Los criminales detrás de la red zombi hicieron más de u$s 2 millones en un año.

Los investigadores de seguridad, trabajando con las autoridades y proveedores de servicios de Internet, han desbaratado el cerebro de la red zombi Koobface.

La tarde del viernes, hora del Pacífico, el equipo identificado como el servidor de comando y control (C&C) utilizado para enviar instrucciones a las máquinas infectadas Koobface estaba desconectado. Según Nart Villeneuve, el jefe de investigación de SecDev Group, el servidor fue uno de los tres sistemas de Koobface que fueron desconectados el viernes por Coreix, un proveedor británico de servicios de Internet. “Estaban todos en la misma red, y ahora son inaccesibles”, dijo Villeneuve Viernes por la noche.

En Coreix bajaron los servidores después que los investigadores se contactaron con la policía del Reino Unido, dijo Villeneuve. La compañía no pudo ser contactada inmediatamente para hacer comentarios.

La desconexión interrumpirá a Koobface por un tiempo, pero para un efecto real, mucho más tendrá que suceder. Las máquinas que están infectadas por Koobface se conectan a servidores intermediarios – típicamente servidores Web que han tenido sus credenciales FTP comprometidas – que luego los redirigen hacia los ahora derribados servidores de comando y control.

El desmontaje del viernes es parte de una operación más amplia que comenzó hace dos semanas. Villeneuve y su equipo han notificado a los ISPs sobre las cuentas FTP comprometidas, y también han avisado a Facebook y Google de cientos de miles de cuentas operadas mediante Koobface.

Las cuentas de Facebook se utilizan para atraer a las víctimas a las páginas de Google Blogspot, que a su vez son redirigidas a servidores web que contienen el código malicioso Koobface. A las víctimas por lo general se les promete un interesante vídeo en una página diseñada para parecerse a YouTube. Pero primero tienen que descargar el software de video especial. Ese software es en realidad el (malware) Koobface.

Koobface incluye varios componentes, incluyendo el software gusano que automáticamente intenta infectar amigos de Facebook de las víctimas, y el código de red zombi que da a los hackers el control remoto del ordenador infectado.

Koobface ha resultado ser un negocio muy lucrativo, desde que primero apareció en Facebook, en julio de 2008. En un informe publicado el viernes, Villeneuve dice que la red zombi ha hecho más de 2 millones de dólares entre junio de 2009 y junio de 2010.

Los investigadores encontraron los datos almacenados en otro servidor central, llamado “la nave nodriza” utilizado por la banda Koobface para realizar un seguimiento de las cuentas. Este servidor envía mensajes de texto todos los días a cuatro números de celulares de Rusia cada día, informando los ingresos totales diarios de la botnet. Los ingresos van desde una pérdida de u$s 1.014,11 el 15 de enero de este año hasta una ganancia de u$s 19.928,53 el 23 de marzo.

Los pagos se hicieron a los operadores de Koobface a través de los servicios de pago Paymer, similar a PayPal de eBay.

Los creadores de la pandilla que utilizan sus ordenadores hackeados para registrar más cuentas de Gmail, Facebook y Blogspot y robar contraseñas FTP (File Transfer Protocol). También ensuciaron los resultados de las búsquedas de sus víctimas para engañarlos para que haga clic en los anuncios en línea, generando dinero por referencia de las empresas de publicidad. Más dinero provenía de software antivirus falso que Koobface puede colarse en las computadoras de las víctimas.

Casi exactamente la mitad de los ingresos de Koobface – poco más de $ 1 millón – llegó del software antivirus falso. La otra mitad provino de las tasas de publicidad en línea.

Villeneuve no identifica a la banda de Koobface en el informe, pero cree que al menos una de las vidas de los miembros en San Petersburgo.

Curiosamente, los operadores de Koobface podría haber causado más daño. Podían haber irrumpido en las cuentas bancarias en línea, o el robo de contraseñas o de números de tarjetas de crédito, pero no lo hicieron.

“La banda de Koobface tenía un cierto encanto y la restricción ética”, declara el informe. “Se comunicaron con los investigadores de seguridad acerca de sus intenciones y su deseo de no hacer daño importante. Limitaron sus delitos de fraude pequeño, aunque en gran escala y de alcance. Sin embargo, la parte que da miedo es que fácilmente podrían haberlo hecho de la otra manera.”

Sin embargo, puede que no sean tan amable con los investigadores a partir de ahora.

Villeneuve ha entregado información a la Real Policía Montada del Canadá, los EE.UU. Oficina Federal de Investigaciones, y las autoridades del Reino Unido. Y los investigadores también han notificado Facebook, Google y varios proveedores de Internet sobre las cuentas fraudulentas y comprometida. Se han identificado 20 mil cuentas falsas de Facebook, 500.000 cuentas falsas de Gmail y Blogspot, y miles de cuentas de FTP comprometidas utilizadas por la banda.

Tienen la esperanza de que estas actividades interrumpan las operaciones de la red zombi, pero Villeneuve no se hace ilusiones acerca de Koobface sea detenido. “Creo que probablemente la van a poner en marcha muy pronto, y probablemente van a tratar de recuperar la mayor cantidad de sus bots, tan pronto como puedan”, dijo.

Traducción: Raúl Batista – Segu-Info
Autor: Robert McMillan
Fuente: Networkworld