Un equipo de investigadores logra secuestrar un botnet de tipo “drive-by”

|

Un equipo de investigadores universitarios, y mediante su infiltración en una red informática criminal con el objetivo de infectar a los visitantes de páginas web legítimas, han logrado saber de primera mano tanto la escala como el rango de actuación del así llamado "drive-by downloading" (unas descargas automáticas llevadas a cabo sin el consentimiento ni el conocimiento del usuario.) Descubrieron más de 6.500 páginas web portadoras de código malicioso que lograron redirigir a casi 340.000 visitantes hacia sitios maliciosos.

El "drive-by downloading" consiste en forzar el acceso a un sitio legítimo para lograr instalar software malicioso en las máquinas de los visitantes o redirigirlos a otro sitio.


En un estudio aún por publicar, los investigadores de la Universidad de California en Santa Bárbara describen un estudio de cuatro meses mediante el que conectaron sus servidores a un grupo de ordenadores afectados conocido como el botnet (robot informático) Mebroot. Entre sus hallazgos, los investigadores descubrieron que, aunque los sitios de peor reputación de internet—aquellos que alojan porno y descargas ilegales—eran los más efectivos a la hora de redirigir a los usuarios a sitos de descargas maliciosas, los sitios de negocios eran los más comunes a la hora de reenviar a los usuarios.

“Hace tiempo creíamos que con tal de no navegar por páginas porno estábamos seguros,” afirma Giovanni Vigna, profesor en USCB de ciencias informáticas y uno de los autores del estudio. “Sin embargo, quedarse al margen de los sitios de mala reputación en internet ya no es sinónimo de estar a salvo.”

La red Mebroot, descubierta por los investigadores por primera vez en 2007, utiliza una serie de páginas web para redirigir a los visitantes a servidores de descarga centralizados que intentan infectar el ordenador de la víctima. Los investigadores afirman que el software malicioso, nombrado a raíz de su táctica de infectar el registro de inicio maestro (MBR) de los ordenadores con Windows, muestra señales de haber sido programado de forma profesional, incluyendo un ciclo rápido de depuración.

“Decididamente es uno de los botnets más avanzados y profesionales que existen,” afirma Kimmo Kasslin, director de respuestas de seguridad para la firma de antivirus F-Secure, con sede en Helsinki, Finlandia.

Mediante el uso de una variedad de métodos, los criminales responsables de Mebroot infectan servidores web legítimos con código Javascript. El código redirige al visitante a un dominio de internet distinto, que cambia a diario, y donde un servidor malicioso intenta afectar el ordenador con un programa que proporciona los propietarios del botnet el control remoto de la máquina afectada.

La técnica de dominios a medida es una forma relativamente sofisticada de frustrar los intentos de desconectar la red de forma permanente, afirman los investigadores. Los antiguos esquemas de "drive-by downloading" redirigían a las víctimas a direcciones web codificadas de forma permanente.
En vez de utilizar una dirección estática, el Javascript que utiliza Mebroot genera una nueva dirección cada día, de forma similar al algoritmo de dominio utilizado por otra plaga informática llamada Conficker. Sin embargo, y puesto que el algoritmo depende de datos de entrada conocidos—por ejemplo la fecha—los dominios se pueden precomputarizar, ayudando así a los defensores. El Grupo de Trabajo Conficker, por ejemplo, intentaba reservar los dominios futuros al menos con un mes de antelación.

Fuente: Technology Review

ARTICULOS ANTERIORES:

 

©2010 Genera tu Ingreso | Diseño de Luis Santos *Cel.: (809) 517-1725 * Para:Genera tu Ingreso *San Fco. de Macorís, Rep. Dom.