Hoy en día, las redes zombi constituyen una de las tecnologías más usadas por los ciberdelincuentes. En este sentido, 2011 fue un año sin grandes novedades en cuanto a redes zombi, pero todo cambió a principios de 2012, cuando crearon por primera vez una red zombi que usaba un robot “sin archivo”, una red zombi móvil cuyo tamaño era comparable con las típicas redes zombi de Windows, y una red zombi de más de medio millón de ordenadores Apple con plataforma Mac OS X, explican desde Kaspersky.

El bot invisible

En el primer trimestre de 2012, Kav descubrió una red zombi creada con una nueva tecnología: los dueños de la red crearon un robot “sin archivo”. Este código malicioso pertenece a una rara categoría de programas maliciosos que sólo existen en la memoria RAM del ordenador.

El problema se manifestaba en forma de anomalías en los ordenadores infectados: comenzaron a enviar peticiones de red a recursos de terceras partes después de visitar algunos sitios web populares en el internet ruso, y en algunos casos aparecieron archivos codificados en los discos duros. Sin embargo, no aparecía ningún nuevo archivo ejecutable en los discos duros. Un análisis detallado permitió identificar la cadena completa en la que estaban involucrados los ordenadores infectados que a su vez conformaban la red zombi, lo cual distaba mucho de ser algo sencillo.

En una primera etapa, el ordenador se infectaba mediante un ataque al paso que descargaba un exploit Java para la vulnerabilidad CVE-2011-3544. El enlace, que desviaba a los usuarios al sitio web que contenía el exploit, venía insertado en un teaser comercial que aparecía en los sitios dedicados a noticias. El teaser comercial se distribuía por medio de AdFox, una red rusa de banners.

Redes zombi móviles

En el informe del tercer trimestre de 2011, Kav mencionó que los desarrolladores de programas maliciosos para dispositivos móviles se concentraron en la plataforma Android OS. En el primer trimestre de 2012, detectaron más de 5.000 (5.444) programas maliciosos para esta plataforma. La cantidad total de programas maliciosos dirigidos contra Android se ha multiplicado por nueve durante el último semestre.

Los autores chinos y rusos de programas maliciosos muestran el mayor interés por la plataforma Android. Los autores chinos se las han ingeniado para crear una red zombi de 10.000 a 30.000 dispositivos activos, y la cantidad total de smartphones infectados llega a los cientos de miles.

Esta red zombi se creó con el (troyano) puerta trasera RootSmart, que posee una extensa funcionalidad relacionada con el control remoto de dispositivos y tabletas Android. RootSnmart se propaga mediante un método probado: sus autores han rempaquetado un programa legítimo y lo han subido al sitio web de una tienda no oficial de aplicaciones para Android que es muy popular en China. Como resultado, los usuarios que descargaron el programa para configurar sus dispositivos también recibieron el troyano que los capturó para la red zombi.

Red zombi de Mac

Otra red zombi que llamó la atención de los expertos en el primer trimestre fue la implementada con ordenadores Mac OS X.

Kaspersky Lab detectó el troyano usado para construir la red como Trojan-Downloader.OSX.Flashfake. Las primeras versiones de Flashfake aparecieron en otoño. Los desarrolladores del programa malicioso tomaron algunas medidas para dificultar su detección (se aseguraron de que el troyano no se instalara en ordenadores que contaran con soluciones antivirus, diseñaron robots para que desactivaran las actualizaciones del sistema de seguridad incorporado en el sistema Mac OS X, Xprotect, etc.). Después, los cibercriminales experimentaron con nuevas formas de controlar sus redes zombi. Por ejemplo, algunas versiones de Flashfake usaban cuentas de Twitter creadas por los ciberdelincuentes como servidores de comando.

El principal objetivo de un robot es descargar y ejecutar módulos adicionales sin que el usuario se dé cuenta. Los ciberdelincuentes ganaban dinero por la generación de falsos resultados en los motores de búsqueda: se diseñó un módulo adicional para sustituir los enlaces en los resultados de las búsquedas más populares. Los ciberpiratas pueden, por supuesto, usar otros módulos, por ejemplo, para robar información desde los ordenadores infectados.

 

Fuente: muyseguridad