Investigadores secuestran una botnet que pasa por un vehículo

Al infiltrarse en una red informática delictiva destinada a infectar a los visitantes de sitios web legítimos, los investigadores universitarios han obtenido información de primera mano sobre la escala y el alcance de las llamadas descargas automáticas. Encontraron más de 6.500 sitios web que alojaban códigos maliciosos que redirigían a casi 340.000 visitantes a sitios maliciosos.





La descarga automática implica piratear un sitio legítimo para instalar de forma encubierta software malicioso en las máquinas de los visitantes o redirigirlos a otro sitio.

En un artículo inédito, investigadores de la Universidad de California en Santa Bárbara describen un estudio de cuatro meses en el que conectaron sus servidores a una colección de computadoras comprometidas conocida como la botnet Mebroot. Entre sus hallazgos, los investigadores descubrieron que, si bien los sitios más sórdidos en Internet, los que alojan pornografía y descargas ilegales, eran más efectivos para redirigir a los usuarios a un sitio de descarga malicioso, los sitios comerciales eran más comunes entre los referentes comprometidos.

Érase una vez, pensaba que si no navegaba por la pornografía, estaría a salvo, dice Giovanni Vigna , profesor de ciencias de la computación de UCSB y uno de los autores del artículo. Pero mantenerse alejado de los lugares sórdidos de Internet ya no es una garantía de seguridad.

Descubierta por primera vez por investigadores a finales de 2007, la red Mebroot utiliza sitios web comprometidos para redirigir a los visitantes a servidores de descarga centralizados que intentan infectar la computadora de la víctima. El software malicioso, llamado así por su táctica de infectar el registro de arranque maestro (MBR) de una computadora con Windows, muestra signos de programación profesional, incluido un ciclo rápido de depuración, dicen los investigadores.

Definitivamente es una de las redes de bots más avanzadas y profesionales que existen, dice Kimmo Kasslin, director de respuesta de seguridad de la firma antivirus F-Secure, con sede en Helsinki, Finlandia.

Usando una variedad de métodos, los criminales detrás de Mebroot infectan servidores web legítimos con código Javascript. El código redirige a los visitantes a un dominio de Internet diferente, que cambia todos los días, y donde un servidor malintencionado intenta comprometer su computadora con un programa que proporciona a los propietarios de la botnet el control remoto de esa máquina.

La técnica de generación de dominios personalizados es una forma relativamente sofisticada de frustrar los intentos de cerrar permanentemente la red, dicen los investigadores. Los esquemas más antiguos de descarga desde el vehículo han redirigido a las víctimas a una dirección web codificada de forma rígida. En lugar de una dirección estática, el Javascript utilizado por Mebroot genera una nueva dirección todos los días, similar al algoritmo de dominio utilizado por otra plaga informática llamada Conficker. Sin embargo, debido a que el algoritmo se basa en entradas conocidas, es decir, la fecha, los dominios se pueden calcular previamente, lo que ayuda a los defensores. El Grupo de Trabajo de Conficker, por ejemplo, intentó reservar dominios futuros con al menos un mes de anticipación.

Durante los cuatro meses que los investigadores estudiaron Mebroot, la red de infección utilizó tres algoritmos de generación de dominios diferentes, dos de los cuales solo utilizaron la fecha del día como entrada. Sin embargo, la última variante agrega una variable que no se puede adivinar fácilmente con mucha anticipación: los segundos caracteres del término de búsqueda más popular del día en Twitter.

Ellos (los creadores de Mebroot) usaron una variable que no estaba bajo el control de los malos ni de los buenos, dice Marco Cova, estudiante de UCSB y coautor del artículo.

Después de aplicar ingeniería inversa al algoritmo de generación de dominios, los investigadores secuestraron temporalmente Mebroot al reflejar los pasos que toman los sitios web comprometidos para calcular el dominio del día actual y registrar esos dominios ellos mismos. Pero los investigadores notaron que cuando registraban un dominio para sus servidores sumideros, la banda Mebroot reaccionaba registrando dominios futuros más rápido.

Los investigadores también pudieron perfilar a la víctima típica de la red. Casi el 64 por ciento de los visitantes redirigidos a los servidores de los investigadores usaban Windows XP, mientras que el 23 por ciento usaban Windows Vista. Los siguientes dos sistemas operativos más populares fueron Mac OS X 10.4 Tiger y Mac OS X 10.5 Leopard, que representaron el 6.4 por ciento de todos los visitantes.

Los investigadores nunca comprometieron los sistemas de los visitantes. Pero pudieron encontrar evidencia de que habían sido infectados al analizar dos tipos de información enviada a través de la red. Uno sugirió que el 6.5 por ciento de los visitantes estaban infectados con malware. El otro indicó que 13.3. por ciento de los sistemas habían sido modificados por archivos maliciosos o no deseados. Además, más de la mitad, alrededor del 54 por ciento, ejecutaba algún tipo de software antivirus. Aproximadamente el 12 por ciento de los que ejecutaban el software de seguridad también estaban infectados por malware, encontraron los investigadores.

Los investigadores también descubrieron que casi el 70 por ciento de los redirigidos por Mebroot, clasificados por dirección de Internet, eran vulnerables a una de las casi 40 vulnerabilidades que utilizan habitualmente los conjuntos de herramientas de infección más populares diseñados para comprometer los sistemas informáticos. Aproximadamente la mitad de ese número era vulnerable a las seis vulnerabilidades específicas utilizadas por el kit de herramientas de Mebroot.

La investigación sugiere que los usuarios necesitan actualizar con más frecuencia, dice Vigna de UCSB.

Los parches son muy buenos para reducir la exposición de los usuarios finales, pero los usuarios no son muy buenos para actualizar su sistema, dice.

esconder