Sin lugar a dudas las botnets representan una pieza fundamental dentro del escenario delictivo del crimeware, a través de todas sus vetas de negocio, y en la actualidad existe un importante volumen de actividades fraudulentas que se llevan a cabo a través de ellas.

Por otro lado, si consideramos que una botnet pequeña se encuentra conformada por una cantidad de computadoras comprometidas (zombis) que no supera los 20.000, es evidente que los delincuentes han encontrado en ellas el camino delictivo más redituable.

Recientemente hemos descubierto una botnet para nada pequeña, ya que está compuesta por más de 330.000 computadoras vulneradas en más de 20 países.  Esta botnet recluta las zombis a través de un código malicioso que cuenta con una importante tasa de infección, detectado por ESET NOD32 con el nombre genérico de Oficla (también conocido como Sasfis), cuya gestión y administración (C&C - Comando y Control) se realiza a través de una aplicación web denominado myLoader que se controla a través del protocolo HTTP, comercializado en el mercado clandestino a un costo de 750 dólares.

Oficla Botnet

Ahora, una de las cosas más interesantes es comprender cómo se realiza la comunicación entre cada uno de los zombis y el botmaster. La misma se lleva a cabo a través de la transmisión vía HTTP de diferentes comandos destinados a ejecutar tareas específicas y notificar al C&C sobre el estado de cada equipo comprometido.

A continuación tenemos un ejemplo de la transmisión de comandos y parámetros a través del protocolo HTTP, conjuntamente con lo que significa cada especificación:

[dominio]/[carpeta-paquete]/bb.php?v=200&id=657773867&b=update&tm=8

v=xxx: versión del paquete
id=xxxxxx: ID asignado al equipo infectado (el zombi)
b=update: nombre del archivo con el cual se propaga el malware
tm=x: valor en minutos que especifica el tiempo en que se verifica el status del equipo infectado

Si bien el foco delictivo de esta botnet no se encuentra en América Latina, constituye un ejemplo representativo sobre las actividades delictivas que se generan a través de ellas. También deja en evidencia la necesidad de implementar mecanismos de detección proactivos como los ofrecidos por ESET, que detectan estas amenazas de forma temprana, previniendo así que el equipo forme parte de esta o de cualquier otra botnet.

Jorge Mieres
Analista de Seguridad