211service.com
La mayoría del malware vinculado al mercado de 'pago por instalación'
Una nueva investigación sugiere que la mayoría de las computadoras personales infectadas con software malintencionado pueden haber llegado a ese estado gracias a un bullicioso mercado clandestino que combina bandas criminales que pagan por instalaciones de malware con piratas informáticos emprendedores que buscan vender acceso a PC comprometidas.
Los servicios de pago por instalación (PPI) se anuncian en oscuros foros web clandestinos. Los clientes envían su malware (un spam, un software antivirus falso o un troyano que roba contraseñas) al servicio PPI, que a su vez cobra tarifas de $ 7 a $ 180 por cada mil instalaciones exitosas, según la ubicación geográfica solicitada de las víctimas deseadas.
Los servicios de PPI también atraen a distribuidores de malware empresariales, o afiliados, piratas informáticos que tienen la tarea de averiguar cómo instalar el malware en las máquinas de las víctimas. Los esquemas de instalación típicos implican cargar programas contaminados a redes públicas de intercambio de archivos; piratear sitios web legítimos para descargar automáticamente los archivos a los visitantes; y ejecutar silenciosamente los programas en las PC que ya han comprometido. Los afiliados reciben crédito solo por instalaciones exitosas, a través de un código de afiliado único y estático cosido en los programas de instalación y comunicado al servicio PPI después de cada instalación.
en un nuevo papel Investigadores de la Universidad de California, Berkeley, y el Instituto de Estudios Avanzados en Tecnologías de Desarrollo de Software de Madrid describen la infiltración de cuatro servicios de PPI en competencia en agosto de 2010, al secuestrar subrepticiamente múltiples cuentas de afiliados. El equipo construyó un sistema automatizado para descargar regularmente los instaladores impulsados por los diferentes servicios de PPI.
Los investigadores analizaron más de un millón de instaladores ofrecidos por los servicios de PPI. Ese análisis condujo a un descubrimiento sorprendente: de los 20 principales tipos de malware del mundo, 12 emplearon servicios de PPI para comprar infecciones.
Al entrar en este estudio, no me di cuenta de que la PPI es potencialmente el vector número uno para la maldad, dijo Vern Paxson , profesor asociado de ingeniería eléctrica y ciencias de la computación en UC Berkeley. Ahora tenemos la sensación de que las botnets tienen un valor potencial de millones [de dólares] al año, porque proporcionan un medio para que los malhechores subcontraten la difusión global de su malware.
Los investigadores se propusieron trazar un mapa de la distribución geográfica del malware impulsado por estos servicios, por lo que idearon una forma automatizada de descargar instaladores. Utilizaron servicios como la plataforma de computación en la nube EC2 de Amazon y Tor, un servicio gratuito que permite a los usuarios comunicarse de forma anónima enrutando sus conexiones a través de múltiples computadoras en todo el mundo, para engañar al programa de pago por instalación para que piense que las solicitudes provienen de ubicaciones cercanas. el mundo.
El sistema clasificó el malware recopilado por tipo de tráfico de red y cada muestra generó cuando se ejecutó en un sistema de prueba. Los investigadores dijeron que tomaron precauciones para evitar que se acreditaran las instalaciones de prueba en las cuentas de los afiliados.
El análisis de los servicios de PPI indica que se dirigen con mayor frecuencia a PC en Europa y Estados Unidos. Estas regiones son más ricas que la mayoría de las demás y ofrecen a los afiliados las tasas por instalación más altas.
Pero los investigadores suponen que hay factores más allá del precio que pueden influir en la elección de país de un cliente de PPI. Por ejemplo, un spambot como Rustock requiere poco más que una dirección de Internet única para enviar spam, mientras que el software antivirus falso depende de la víctima para realizar una tarjeta de crédito o un pago bancario y, por lo tanto, es posible que deba admitir varios idiomas o métodos de compra.
El equipo también descubrió que los programas de PPI casi siempre instalan bots que involucran a los sistemas infectados en una variedad de esquemas de fraude de clics, que involucran clics fraudulentos o automatizados en anuncios para generar ingresos por publicidad falsamente.
Un hallazgo inesperado puede ayudar a explicar por qué las PC infectadas con un tipo de malware a menudo se atascan rápidamente con múltiples infecciones: los descargadores que forman parte de un esquema a menudo obtienen descargadores de otro. En otras palabras, los afiliados de un servicio de PPI a veces actúan como clientes de otros servicios. En consecuencia, muchos de los instaladores impulsados por los afiliados abrumarán a las PC receptoras con muchos tipos de software malicioso.
Especulamos que algunos de estos afiliados de servicios de PPI múltiples son arbitrajistas, que intentan aprovechar las diferencias de precios entre las tarifas de instalación (más altas) pagadas a los afiliados de un servicio para alguna región geográfica frente a las tarifas de instalación (más bajas) que se cobran a los clientes. de otro servicio de PPI, escribieron los investigadores.
Esta dinámica genera un conflicto de intereses inherente al mercado de PPI que perjudica tanto a los clientes como a los afiliados: cuantas más instalaciones proporcione un afiliado, mayor será el pago recibido. Pero cuanto más malware se instala, mayor es la probabilidad de que el propietario de un sistema infectado note un problema y tome medidas para erradicar el malware.
Los servicios de PPI tienen implicaciones nefastas para los esfuerzos coordinados para cerrar las botnets. En los últimos meses, los investigadores de seguridad, los proveedores de servicios de Internet y las fuerzas del orden han trabajado juntos para desmantelar algunas de las redes de bots más grandes del mundo. En marzo, por ejemplo, Microsoft se asoció con empresas de seguridad para paralizar la botnet Rustock, una de las botnets de spam más activas del planeta.
Los investigadores de Berkeley argumentan que incluso si los defensores pueden limpiar una botnet, secuestrando sus servidores de control e incluso desinfectando remotamente las PC, el controlador de esa botnet puede reconstruirla haciendo pagos modestos a uno o más servicios de PPI.
En el mercado actual, todo el proceso cuesta centavos por host objetivo, lo suficientemente barato para que los botmasters simplemente reconstruyan sus filas desde cero frente a los defensores que lanzan esfuerzos de eliminación extensos y enérgicos, escribieron los investigadores.