2010, ¿el año de los zombis?

2009 ha sido un año importante para el malware y la actividad maliciosa en Internet por diversas razones, varias de las cuales tienen que ver con lo que se conoce como redes robot. Un zombi o robot es un PC infectado por malware que lo pone bajo el control remoto de un delincuente. Los delincuentes dirigen redes que pueden abarcar desde miles hasta millones de equipos infectados y las utilizan para cometer la mayor parte de los delitos informáticos que vemos hoy en día, como el spam, ataques DDoS, scareware, phishing y alojamiento de sitios Web maliciosos o ilegales. Están presentes allí donde haya algo que de lo que un ciberdelincuente pueda beneficiarse.

Durante la primera mitad del año, el gusano Conficker (también conocido como Downadup o Kido) acaparó todos los titulares del mundo del malware. Finalmente, se vio que la red robot Conficker llevaba la misma carga explosiva que otros ciberdelincuentes estándar, como robots de spam y antivirus falsos (o scareware), para gran decepción de algunos de los comentaristas más histéricos. Solo porque la epidemia recibió tanta atención que se extinguió igual de rápido de lo que había aparecido, no debemos engañarnos y pensar que la amenaza ha desaparecido. El Grupo de trabajo sobre Conficker, una alianza de proveedores, investigadores y otras organizaciones comerciales relacionados con la seguridad, indica actualmente que alrededor de 6 millones de direcciones IP únicas parecen estar infectadas por este malware.

Otra tendencia del 2009 fue el aumento exponencial en el mal uso de proveedores de redes sociales para fines maliciosos. Las enormes poblaciones de usuarios activos en sitios tales como Facebook, Twitter y MySpace han demostrado ser un aliciente muy atractivo para el crimen informático organizado y sus timos de antivirus falsos, reclutamiento de robots y lucro económico. Facebook ha sufrido el mal uso de aplicaciones maliciosas diseñadas para engañar a los usuarios de forma que hagan clic en enlaces que remuneran a su creador mediante redes de publicidad afiliadas (pagan al creador por cada clic que hagan los usuarios). También se ha utilizado para difundir malware por diversos medios, enlaces maliciosos en publicaciones en el muro y mensajes, malware diseñado específicamente para piratear cuentas y ataques externos a aplicaciones legítimas de Facebook. La familia de malware Koobface (también una red robot) ha evolucionado durante el transcurso del 2009; en un principio se difundía mediante mensajes maliciosos y publicaciones en el muro con enlaces a sitios de YouTube falsos que llevaban a un supuesto códec para poder ver el vídeo. El códec, por supuesto, no era tal, y provocaba una infección y el pirateo de la cuenta. Ahora, sin embargo, Koobface ha evolucionado hasta el punto de que es perfectamente capaz de crear sus propias páginas de perfil de Facebook, completas, con dirección de Gmail confirmada, fotografía y datos biográficos. Estas cuentas falsas se dedican a continuación a unirse a redes y a enviar solicitudes de amistad; todo ello, de nuevo, de forma totalmente automática.

Aquí es donde la cosa se pone interesante; además del spam y el malware, los sitios Web 2.0 han sufrido nuevos y preocupantes tipos de ataque durante el transcurso del 2009. Twitter y Google Reader se han utilizado como página de inicio para campañas de spam, para tratar de sortear el filtrado de URL en los mensajes de correo electrónico. En los últimos meses, Twitter, Facebook, Pastebin, Google Groups y un Google AppEngine se han utilizado como servidores sustitutos de comando y control para redes robot. Estos foros públicos se han configurado para emitir comandos cifrados a redes robot distribuidas por todo el mundo. Hasta ahora, se pensaba que un PC que estableciera una conexión Web estándar con Facebook, Google o Twitter, incluso varias veces al día, estaba funcionando con total normalidad. Sin embargo, esto ha dejado de ser así, ya que los propietarios de redes robot y los grupos de delincuentes tratan de seguir disipando su infraestructura de comando y control y mezclarse entre el ruido general de Internet.

No es coincidencia que gran parte de la innovación alcanzada en 2009 se refiera a sistemas de comando y control para redes robot. La gran mayoría de las redes robot de la vieja escuela, controladas por IRC, se apagan tras 24 horas y los robots de redes de igual a igual suelen dejar también firmas visibles, lo que conduce a su neutralización en cada equipo. Un aspecto de los controles de redes robot para Web 2.0 que no me extrañaría que estuvieran estudiando actualmente los ciberdelincuentes es el único punto flaco que constituye el basarse en un solo proveedor como Facebook o Google, ya que con solo cerrar la página de Facebook maliciosa ya se está desactivando la red robot. Los creadores de redes robot han invertido grandes cantidades de tiempo y código en distribuir su infraestructura de gestión, en fast-flux y en protocolos de igual a igual. Podemos estar totalmente seguros de que trasladarán las lecciones que han aprendido a la nueva red robot «habilitada para Internet». Justo la semana pasada se anunció que la red robot Zeus está utilizando los servicios EC2 de Amazon para el comando y control. Es completamente posible que la capacidad de la última variante de Koobface para crear varios perfiles automáticos se aproveche para solucionar el único punto flaco inherente al uso de un solo perfil de Facebook o Twitter como canal encubierto.

Cuando se trata de redes robot, estaría muy bien poder decir que “la cosa va mejorando”. Pero no es el caso. Cada vez hay más equipos infectados y las infecciones duran cada vez más tiempo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.