Llegamos a ustedes gracias a:



Noticias

Un grupo de investigadores consigue desconectar la botnet Koobface

[16/11/2010] El pasado viernes lograron tirar el servidor de comando y control utilizado para enviar las instrucciones que convertían máquinas en computadoras zombies de Koobface. Concretamente, según Nart Villeneuve, investigador jefe de SecDev Group, este servidor fue uno de tres sistemas Koobface desconectados ese día por Coreix, proveedor de servicios Internet británico. Todos ellos formaban parte de la misma red y son ahora inaccesibles, explica Villeneuve.

La desconexión se produjo a raíz de que los investigadores contactaran con la policía británica, según Villeneuve, y consiguió interrumpir el funcionamiento de la botnet, aunque nada garantiza que la medida vaya a tener efecto a largo plazo. Las máquinas infectadas por Koobface se conectan a servidores intermedios -generalmente servidores web cuyas credenciales FTP han sido comprometidas- que las redirigían a los sistemas ahora desactivados.
La operación del viernes es parte de otra de mayor alcance iniciada hace dos semanas. Villeneuve y su equipo habían notificado a los ISP de la existencia de cuentas FTP comprometidas, y a Facebook y Google sobre cientos de miles de cuentas en sus sitios operadas desde Koobface.
En este último caso, los ciberdelincuentes utilizan las cuentas Facebook para incitar a sus víctimas a visitar páginas Google Blogspot, que a su vez les redirigen a servidores web que contienen el código malicioso Koobface. Generalmente el señuelo es la promesa de algún video interesante sobre una página diseñada como YouTube, y se dice a la víctima que, para verlo, debe descargar un software especial, que en realidad es el malware.
Koobface incluye varios componentes, como un software gusano que automáticamente intenta infectar a los contactos de la víctima en Facebook, y el código botnet que otorga a los hackers el control remoto de las computadoras infectadas.
Esta botnet se ha convertido en un negocio bastante lucrativo desde su primera aparición en Facebook en julio del 2008. Villeneuve estima que ha conseguido más de dos millones de dólares entre junio del 2009 y junio del 2010.
Por otra parte, se han descubierto datos almacenados en otro servidor central de Koobface, denominado the mothership y utilizado por los ciberdelincuentes para realizar el seguimiento de cuentas. Este servidor envía diariamente mensajes de texto a cuatro números móviles de Rusia informando del total de ganancias de Koobface durante la jornada. El balance varía en gran medida de unos días a otros; por ejemplo, el 15 de junio la botnet perdió 1.014,11 dólares, pero el 23 de marzo ganó 19.928,53.
La mitad de los ingresos totales de la botnet -algo más de un millón de dólares- se han generado mediante la venta de falso software antivirus y el resto mediante el cobro de tarifas por publicidad online. Los pagos llegan a los operadores de Koobface a través del servicio Paymer, similar a PayPal de eBay.
Robert McMillan, IDG News Service (San Francisco Bureau)