Kelihos revive a través de un troyano de Facebook
Tan pronto como los expertos de seguridad anunciaron el miércoles pasado el desmantelamiento de la botnet de Kelihos.B, los autores del ataque reconfiguraron el malware – y ahora se propaga por esta red social.
Las bandas criminales se aprovechan Fifesock, un troyano de redes sociales descubierto en abril pasado para dispersar el malware Kelihos.C recientemente creado para infectar máquinas.
Inicialmente, las computadoras son golpeadas cuando el usuario da clic en un enlace malicioso en su buzón de entrada de Facebook, el cual los dirige a un sitio web que usa como anzuelo un enlace para descargar un álbum engañoso de fotos. Una vez que se acepta la descarga, las computadoras de las víctimas son infectadas con Fifesock que tiene la capacidad de instalar malware adicional – en este caso Kelihos.C, también conocido como Hlux.
Kaspersky Lab, CowdStrike, Dell SecureWorks y la organización de investigación The Honeynet Project unieron esfuerzos para crear un “pozo” que es usado para prevenir que la botnet de Kelihos.B sea capaz de conectarse para infectar máquinas. Sin embargo, algunas computadoras comprometidas pueden permanecer infectadas por el gusano Fifesock, dando a los cibercriminales detrás de los ataques la opción de instalar y reconfigurar la botnet.
De acuerdo a una entrada del blog de Seculert, la firma de tratamiento de la ciber amenaza ha identificado más de 70 000 usuarios de Facebook que están infectados con el gusano de Facebook y son usados para mandar inadvertidamente enlaces maliciosos a sus amigos.
“Estamos viendo miles de nuevos usuarios al día”, dijo Aviv Raff, CTO de Seculert a SCMagazine.com. “De hecho hemos informado a Facebook de todas las cuentas que detectamos como comprometidas”.
En un correo de SCMagazine.com, Frederic Wolens, un portavoz de Facebook, dijo que la compañía está intentando eliminar la amenaza a través de la colaboración con investigadores, y ha sido éxitoso para bloquear el spam que haya sido enviado por el troyano Fifesock.
“Hemos estado analizado activamente a cualquier usuario infectado en nuestro ‘punto de verificación de malware'”, dijo Wolens.
Fifesock también se distribuye através de otros sitios de redes sociales, señalóWolens.
La reconstrucción de esta botnet probablemente se deba en mucho a las mismas personas detrás del Kelihos original, el código está enlazado a una red responsable de crear familias de botnet, las cuales incluyen a Waledac y Storm Worm.
“Es una especie de pague-por-instalar el servicio”, dijo Raff. “Parece que dos diferentes grupos se han unido. Uno está usando el troyano de Facebook y los otros les están pagando para instalar botnets Kelihos en sus máquinas infectadas”.
La actividad de una botnet puede interrumpirse, pero el único camino para darla de baja permanentemente es arrestar y procesar a los creadores, dijo Marco Preuss, líder de la investigación y análisis en Alemania para Kaspersky Lab, a SCMagazine.com.
“Es una tarea difícil, porque las compañías de seguridad encuentran diferentes políticas federales, jurisdicciones y procesos legales en cada uno de los países donde están localizadas las botnets”, finalizó.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.