Los códigos maliciosos y las técnicas o metodologías utilizadas durante los procesos de propagación e infección han evolucionado considerablemente en los últimos años. Ya a mediados del año 2008 las tendencias se perfilaban claramente hacia un aprovechamiento de Internet como plataforma de ataque.
En la actualidad, ha aumentado el índice de propagación de códigos maliciosos diseñados para explotar debilidades en los sistemas de información y convertir a cada equipo infectado en parte de una gran red de computadoras zombis (botnet) operadas de manera centralizada y remota desde Internet por uno o varios atacantes a través de una interfaz web.
Estos aplicativos, en su mayoría de origen ruso, se componen de diferentes módulos escritos en lenguaje de programación PHP, cada uno de los cuales se encarga de una tarea específica dentro del organigrama delictivo que da comienzo al ciclo de reclutamiento de computadoras zombis (que formarán parte de una botnet) a través de la propagación/infección de códigos maliciosos, con el objetivo de nutrir la economía de los atacantes.
Una de las características más significativas de estos aplicativos, que se engloban bajo el concepto de crimeware, radica en posibilitar que el botmaster (persona que administra una botnet) realice actividades delictivas monitoreando información y estadísticas de propagación para obtener de manera rápida y visual una idea global del índice de infección de cada malware propagado.
La estructura de estos aplicativos web se compone de dos módulos. El módulo de explotación, por su parte, posibilita la propagación de diferentes amenazas a través de exploits diseñados para aprovechar debilidades, tanto en un sistema operativo como en aplicativos populares y masivamente utilizados por los usuarios. Por otro lado, el módulo de infección es aquel mediante el cual se diseminan códigos maliciosos previamente creados con una aplicación interna que forma parte del mismo paquete crimeware.
En la imagen, se aprecia el módulo que aloja la configuración de una serie de exploits precargados y preconfigurados. En este caso, los mismos están diseñados para aprovechar vulnerabilidades en los navegadores Internet Explorer 7 y 8, Opera y Firefox, tres de los navegadores más utilizados a nivel global.
Muchas de las vulnerabilidades que se intentan explotar a través de estas amenazas datan de hace varios años atrás, como por ejemplo, las solucionadas y mencionadas a través de los Boletines Oficiales de Microsoft MS06-014, MS06-055, MS06-057, MS06-067 y MS06-071.
Sin embargo, no sólo se incorporan exploits para los sistemas operativos de Microsoft sino que también se poseen para aplicaciones como QuickTime (CVE-2007-0015), Adobe Flash Player (CVE-2007-0071), Adobe Reader y Foxit PDF (CVE-2008-2992), Yahoo! Messenger (CVE-2007-3147, CVE-2007-3148 y CVE-2007-5659), incluso, Microsoft Office (CVE-2008-2463). Por este motivo, es fundamental no hacer caso omiso a los consejos de los profesionales de seguridad en cuanto a la importancia de mantener los entornos de información actualizados con los parches de seguridad correspondientes.
En torno a los ataques, realizados a través del mismo panel de control (también conocido como C&C, o Comando y Control ), se fusionan diferentes técnicas como la inyección de etiquetas iframe, scripting y ofuscación de código que, junto con el exploiting, conforman un conjunto que deriva en otra técnica conocida como Drive-by-Download.
Actividades maliciosas realizadas a través de botnets
Las redes de equipos zombis (botnets) que se administran a través de estos paneles de control, permiten un aprovechamiento de los recursos locales de cada uno de los sistemas comprometidos para poder llevar a cabo diferentes actividades maliciosas entre las que se destacan:
- Robo de información sensible y confidencial de los usuarios
- Distribución e instalación de nuevo malware: el malware establece una conexión con servidores maliciosos desde los que descarga y ejecuta otros códigos maliciosos.
- Envío de correo electrónico no deseado (SPAM): a través de todos los zombis que forman parte de la botnet, se envía spam de manera masiva
- Realización de ataques dirigidos: se aprovecha la capacidad computacional de todos los equipos comprometidos, para realizar ataques dirigidos como por ejemplo: Denegación de Servicio Distribuida (DDoS)
- Construcción de servidores para alojar archivos: se utilizan los equipos zombi para alojar software warez, cracks, seriales, entre otros. Además, puede ser que se aloje también material del tipo pornográfico y/o pedofílico
- Construcción de servidores web para ataques de phishing: se alojan, por ejemplo, clonaciones de sitios web de entidades bancarias en los equipos que forman parte de la botnet
- Creación de redes privadas de intercambio de material ilegal transmitido a través de redes P2P
- Abuso de publicidad online como AdSense: se utilizan códigos maliciosos diseñados para automatizar la tarea
- Manipulación de juegos online: se utiliza malware concebido para robar perfiles de usuarios que juegan en línea juegos tipo WOW, SecondLife, entre otros.
Conclusión
Los aplicativos crimeware vía web cumplen un rol fundamental para los atacantes debido a que le permiten propagar diferentes códigos maliciosos, entre otras tantas actividades de índole ilícita. Los casos como MPack y Zeus, AdPack y Unique -investigados por ESET y con información publicada en el Blog de Laboratorio- dan cuenta de que la industria del malware no se detiene sino que, por el contrario, renueva constantemente las estrategias de infección.
Bajo este escenario, se torna fundamental confiar la seguridad antimalware a soluciones con capacidades de temprana y proactiva, tales como ESET NOD32 Antivirus cuya Heurística Avanzada ofrece la detección de amenazas incluso desconocidas, previniendo así los ataques generados a través de este tipo de focos de propagación e infección.
