El siguiente post es una traducción de la publicación Sinkholing of Trojan Downloader Zortob.B reveals fast growing malware threat  escrita por nuestro colega e investigador Sébastien Duquette y publicada en el blog de ESET Norteamérica.

Se analizó un código malicioso que ha infectado 250.000 computadoras alcanzando 80 millones de mensajes por hora. Este código malicioso se detecta como Win32/TrojanDownloader.Zortob.B.

Zortob.B se propaga a través del envío de mensajes de spam y suplanta al IRS y a compañías como FedEx, USPS, entre otras. A continuación se adjunta una captura del falso correo:

Fedex

Siguiendo las instrucciones del correo, el código malicioso procede a infectar la computadora de la víctima. Asimismo, el malware instala un módulo de spam en el sistema infectado para el envío de mensajes de campaña. En un principio, la propia amenaza se propagaba como un archivo adjunto del correo. Sin embargo, desde agosto la amenaza se propaga a través de sitios web comprometidos donde se aloja la propia muestra. Desde febrero, se ha observado que la mayoría de los sitios comprometidos están basados en Wordpress.

Los ciberdelincuentes detrás de Zortob.B emplean diversos paneles de comando y control. Dichos paneles se conectaban a un dominio donde pudo observarse el tráfico generado. De esta manera, fue posible obtener información precisa sobre aquellas computadoras infectadas. Un dato particular es que el módulo de spamming envía diversos tipos de información, incluyendo el GUID que permite identificar de forma unívoca a los bots. A continuación se adjunta una captura que demuestra cómo se realiza la comunicación:

Comunicación

Analizando los datos en el servidor, se pudo determinar que hubo conexiones de 25.239 bots únicos entre el día 6 y 8 de Marzo. En comparación, se encontraron 32.105 direcciones IP lo que constituye un 30% más. Esto puede ilustrar lo que ocurre cuando se sobrestima el tamaño de una botnet solo basándose en direcciones IP. Además, cabe aclarar, que este código malicioso tiene diversos propósitos, y en algunos casos podría solo robar información y no realizar el envío de spam. Esto implica que la cantidad de infectados puede ser aún mayor a la observada en el servidor debido a lo explicado anteriormente.

Otro aspecto que debe considerarse es la posibilidad de que existan varias computadoras infectadas detrás de una misma dirección IP. Esto suele ocurrir en Asia debido al tamaño limitado del pool de direcciones IP disponibles. Se identificaron 746 GUID de Zortob.B donde se determinó que estaban bajo una misma IP, es decir, un 2% del total. Esas GUIDs se mapean con 493 direcciones IP donde existen hasta 9 GUIDs por IP. A continuación se adjunta un gráfico que ilustra la cantidad de computadoras únicas infectadas con Zortob.B:

Computadoras infectadas

Además, los bots reportan al panel de control la cantidad de mensajes de spam que han enviado. De esta manera fue posible estimar la cantidad de mensajes enviados. El siguiente gráfico demuestra la cantidad de mensajes enviados cada hora, que llega alrededor de 5 millones por hora:

Envío de spam

El gráfico demuestra solo uno de los servidores que corresponden al panel de comando y control. Como existen 16 de ellos, es posible estimar que se pueden alcanzar 80 millones de mensajes por hora.
Asimismo, se analizó la distribución geográfica del código malicioso:

Distribución geográfica

Con este análisis fue posible ver de forma clara que esta botnet está activa y posee un gran número de bots bajo su poder. Continuaremos monitoreando esta amenaza y publicando nuestros hallazgos.

Traducido y adaptado por Fernando Catoira, Analista de Seguridad.