Se ha descubierto a Qbot, una botnet orientada al robo de información bancaria, conformada por 500 mil computadoras comprometidas (o zombis) que han estado robando credenciales e interceptando transacciones financieras en Estados Unidos y Europa, según reporta Infosecurity Magazine.
Las botnets o redes de computadoras infectadas nos han dado mucho que hablar en el último tiempo, y de hecho el Laboratorio de Investigación de ESET Latinoamérica ha estado analizando el panorama en la región respecto a ellas, para descubrir que la "célebre" Dorkbot probablemente se esté viendo en jaque ante el avance de una nueva botnet.
Los investigadores de Proofpoint, responsables del hallazgo, explicaron en su reporte que los atacantes utilizaron credenciales de administrador adquiridas en el mercado negro para acceder a cuentas de WordPress y depositar malware en sitios que se veían legítimos, así como distribuir newsletters legítimos infectados. Además, Qbot se conecta al C&C para que puedan ver los sistemas comprometidos.
Últimamente, WordPress ha estado seguido en las noticias de seguridad, y es que se han descubierto varias vulnerabilidades como aquella en MailPoet que afectó a 50 mil sitios, o en el plugin All in One SEO Pack.
Los sitios comprometidos contienen un enlace a un sistema que distribuye (o compra y vende) trafico web, de los denominados Traffic Distribution System (TDS). Básicamente, cuando un usuario hace un clic en detarminado sitio, es redirigido al proveedor de TDS. De esta forma. el dueño del sitio vende el clic hecho en su página, y el proveedor de TDS, a su vez, lo vende al mejor postor, y así distribuye tráfico.
Entonces, los criminales detrás de esta botnet se aseguran de esta forma, con la utilización de un TDS, de que el navegador visitante es un blanco legítimo y de que las URL no serán bloqueadas. Luego, mediante la explotación de vulnerabilidades en el navegador, insertan un dropper, que en este caso es Qbot, para descargar malware adicional.
Ahora bien, ¿quién está detrás del ataque? La investigación sostiene:
Según la información obtenida de los paneles de control de los atacantes, tal como preferencias de lenguaje y el lenguaje mismo de los nombres de servidores y la documentación, así como de una investigación más profunda, los atacantes detrás de esta operación parecen ser un grupo cibercriminal de Rusia cuya motivación principal es financiera. Mientras que los principales blancos parecen ser cuentas financieras e información bancaria online, el grupo también tiene una variedad de opciones para monetizar las computadorad infectadas.
Los hallazgos principales son:
-
-
- Qbot es una red de 500 mil sistemas infectados que responden a un botmaster, y ha interceptado 800 mil transacciones bancarias online. El 59% de las sesiones interceptadas corresponden a cuentas de 5 de los más grandes bancos de Estados Unidos.
- Clientes de Windows XP comprenden 52% de los sistemas infectados, aunque el uso de dicho sistema ha decrecido luego de que finalizara el soporte en abril.
-
Bajo el módulo malicioso "SocksFabric", el grupo cibercriminal usaba las computadoras comprometidas para ofrecer a otros grupos un sofisticado servicio de proxy, que las convierte en una "nube privada" ilícita, y en puerta de entrada para infiltraciones en redes corporativas. Con esto, lograban establecer canales de comunicación en los cuales los comandos y la información robada viajaba de forma cifrada.
Actualizar, actualizar y actualizar...
Si bien en este caso auditar la seguridad de WordPress puede ser de utilidad, ante amenazas como esta es primordial tener siempre todos los sistemas y aplicaciones actualizados a su última versión disponible, y deshabilitar servicios que podrían ser riesgosos. Si las aplicaciones frecuentemente utilizadas están parcheadas, se reduce el riesgo de que visitar un sitio comprometido o hacer clic en un enlace o adjunto malicioso tenga consecuencias graves.
Los exploits siempre estarán a la orden del día aprovechando vulnerabilidades y es ahí donde reside la importancia de las actualizaciones. Por otro lado, deshabilitar Java en los navegadores en algunas ocasiones es una buena práctica para evitar amenazas informáticas.