Un exploit detectado por NanoScan, fue la pista que llevó a PandaLabs a descubrir Mpack, un programa que permite ejecutar malware en máquinas remotas aprovechando un gran número de vulnerabilidades. Mpack se ha usado ya en varios casos. Una de las versiones a las que ha tenido acceso PandaLabs ha sido empleada para infectar 160.000 computadores.
Estos datos han sido obtenidos de la herramienta de estadísticas que incluye la propia aplicación. Además del número de infecciones, esta página permite a los ciberdelincuentes controlar datos como hosts atacados agrupados en función del sistema operativo y navegador que utilizan; máquinas infectadas totales y únicas, y eficacia que han tenido las infecciones en cada área geográfica.
Esta herramienta se vende en distintos foros online por un precio de unos 700 dólares americanos. Con la última versión, los creadores ofrecían un año de soporte gratuito.
Mpack cuenta casi con las mismas funcionalidades que una aplicación comercial. Así, por ejemplo, ofrece actualizaciones a sus clientes. Estas actualizaciones no son, ni más ni menos, que los exploits para aprovechar las últimas vulnerabilidades que hayan surgido y han ido dando lugar a las distintas versiones que existen de la aplicación. Suele salir una nueva cada mes y cuestan entre 50 y 150 dólares, comenta Luis Corrons, Director técnico de PandaLabs.
Si los clientes pagan 300 dólares más, se les ofrece también DreamDownloader. Es otra herramienta que, en este caso, está diseñada para crear troyanos downloader. El funcionamiento es el siguiente: el hacker indica a DreamDownloader la URL donde se aloja el fichero que quiere descargar (un troyano, un gusano, archivos, actualizaciones de un malware, etc.), y la utilidad genera automáticamente un fichero ejecutable que realiza todo el proceso de descarga.
Estas dos herramientas son complementarias. Con la primera consigues infectar al usuario con el malware que desees. La segunda, permite crear ese malware que, además, estará diseñado para descargar aún más códigos maliciosos en los equipos comprometidos, explica Luis Corrons, Director técnico de PandaLabs.
El método de infección es bastante silencioso. Para conseguir que los usuarios ejecuten el código malicioso, los delincuentes utilizan varias técnicas. Cuando se trata de servidores web, suelen añadir una referencia de tipo iframe al final del fichero que carga por defecto y que apuntará a la página index del sitio donde está instalado Mpack.
También hay ocasiones en las que suelen usar ese mismo sitio hackeado para alojar el propio Mpack u otro tipo de malware. La razón de alojar malware en servidores de terceros es que, de esta manera, los ciberdelincuentes esperan dificultar su localización por parte de las autoridades.
Una vez ha llegado a una máquina, el exploit se ejecuta y guarda datos sobre el computador infectado (navegador, sistema operativo, etc.). Esa información, será luego enviada al servidor donde se almacenará.
