Proteus: la amenaza de una botnet ‘todo en uno’

David Ramos,

Proteus es capaz de utilizar un ordenador infectado para ocultar la ubicación del ciberdelincuente, robar las credenciales del usuario o realizar minería de criptomoneda. ¿Cómo funciona este malware?

Proteus surgió a finales de 2016 y aún no se han detectado demasiadas infecciones, por lo que todavía no ha sonado demasiado. Sin embargo, se trata de una botnet que representa un riesgo muy elevado, debido a la multiplicidad de ataques simultáneos que realiza.

Como explica Fortinet, Proteus es una botnet escrita en .NET. Y se trata de un malware ‘todo en uno’, ya que es capaz de operar como proxy, realizar minería de criptomoneda, actuar como keylogger, revisar cuentas de correo electrónico y descargar malware. Este software malicioso se descarga por la red de bots Andrómeda.

¿Pero cómo funciona? Check Point indica que se ha localizado esta botnet camuflada como un ejecutable de Google Chrome. Cuando es instalada en un ordenador, lo identifica y roba la información del sistema operativo -tanto si es de 64 como de 86 bits-, el nombre de la máquina y la versión de Windows que posee. Toda esta información se remite al servidor C&C (comando y control), con el fin de que el terminal quede registrado. Aquí es cuando Proteus comienza a realizar diferentes tareas.

Proteus lanza un ataque multicapa en un equipo infectado y ejecuta varios procesos destinados a obtener bitcoins, a robar credenciales y al keylogging. A la par, el bot puede trabajar de independientemente, permitiendo que el ciberdelincuente envíe comandos a través de HTTP que descargan programas maliciosos para abrirlos en el equipo de la víctima.

Fortinet especifica cuáles son las tareas desplegadas: Socks Task crea un socket y establece el reenvío de puertos; Mining Task y EMining Task emplea SHA256, CPUMiner y ZCashMiner para la minería de moneda digital; Checker Task valida las cuentas; Commands Task ‘mata’ procesos o descargas habituales y acciona un archivo ejecutable bajo petición; y Logger Task establece un keylogger.

De este modo, la peligrosidad de esta botnet reside sobre todo en el ataque múltiple que pone en marcha, en el que se combina la infección de la máquina, el robo de bitcoins y credenciales o el registro de claves. Esto eleva  el nivel de uso de la CPU del ordenador al 100%, haciendo que el sistema se vuelva extremadamente lento.

Check Point indica que, aunque Proteus dispone de muchas de las herramientas de implementación necesarias para realizar el ataque, se trata de un troyano que depende en buena parte de la comunicación con su servidor C&C y la información que transmite para la ejecución de las funciones más básicas.