La Botnet ZeroAccess

0

Últimamente ha habido una gran expansión de las botnets en la red a nivel mundial. Ahora es un hecho casi cotidiano el hablar de estas amenazas. Una botnet es una red de bots u ordenadores “zombie”. Se basa en una colección de código en cada PC infectado, estando dicho código conectado al servidor de comandos de atacante mediante algún mecanismo del comunicación, lo que le permite ejecutar órdenes remotas. 

Un caso ilustrativo de su funcionamiento puede ser el de los ataques de denegación de servicio (DDoS). En este caso, una enorme red de bots reciben la orden de atacar o saturar una dirección IP particular del oibjetivo para detener sus servicios. Esto es lo que se produjo en el caso SpamHaus a gran escala.

De forma parecida, la Botnet ZeroAccess la forma en primer lugar un troyano especializado que afecta al sistema operativo Windows, descargando un malware que infecte la víctima de forma que pase a engrosar la lista de PCs “secuestrados”. Con las referencias proporcionadas por Symantec sobre el troyano, sabemos que emplea un Rootkit avanzado para “esconderse”.

Para establecer su propia Botnet, el troyano crea su propio sistema de archivos oculto, descarga más malware desde su entorno remoto y, por último, deja abierta una puerta trasera en el equipo. Entonces ya forma parte de la Botnet, pudiendo el atacante ejecutar las órdenes que considere de utilidad para sus fines. El nombre ZeroAccess se le ha otorgado a causa de una cadena de código encontrada en el Kernel, también llamado max++ debido a su capacidad de crear un objeto kernel _max++>.

Capacidad de cálculo estimada de estos sistemas

En un informe reciente, Fortiguard ha catalogado esta amenaza como la más peligrosa del trimestre. Ahora el principal vector de ataque de ZeroAccess es el Bitcoin Mining, que no es otra cosa que intentar estafar y conseguir bitcoins, una moneda de cambio virtual que no está bajo el control gubernamental. Este tipo de moneda está siendo ampliamente usada en el mercado negro de la red, para financiar tráfico de drogas, venta de armas, hacking “no ético”, etc. Estos Bitcoins son capturados desbloqueando bloques de datos que producen un patrón cuando el algoritmo hash se les aplica a esos datos.

Los “mineros” emplean máquinas potentes con tarjetas gráficas rápidas (las GPUS son más eficaces aquí que las CPU) dedicadas que les permitan desbloquear estas minas. Las máquinas son programadas para realizar esta operación de forma constante. Debido a que son equipos con varios núcleos gráficos y funcionan continuadamente, se estima que el coste anual de estos dispositivos de “minería” caseros superan los 150000 dólares en consumo energético.

Ancho de banda comparable proporcionado por una víctima

Volviendo al tema de ZeroAccess, podemos añadir que fué originalmente creada en 2011 y ha afectado a unos 9 millones de sistemas. Los vectores de expansión de esta botnet suelen ser la ingeniería social, donde se engaña a un usuario para que abra un archivo ejecutable. Este ejecutable puede ir encajado en un Keygen (generador de claves para software pirata) o puede estar camuflado bajo el nombre y aspecto de aplicaciones de uso común.

En cualquier caso, una vez abierto el archivo el sistema queda comprometido. También existe la opción de vulnerar el sistema empleando una campaña de anuncios que, si son seguidos por el usuario, le lelvan directamente a páginas infectadas con malware.

Los motivos de ataque podría contemplar de forma posterior una esquema de infección en el cual un sujeto cobrará por instalar un Rootkit en el sistema a cambio de dinero. Los ratios varían, pudiendo ser de 100$ por cada 1000 infecciones, hasta 500$ por cada 1000. Otro atractivo que conlleva es que estos sistemas se pueden explotar para producir beneficio a través de las campañas de anuncios con “pago-por-click“. Todo esto lo decide el atacante en tiempo real y lo comunica desde su servidor de Control al ordenador de la víctima.

Funcionamiento esquemático de la amenaza

Kaspersky ha reportado recientemente una nueva campaña lanzada por los spammers. Se trata de una campaña de ingeniería social fraudulenta, mediante Skype, que envía mensajes desde la aplicación a los contactos, conteniendo enlaces nocivos a webs manipuladas. Cuando el sistema queda infectado, es reclutado rápidamente para la “minería de Bitcoins”

En el próximo artículo conoceremos esta amenaza a fondo y veremos datos concretos sobre su expansión mundial.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR