de 2013, el principal motivo que ha popularizado la propagación de esta botnet , es el tipo de funcionalidad para la que ha sido creada por un lado, y la bajada de precio del “producto” por otro. Actualmente se puede obtener en el mercado hacker por importes que en torno a 200$, mientras que en el momento su salida al mercado se vendía por 5000$ o más.

En las imágenes inferiores podréis observar claramente los objetivos para los que el programa fue diseñado. En ellas se muestra el menú principal de la aplicación, donde podremos seleccionar de forma directa el tipo de contraseña que deseamos descifrar. Como característica adicional, en el panel inferior podremos ver gráficas estadísticas sobre las contraseñas que han sido capturadas en las últimas 24 horas, además de algún que otro extra. 

Estadísticas

A nivel interno cabe destacar el cambio de método de cifrado del programa. Se ha desechado el uso de MD5 y se ha sustituído por el algortimo SHA1, más reciente y refinado. De esta forma se mantiene la información de acceso más segura.

Si algo caracteriza al malware en general y a las botnets en particular, es que continuamente reciben actualizaciones para tomar la delantera. Se conocen paneles de esta aplicacion con versiones que van de la 1.7 a la 1.9. Seguiremos informando de la evolución tomada por el panel para poder contaros que nuevas características se implementan en la botnet.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR