Este último viernes hemos visto un nuevo golpe a las botnet, en este caso se han dado de baja algunos de los centros de comando de Koobface, una reconocida botnet que ha estado en el ambiente desde hace ya algunos años y le ha dado a sus administradores grandes sumas de dinero en ganancias. Estamos frente la cuarta desmantelamiento de una botnet en lo que va del año, otras de ellas fueron el de Mariposa, Wadelac y Bredolab.

En varias ocasiones hemos mencionado tanto las características de Koobface como sus cambios a través del tiempo, podemos encontrar versiones del malware que utiliza en diferentes sistemas operativos, tales como Windows, Mac OS y Linux, nuevas versiones y técnicas de ataque de las cuales fuimos hablando en nuestro blog.

Según el informe realizado por Nart Villeneuve, esta red cuenta con una gran cantidad de recursos a través de los cuales se esparce y continúa aumentando la cantidad de ordenadores infectados desde su aparición en julio del 2008.

Su propagación se desarrolla principalmente a través de las redes sociales, principalmente su propagación se realizó a través de Facebook (el nombre del malware resulta ser un anagrama de este), pero también lo hizo mediante otras redes sociales entre las cuales están Twitter, Fubar, Bebo, Friendster, Hi5, MySpace, Netlog, Tagged, Yearbook.

Koobface ha generado a sus administradores más de dos millones de dólares de ganancias entre junio del 2009 y junio del 2010. Sus principales métodos para llegar a esta importante suma de dinero fue a través de PPC (pay-per-click, en español pago por clic), PPI (pay-per-install, en español pago por instalación) y la distribución de falsas soluciones antivirus también conocidas como rogue.

Normalmente un usuario recibe de una cuenta infectada un mensaje con un link a un video, el link es comunmente acortado mediante bit.ly.El mismo le solicitará al usuario que descargue ciertos codecs al hacerlo deberá de descargar y ejecutar un archivos EXE que infectará su equipo.

De los servidores encontrados se han extraído datos acerca de las herramientas y recursos utilizados por los administradores de la red, entre los cuales se destacan:

  • 21.790 cuentas de Facebook
  • 350.854 cuentas de Blogger
  • 522.633 cuentas de Google
  • 4.842 cuentas de Google Reader
  • 4.044 cuentas de 100mb

Otro punto a destacar de esta botnet es que sus administradores cuentan con una variedad de páginas de estadísticas que les permiten monitorear el estado de la red, velocidad y disponibilidad de los servidores web.

Koobface utiliza los enlaces de bit.ly, blogs en Blogspot y servidores web para operar correctamente. Debido a esto y como uno de sus mecanismos de defensa para evitar comprometer sus direcciones hacen uso de la API de Google de Safe Browsing para corroborar si alguna de las direcciones URL han sido categorizadas de maliciosas según el servicio de bit.ly o Facebook. De esta manera evitan comprometer sus propios servidores y mantenerse en la clandestinidad.

Una vez más una botnet ha sido golpeada por los organismos de seguridad, y vemos como el crimen organizado en la web muestra "sus garras" y lucha por sobrevivir y mantenerse activo con el pasar del tiempo. Sin embargo, parece que a todos les llega su momento, todos comenten un error o todos dejan alguna pista suelta. Esto,  junto con el trabajo en equipo de especialistas en seguridad lleva a que sean desmanteladas. Recuerden que para la protección ante este troyano, siempre es recomendable contar con una solución antivirus con capacidades proactivas de detección y correctamente actualizada, como así también poder reconocer si nuestro equipo forma parte de una botnet. Koobface ha estado en el ciber espacio desde mediados del 2008, pero su red ha sido comprometida, y quizás sus días estén contados.

Pablo Ramos
Especialista de Awareness & Research