Algunas variantes de Pushdo reanudan operaciones de spam

A pocos días de que la mayoría de los servidores de comando y control permanecieran libres de una de las variantes del botnet Pushdo, algunos investigadores declaran que todo parece indicar que partes del botnet han vuelto a atacar como anteriormente lo hacían, descargando nuevas plantillas de spam para reanudar sus operaciones.

El equipo de investigación en FireEye hizo un análisis de seguimiento a los resultados de esfuerzo de desmontaje realizado por investigadores de Last Line of Defensea la semana pasada, y encontró que la variante de la botnet que fue objetivo del desmontaje está mostrando señales de vida otra vez. El esfuerzo de desmontaje tenía como objetivo Pushdo.D, la variante más reciente de la botnet, que se utiliza en muchos casos para descargar una segunda pieza de malware conocida como Cutwail, que es el programa utilizado para las operaciones de spam.

Pushdo, como muchos de los botnets modernos, no es simplemente una red monolítica, está dividido en varias piezas diferentes y casi con seguridad no es controlado por una persona o grupo. “Los guardias de bots a menudo alquilan o venden piezas de sus redes a otros atacantes, y los creadores de programas bot normalmente venden su software a todos los interesados. Así, el resultado final son varias redes diferentes, todas usando un software similar con el mismo nombre en las que se acoplan juntas.

Los investigadores de Last Line of Defense trabajaron con proveedores de alojamiento para derribar 20 de los aproximadamente 30 servidores C&C conocidos que la compañía fue capaz de identificar. Sus análisis después mostraron que el volumen de spam procedente de Pushdo después del desmontaje fue aproximadamente cero.

Pero dentro de un par de días, los investigadores de FireEye comenzaron a ver que Cutwail estaba empezando a descargar nuevas plantillas de spam desde uno de los más conocidos servidores de C&C que está ya en linea. Pushdo y Cutwail, a diferencia de otros bots y piezas de malware, tienen una lista no modificable de direcciones IP para servidores de C&C, por lo que el número de servidores que se pueden conectar es finito. Sin embargo, algunos de los servidores de C&C que usan Cutwail son servidores legítimos que se han comprometido, lo que resulta un Blackholing más problemático.

El investigador Atif Mushtaq de FireEeye en su análisis del desmontaje Pushdo, dijo: “Teniendo todos estos factores en mente, podemos especular que probablemente no verán a los masters bot haciendo un intento desesperado para pasar al nuevo CnCs. No hay prisa, como los servidores Pushdo hacen la copia de seguridad están ya en marcha y funcionando. Es probable que esperen un tiempo hasta que las cosas se calmen. Mientras tanto van a tratar de encontrar nuevos servidores CnC marcándose como objetivo una actualización silenciosa de los sistemas infectados. El éxito o el fracaso de este intento de recuperación (si la hay) dependerá del seguimiento que la comunidad haga después de este intento por detenerlo. Los servidores Pushdo de backup están aún con vida por lo que necesitamos mantener un ojo en Pushdo durante algún tiempo como lo hicimos en el pasado cuando Rustock y Srizbi trataron de escapar”.

“Es muy probable que Pushdo, después de este tercer intento de cierre, empiece a seguir una arquitectura Koobface como la de CnC. Koobface utiliza mayoritariamente servidores web legítimos comprometidos tal y como hiciera CnCs manteniendo al mínimo servidores dedicados a una copia de seguridad, localizados en países como China y Rusia. Esa es la razón principal, ningún intento real ha sido suficiente para acabar con ella. Hecho importante es el concepto de mantenimiento a algunos servidores de copia de seguridad fuera de los EE.UU. ya que éstos pueden también haber detectado ahora desde la lista anterior, que la mayoría de la CNCS Pushdo permanecieron intactas fuera de EE.UU.”.
 Fuente
Comentario:
Las redes Botnet hacen su Agosto …

saludos

ms, 31-8-2010