Seguridad - Addictware

Crecen las redes zombi

Detalles

En 2012 son más populares las redes zombi descentralizadas, las móviles y las administradas por medio de las redes sociales.

Las redes zombi son una de las tecnologías más usadas por los ciberdelincuentes; además de que han evolucionado en los últimos años y han surgido, por ejemplo, las redes zombi descentralizadas, las móviles y las administradas por medio de las redes sociales, Macos Kascomo la de Mac.

El Informe de Malware del Q1 de Kaspersky Lab indica que 2011 fue un año sin grandes novedades en cuanto a redes zombi, pero que el escenario en este año diferente.

En el primer trimestre de 2012 se detectó una red zombi creada con una nueva tecnología: la bot "sin archivo", cuyo código malicioso pertenece a una extraña categoría de programas que sólo existen en la memoria RAM de la computadora.

El problema se manifestaba en forma de anomalías en las computadoras infectadas que empiezan a enviar peticiones de red tras visitar algunos sitios Web populares en Internet y en que, algunos casos, aparecieron archivos codificados en los discos duros. Aunque, no aparecía ningún archivo ejecutable en los discos duros.

Aunque los procesos maliciosos se ejecutaban en la memoria RAM hasta que el sistema operativo se reiniciaba, la infección se propagó por medio de sitios Web. De manera que se podía infectar computadoras diariamente, lo que les permitía mantener la población de bots.

Kaspersky aclara que cuando se usa una bot “sin archivo”, es muy difícil identificar las computadoras que componen la red zombi, porque no aparece ningún archivo ejecutable en el disco duro y los ciberdelincuentes realizan todas sus acciones camuflageándolas como procesos legítimos de Java. Si bien los parches son efectivos, algunos usuarios no parchan sus equipos de manera regular.

Los atacantes de dispositivos móviles se concentraron en Android. En el primer trimestre de 2012, se detectaron más de 5,000 programas maliciosos para la plataforma. El total de amenazas para Android se ha multiplicado por 9 durante el último semestre.

Los desarrolladores de virus chinos y rusos son los que muestran mayor interés por Android. Los autores chinos se las han ingeniado para crear una red zombi de 10,000 a 30,000 dispositivos activos, y los smartphones infectados son cientos de miles.

Kaspersky comenta que esta red zombi se creó con el (troyano) RootSmart, que tiene una extensa funcionalidad relacionada con el control remoto de dispositivos y se propaga vía un método probado: sus autores han paquetizado un programa legítimo y lo han subido al sitio Web de una tienda no oficial de aplicaciones para Android, popular en China. Los usuarios que descargaron el programa para configurar sus dispositivos recibieron el troyano.

Al elegir el método del envío de mensajes SMS de pago a números comerciales, resulta en tomar el control total para ocultar la presencia del programa malicioso por mucho tiempo, lo que permite tomar dinero de la cuenta de los usuarios por más tiempo.

Desde hace unos meses se detectaron las primeras versiones de Flashfake. Los desarrolladores tomaron algunas medidas para dificultar su detección, es decir, se aseguraron de que el troyano no se instalara en computadoras que contaran con soluciones antivirus, diseñaron bots para que desactivaran las actualizaciones del sistema de seguridad incorporado en el sistema Mac OS X, Xprotect. Después se observaron nuevas formas de controlar las redes zombi. Algunas versiones de Flashfake usaban cuentas de Twitter creadas por ciberdelincuentes como servidores de comando.

El principal objetivo de una bot era descargar y ejecutar módulos adicionales sin que el usuario se diera cuenta. Los delincuentes ganaban dinero por la generación de falsos resultados en los motores de búsqueda y se diseñó un módulo adicional para sustituir los enlaces en los resultados de las búsquedas.