Fortinet: Botnet Bitcoin, ZeroAccess, la amenaza principal durante este trimestre

 

Richard Henderson, estratega de seguridad e investigador del panorama de amenazas para FortiGuard Labs de Fortinet, explica: ‘En el primer trimestre de 2013, hemos visto que los creadores del botnet ZeroAccess mantienen y amplían el número de bots bajo su control. En los últimos 90 días, los propietarios de ZeroAccess han enviado a sus huéspedes infectados 20 actualizaciones del software’.

 

Con base en los reportes presentados por los dispositivos FortiGate en todo el mundo, ZeroAccess es la principal amenaza botnet que el equipo está observando. ZeroAccess se utiliza principalmente para el fraude por medio de clicks y el mining Bitcoin. El valor de la moneda digital descentralizada y basada en código sigue aumentando, lo que probablemente significa que la cantidad de dinero que está haciendo ZeroAccess ronda los millones de dólares o más.

 

‘A medida que la popularidad y el valor del Bitcoin aumenta, podemos ver cómo otros propietarios de botnets tratan también de utilizar sus redes de bots de manera similar o perturbar el mercado de Bitcoin’, continúa.

 

En marzo y entrando a abril, Mt. Gox, la mayor bolsa de intercambio de Bitcoin del mundo, se enfrentó a una continua batalla de Negación Distribuida de Servicio (DDoS, por sus siglas en inglés) en un intento por desestabilizar la moneda y / o beneficiarse de ella. El análisis de ZeroAccess que hizo FortiGuard Labs, el cual tiene la capacidad de cargar módulos DDoS en los equipos infectados, reveló que el botnet actualmente no cuenta con un módulo DDoS integrado en su arsenal. Esto sugiere que otros propietarios de botnets están tratando de sacar ventaja de las fluctuaciones de la moneda Bitcoin.

 

El crecimiento de las nuevas infecciones de ZeroAccess se ha mantenido constante en los últimos 90 días. Desde que FortiGuard Labs comenzó un seguimiento activo de ZeroAccess en agosto del 2012, el equipo ha visto un crecimiento prácticamente lineal en nuevas infecciones. Más recientemente, el equipo se encuentra viendo la asombrosa cifra de 100,000 nuevas infecciones por semana y casi 3 millones de nuevas direcciones IP reportando información sobre infecciones. Se estima que ZeroAccess puede generarle a sus propietarios hasta $ 100,000 por día en ingresos únicamente por publicidad fraudulenta.

 

Un ataque masivo de malware en las redes de televisión de Corea del Sur y sus instituciones financieras causaron un daño masivo en marzo, eliminando la información de miles de discos duros. Aprovechando las alianzas de FortiGuard Labs con los sectores públicos y privados en Corea del Sur, se han descubierto nuevas evidencias sobre la naturaleza del ataque y cómo es que el malware se extendió. El equipo de investigación demuestra que los atacantes fueron capaces de tomar el control de los sistemas de administración de parches e hicieron uso de la confianza natural hacia esos sistemas para poder distribuir el malware en las redes de sus objetivos.

 

Kyle Yang, gerente Senioer de Antivirus en FortiGuard Labs, apunta: ‘Durante nuestra investigación de los ataques descubrimos que una versión del malware wiper fue capaz de infectar los servidores de administración de seguridad interna y utilizó la confianza natural que se tienen en estos servidores internos para dispersar las infecciones dentro de la red de la víctima’.

 

La limpieza y la restauración continúa, y los autores responsables de estos ataques todavía no han sido identificados.

 

Las dos nuevas variantes de Adware para Android, Android.NewyearL.B y Android.Plankton.B han tenido un gran número de infecciones a nivel mundial en los últimos 90 días. 

 

David Maciejak, investigador senior de los laboratorios FortiGuard de Fortinet, manifiesta: ‘Los nuevos kits publicitarios que estamos monitoreando sugieren que los autores que se encuentran detrás de esto están trabajando muy duro para no ser detectados. También es posible que Newyear y Plankton están siendo escritos por el mismo autor, pero se mantienen por separado con la finalidad de provocar más infecciones’.

 

Ambas piezas de malware tienen la característica que se incluyen en las aplicaciones y tienen la capacidad de mostrar anuncios, rastrear usuarios a través del número individual del teléfono IMEI, y modificar el escritorio del teléfono. 

 

Guillaume Lovet, gerente senior de FortiGuard Labs., apunta: ‘El aumento en el adware para Android puede ser atribuido a que los usuarios instalan lo que creen que son aplicaciones legítimas las cuales contienen el código adware incrustado. Esto sugiere que alguien o algún grupo ha sido capaz de obtener beneficios económicos de estas infecciones, muy probablemente a través de algunos programas de publicidad ilícita afiliados’.

 

Los usuarios pueden protegerse prestando atención especial a los derechos solicitados por una aplicación en el punto de instalación. También se recomienda la descarga de aplicaciones móviles que han sido altamente clasificadas y comentadas.