Kaspersky Lab, líder en el desarrollo de sistemas de protección contra software malicioso, ataques de hackers y spam, ha publicado un artículo analítico “Fábrica de beneficios”. El material está dedicado a la investigación de un incidente de spam, habitual a primera vista, que acabó siendo un sofisticado esquema de creación y de explotación de botnets.

Los autores del artículo son los expertos de Kaspersky Lab: Sergei Golovanov, analista jefe de virus, Igor Sumenkov, jefe del grupo de desarrollo de infraestructura del laboratorio de filtración de contenidos, y Maria Garnaeva, analista de virus.

Las botnets son redes de ordenadores infectados por programas nocivos, bots, que facilitan al ciberdelincuente un control remoto completo del ordenador, y la posibilidad de realizar ataques DoS masivos, envío de spam y otras acciones nocivas. El dueño del ordenador sin protección no suele saber que su equipo es parte de una botnet, ya que los bots funcionan de forma desapercibida.

La tarea de los ciberdelincuentes es la creación y la explotación de grandes botnets que producen altos beneficios. Por eso se esfuerzan por encontrar un vector de infección por bots y la forma de usarlo que asegure la infección más rápida y de mayor escala que le proporcione el mayor beneficio económico. Este sofisticado esquema se discute en el artículo publicado.

La historia de esta investigación empezó cuando los especialistas de filtración de contenidos de Kaspersky Lab empezaron a recibir mensajes de spam, habituales a primera vista. Las cartas contenían hipervínculos a páginas web de muchos sitios legítimos. Los hipervínculos llevaban a diferentes sitios web, pero al final se indicaba la misma ruta a los archivos en los servidores.

El análisis demostró que estas páginas redireccionaban al usuario a los sitios web que se publicitaban en mensajes spam. Este método, ausencia de enlaces directos a los sitios web de los spammers, se utiliza frecuentemente para evitar tecnologías de filtración basadas en la comparación con “listas negras” de las direcciones de Internet de los spammers.

Los analistas de Kaspersky Lab decidieron encontrar una respuesta a la pregunta: «¿Cómo pudieron los ciberdelincuentes comprometer una cantidad tan grande de sitios web legítimos?». Como resultado de la investigación se supo que las páginas de los sitios web legítimos comprometidos redireccionaban a sus usuarios no solamente a los recursos de los spammers, sino a los de los hackers. Estos recursos contenían exploits que usaban vulnerabilidades de diferentes aplicaciones populares e instalaban el bot nocivo Backdoor.Win32.Bredolab.

En el artículo se describen algunas particularidades del bot Backdoor.Win32.Bredolab – su posibilidad de evitar la detección al intentar la ejecución en el Sandbox, así como las acciones que aseguran la gestión remota de los hackers. Por orden del centro de administración, el bot descargaba el programa troyano nocivo que robaba las contraseñas para los clientes FTP que gestionaban el contenido de los sitios web.

Los expertos de Kaspersky Lab continuaron la observación del bot. Pasado algún tiempo, Backdoor.Win32.Bredolab volvió a descargar programas nocivos, entre ellos, utilidades para el envío de spam, el gusano de la red Koobface y un antivirus falso.

De este modo, el incidente con los sitios web comprometidos se aclaró – la redirección a los sitios web de los spammers era el resultado de una modificación del contenido realizada utilizando las contraseñas robadas por un troyano instalado por el bot. Los ordenadores infectados por el bot de los usuarios de los sitios web comprometidos se reunían en una botnet que realizaba las descargas de software nocivo de varios tipos y otros comandos del centro de gestión remota.

El esquema de las acciones de Backdoor.Win32.Bredolab revelado demostró qué tecnologías y métodos usan los ciberdelincuentes para la creación de botnets y la preparación de la base para el envío del spam y de otra actividad nociva con un fin interesado.

La versión completa del artículo analítico “Fábrica de beneficios” puede consultarse en el sitio web www.viruslist.com/sp.

Este material puede ser reproducido citando al autor, el nombre de la compañía y las fuentes originales. La reproducción de este material de forma indirecta necesita el consentimiento expreso del departamento de relaciones públicas de Kaspersky Lab.

The World Leader in Information Security Software, Providing Cutting Antivirus Computer Protection Against All Major Cyber Threats, Viruses, Hackers and Spam. The Kaspersky Lab Global Network Consists of 8 Regional Offices and Technology Channel Partners In Over 50 Countries Worldwide. Kaspersky Lab, Protecting PCs, PDAs, and Networks since 1997, Based In Moscow Russia.

Mapa del sitio | Privacidad | Póngase en contacto con nosotros | Enviar un archivo sospechoso