GETOVERX FORUM Community Support   ›   Malware Docs   ›   Botnets / Bots   ›   BOTNET – Cutwail

  • 1 Vote(s) - 5 Average
  • 1
  • 2
  • 3
  • 4
  • 5
BOTNET – Cutwail
mrwebfeeder
Super Moderator
******
Joined: Sep 2025
Posts: 143

Reputation: 11
#1
11-29-2025, 03:56 PM (This post was last modified: 12-07-2025, 04:45 PM by mrwebfeeder.)
Nombre: Cutwail / Pushdo
(indica el nombre del malware, incluir alias si los tiene)

Categoría: Botnet
(ej.: Ransomware, Infostealer, Troyano bancario, RAT, Loader/Downloader, etc.)

Fecha de descubrimiento: Alrededor de 2007

Comportamiento (lo que hace y archivos que infecta):
- Botnet orientada principalmente al envío masivo de spam y a la realización de ataques distribuidos.
- Los equipos infectados se convierten en “zombies” que:
- Envían grandes volúmenes de correo no deseado (phishing, malware adjunto, enlaces maliciosos).
- Pueden participar en ataques de denegación de servicio distribuida (DDoS) contra objetivos específicos.
- Descargan otros malware de forma silenciosa, como troyanos bancarios, ransomware o stealers.
- Afecta principalmente a estaciones Windows:
- Instala binarios en rutas de usuario o sistema con nombres que imitan procesos legítimos.
- Genera un fuerte aumento de tráfico de red saliente, especialmente SMTP y conexiones hacia servidores de C2.
- No cifra archivos ni los modifica de forma destructiva; el impacto se centra en:
- Abuso de recursos (CPU/red) para spam/DDoS.
- Riesgo reputacional por inclusión de la IP en listas negras de spam.

Persistencia:
- Describe cómo se mantiene en el sistema:
- Claves de Registro (Run/RunOnce):
- Añade entradas de inicio automático en rutas como:
-
Code:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
-
Code:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
- Tareas programadas:
- Crea tareas que relanzan el binario del bot tras cada reinicio o a intervalos regulares.
- Servicios:
- En algunas variantes se registra como servicio de Windows con nombres que suenan legítimos.
- Copias en carpetas de usuario o sistema:
- Guarda el ejecutable en directorios como AppData, ProgramData o subcarpetas del sistema con nombres genéricos.
- Uso de herramientas administrativas, RDP, etc.:
- Puede aprovechar credenciales comprometidas para propagarse lateralmente y desplegar el bot en otros equipos de la red.

Hash real de referencia (SHA-256):
- Añade un hash SHA-256 real de una muestra pública conocida del malware.
- Ejemplo de formato:
Code:
67a43b3556105c8c65050ab47b183b6ddc7c8c3c17e297dc1c2ea945b124e532

Mitigación con GetOverX Shield v3.0.2.0:
Describe los pasos recomendados usando los módulos de GetOverX Shield:
  • Antivirus:
    Explica cómo usar el motor AV para detectar y eliminar el ejecutable principal y sus droppers.
    - Ejecutar un escaneo completo de todas las unidades para localizar el binario de Cutwail/Pushdo y cualquier dropper asociado.
    - Poner en cuarentena:
    - Ejecutables ubicados en AppData/ProgramData con nombres sospechosos.
    - Ficheros que coincidan con firmas o reglas YARA específicas para Cutwail/Pushdo.
    - Programar escaneos periódicos en servidores de correo y estaciones con clientes de correo instalados.

  • Firewall:
    Indica qué tipo de tráfico debe bloquearse (C2, dominios sospechosos, puertos, etc.) y si es recomendable aislar el host.
    - Restringir el tráfico SMTP saliente:
    - Permitir sólo los servidores de correo corporativos o gateways autorizados.
    - Bloquear conexiones directas a puertos 25/465/587 desde estaciones que no deban enviar correo.
    - Monitorear y bloquear:
    - Conexiones hacia IPs/Dominios identificados como C2 de Cutwail/Pushdo.
    - Tráfico saliente anómalo de alto volumen que pueda indicar envío masivo de spam o participación en DDoS.
    - Aislar temporalmente los hosts que muestren actividad de botnet hasta completar la limpieza.

  • HIPS/EDR:
    Detalla qué comportamiento debe vigilarse:
    - Creación masiva de archivos (ransomware)
    - Acceso masivo a almacenes de credenciales (stealers)
    - Uso anómalo de PowerShell / scripts
    - Movimiento lateral, enumeración de red, etc.
    Incluye si se debe configurar respuesta automática (matar proceso, bloquear hash, etc.).
    - Configurar reglas para detectar:
    - Procesos que generan un volumen inusual de conexiones SMTP y conexiones recurrentes a C2.
    - Creación/modificación de claves Run/RunOnce y tareas programadas que apunten a ejecutables desconocidos.
    - Respuesta automática recomendada:
    - Matar procesos responsables del envío de spam y comunicación con C2.
    - Bloquear el hash de los binarios identificados.
    - Generar alerta crítica y marcar el host para análisis forense y posible aislamiento de red.

  • Sandbox:
    Explica cuándo es recomendable usar el módulo de Sandbox:
    - Antes de ejecutar adjuntos de correo
    - Antes de instalar software de procedencia dudosa
    - Para analizar muestras sospechosas en un entorno aislado
    - Analizar en la Sandbox:
    - Adjuntos sospechosos usados en campañas de spam (documentos, ejecutables, archivos comprimidos).
    - Herramientas o instaladores descargados desde enlaces incluidos en correos no solicitados.
    - Observar si:
    - El binario intenta enviar spam o abrir múltiples conexiones SMTP.
    - Se conecta a dominios asociados a C2 de Cutwail/Pushdo o descarga otros malware.
    - Bloquear la distribución interna de cualquier archivo que muestre comportamiento de botnet.

  • Medidas posteriores al incidente:
    Indica acciones adicionales:
    - Restaurar desde copias de seguridad offline
    - Cambiar contraseñas
    - Revisar accesos a cuentas sensibles (banca, VPN, paneles de hosting)
    - Revisión de herramientas de administración remota abusadas
    - Revisar colas y logs del servidor de corr
  Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)