ALERTAS | Noticias | 30 ENE 2015

La botnet peer-to-peer ZeroAccess vuelve con fuerza

Tras considerarse extinta, la red de bots ha comenzado a distribuir plantillas de fraude de clicks a sistemas comprometidos. Investigadores de Dell SecureWorks alertan que ZeroAccess está segmentada en dos botnets distintas diseñadas para comprometer sistemas Windows de 32 bits y de 64 bits.
Hilda Gómez

También conocida como Sirefef, ZeroAccess es una botnet P2P que perpetra fraude de clicks en anuncios. Pese a que fue desmantelada en una acción llevada a cabo en diciembre de 2013, el equipo de investigación de la unidad contra amenazas de Dell SecureWorks observó que la botnet volvió a reactivarse desde el 21 de marzo hasta el 2 de julio de 2014, y que el pasado 15 de enero comenzaba de nuevo a distribuir las plantillas de fraude de clics a los sistemas comprometidos.

Según la investigación, los autores que hay detrás de ZeroAccess no han intentado expandir la red de bots tras la interrupción llevada a cabo 2013. En lugar de ello, la botnet se compone de hosts residuales de sistemas anteriormente comprometidos, por lo que es mucho más pequeña de lo ha sido en el pasado. Además, ZeroAccess está segmentada en dos botnets distintas que operan en diferentes puertos UDP: una usada para comprometer sistemas Windows de 32 bits y otra usada para comprometer sistemas Windows de 64 bits.

Los sistemas comprometidos actúan como nodos de la red P2P, y reciben periódicamente nuevas plantillas que incluyen direcciones URL de servidores controlados por el atacante. Después de que los sistemas visiten estas URL, el malware inicia una cascada de redirecciones que eventualmente conducen a un sistema de dirección de tráfico (TDS) que envía el bot a su destino final.

Entre el 17 y el 25 de enero, los investigadores de Dell SecureWorks han detectado 55.208 direcciones IP únicas que participan en la red de bots, 38.094 hosts en el botnet de 32 bits y 17.114 hosts en el de 64 bits. Japón, India y Rusia son los países con el mayor número de bots.

Dell SecureWorks señala que, aunque los autores de ZeroAccess no han hecho ningún intento de aumentar la botnet en más de un año, su tamaño sigue siendo sustancial y su capacidad de recuperación pone de relieve el peligro del malware que emplea redes P2P. ZeroAccess no representa la misma amenaza que otras botnets utilizadas para cometer fraude bancario, robar credenciales de acceso y datos valiosos, o secuestrar los archivos de las víctimas para pedir un rescate. Sin embargo, sí causa pérdidas incalculables para los anunciantes y consume recursos considerables a las organizaciones con equipos comprometidos.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información