Symantec y Microsoft desactivan Botnet Fraudulenta
Hoy nos complace anunciar el exitoso desmantelamiento de la botnet Bamital. Symantec ha estado rastreando esta botnet desde finales de 2009 y recientemente se asoció con Microsoft para identificar y lograr que dejen de funcionar todos los componentes vitales para la operación de la botnet.
Bamital es una familia de malware cuyo objetivo principal es secuestrar resultados de motores de búsqueda, redireccionando clics sobre estos resultados a un servidor de comando y control (C&C) controlado por un atacante. El servidor C&C redirecciona estos resultados de búsqueda a sitios web que eligen los atacantes. Bamital también tiene la capacidad de hacer clic sobre publicidades sin interacción del usuario. El resultado de esto es una mala experiencia de usuario al utilizar motores de búsqueda, junto con un mayor riesgo de sufrir infecciones de malware adicionales.
El origen de Bamital puede remitirse a finales de 2009. El malware ha evolucionado a través de múltiples variaciones durante el último par de años. Bamital se ha propagado principalmente mediante descargas desde sitios web legítimos y archivos modificados maliciosamente en redes peer-to-peer (p2p). A partir del análisis de un solo servidor Bamital C&C durante un período de seis semanas en 2011, pudimos identificar más de 1.8 millones de direcciones IP exclusivas que se comunicaban con el servidor, y un promedio de tres millones de clics secuestrados por día. Información reciente de la botnet muestra que el número de solicitudes que llegan al servidor C&C supera ampliamente un millón por día (ver figura 1).
Figura 1. Distribución geográfica de las infecciones. Septiembre, 2011
«Fraude por clic» (clickfraud), el nombre utilizado para denominar el tipo de fraude cometido por Bamital, es el proceso de un humano o script automatizado que imita la conducta del usuario en línea y hace clic sobre publicidades online para obtener una ganancia monetaria. Bamital redireccionó usuarios finales a anuncios y contenido que no tenían intención de visitar. Asimismo, generó tráfico no humano en anuncios y sitios web con la intención de recibir pagos de las redes de publicidad. Bamital también fue responsable de redireccionar usuarios hacia sitios web que trafican malware bajo la apariencia de software legítimo. El siguiente video ilustra el modo en que Bamital explota el modelo de publicidad online:
Bamital es solo una de muchas botnets o redes bot que utilizan el fraude por clic para ganar dinero y fomentar otras actividades relacionadas con el delito cibernético. Muchos de los atacantes detrás de estos esquemas sienten que el riesgo es bajo porque muchos usuarios desconocen que sus computadoras se están utilizando para este fin. Este desmantelamiento les envía un mensaje a esos atacantes: que las operaciones de fraude por clic están siendo monitoreadas y pueden desconectarlos.
Para obtener más detalles sobre las actividades de Bamital, puede descargar una copia de nuestro informe.
Para encontrar detalles sobre cómo recuperarse de la infección, visite: www.norton.com/bamital
Los usuarios de productos de seguridad de Symantec con definiciones actuales ya están protegidos contra Bamital y sus variantes.
Symantec Security Response agradece a la Guardia Civil de España, Catalunyan CERT (CESICAT) y a Microsoft por ayudarnos a entender y finalmente lograr la desaparición de esta botnet.