TECNOVIRUS – Las ahora famosas “Redes Zombi” son un maraña de equipos infectados que se mueven como una especie de horda contaminante que busca propagarse hacia los lugares mas recónditos del planeta. Hasta ahora, tres tipos de redes ha sido catalogadas: las descentralizadas, las móviles y las administradas desde redes sociales. En China, por ejemplo, se dio el caso de una red integrada por 30 mil dispositivos Android infectados y activos que atacó a cientos de miles de usuarios este año solamente.
Durante el 2012 se descubrió una red zombi creada con una nueva tecnología: la bot «sin archivo». Este nuevo tipo de malware reside únicamente en la memoria RAM de la computadora. Los expertos se dieron cuenta de la infección debido a (en primer lugar) que los equipos comenzaban a enviar peticiones de red luego de visitar sitios web de gran popularidad en Internet, y en segundo lugar por la presencia de unos extraños archivos codificados en los discos duros de las máquinas. No levantaron en un principio sospechas ya que no se trataba de archivos ejecutables, como es costumbre. De esta forma los ciberdelincuentes realizan sus fechorías camuflándolas como procesos legítimos de Java (algo parecido a lo que hace Flashfake).
A continuación vamos a hablar acerca de los dos tipos mas recientes de Redes Zombi. Comencemos con las móviles. Kaspersky Lab detectó en el primer trimestre de 2012 cerca de 5.500 programas maliciosos desarrollados específicamente para estos dispositivos. De estos, la gran mayoría están destinados al sistema operativo Android. ¿Cuáles son los principales desarrolladores de malware móvil? Los chinos y los rusos. Los primeros, como mencionamos anteriormente lograron crear una red de 30 mil dispositivos activos, infectando a cientos de miles de smartphones en todo el mundo. Como si fuese poco, el alcance de la infección por el afamado Rootsmart hace suponer que los ciberdelincuentes obtuvieron ganancias con esta red zombi. Su método: el envío de SMS de pago a números comerciales – una práctica ahora común entre los círculos criminales carcelarios latinoamericanos.
Por su parte las redes zombi Mac se hicieron notar con mayor fuerza este 2012, ya que infectaron la plataforma a través de un descuido de Apple por parchear un “hueco” de seguridad en su sistema operativo Mac OS X, algo que ya Oracle había hecho casi dos meses antes e inclusive había lanzado una actualización pública. Flashback, el troyano que atacó e infectó a 750 mil Macs en todo el mundo sigue causando destrozos en la web. El sistema inteligente de “seguridad” que emplea Flashback lo autodestruye en el momento en que es detectado por algún software antivirus. En caso de no ser detectado, Flashback (o Flashfake, como le dicen algunos expertos) comenzaba a armarse cual robot Voltron, usando cinco componentes principales que a su vez se adaptaban según fuese el caso de cada ordenador. Esta evolución permitió que los cibercriminales emplearan cuentas de Twitter para funcionar como servidores de comandos para descargar y ejecutar los módulos adicionales sin que el usuario se diese cuenta (recordemos el ejemplo de Voltron, el super robot). Para colmo de males, los pillos lograron ganar dinero mediante la generación de resultados fantasmas en los motores de búsqueda, sustituyendo los enlaces presentados en los mismos gracias a un módulo adicional programado.
Fuentes: PC World Mexico, Kaspersky Labs.
