Un grupo de investigadores consigue desconectar la botnet Koobface
Varios investigadores especializados en seguridad en colaboración con la policía y proveedores de servicios Internet han conseguido acabar con las raíces de la botnet Koobface.
El pasado viernes lograron tirar el servidor de comando y control utilizado para enviar las instrucciones que convertían máquinas en ordenadores zombies de Koobface. Concretamente, según Nart Villeneuve, investigador jefe de SecDev Group, este servidor fue uno de tres sistemas Koobface desconectados ese día por Coreix, proveedor de servicios Internet británico. “Todos ellos formaban parte de la misma red y son ahora inaccesibles”, explica Villeneuve.
La desconexión se produjo a raíz de que los investigadores contactaran con la policía británica, según Villeneuve, y consiguió interrumpir el funcionamiento de la botnet, aunque nada garantiza que la medida vaya a tener efecto a largo plazo. Las máquinas infectadas por Koobface se conectan a servidores intermedios –generalmente servidores web cuyas credenciales FTP han sido comprometidas- que las redirigían a los sistemas ahora desactivados.
La operación del viernes es parte de otra de mayor alcance iniciada hace dos semanas. Villeneuve y su equipo habían notificado a los ISP de la existencia de cuentas FTP comprometidas, y a Facebook y Google sobre cientos de miles de cuentas en sus sitios operadas desde Koobface.
En este último caso, los ciberdelincuentes utilizan las cuentas Facebook para incitar a sus víctimas a visitar páginas Google Blogspot, que a su vez les redirigen a servidores web que contienen el código malicioso Koobface. Generalmente el señuelo es la promesa de algún vídeo interesante sobre una página diseñada como YouTube, y se dice a la víctima que, para verlo, debe descargar un software especial, que en realidad es el malware.
Koobface incluye varios componentes, como un software gusano que automáticamente intenta infectar a los contactos de la víctima en Facebook y el código botnet que otorga a los hackers el control remoto de los ordenadores infectados.
Esta botnet se ha convertido en un negocio bastante lucrativo desde su primera aparición en Facebook en julio de 2008. Villeneuve estima que ha conseguido más de 2 millones de dólares entre junio de 2009 y junio de 2010.
Por otra parte, se han descubierto datos almacenados en otro servidor central de Koobface, denominado “the mothership” y utilizado por los ciberdelincuentes para realizar el seguimiento de cuentas. Este servidor envía diariamente mensajes de texto a cuatro números móviles de Rusia informando del total de ganancias de Koobface durante la jornada. El balance varía en gran medida de unos días a otros; por ejemplo, el 15 de junio la botnet perdió 1.014,11 dólares, pero el 23 de marzo ganó 19.928,53.
La mitad de los ingresos totales de la botnet –algo más de un millón de euros- se han generado mediante la venta de falso software antivirus y el resto mediante el cobro de tarifas por publicidad online. Los pagos llegan a los operadores de Koobface a través del servicio Paymer, similar a PayPal de eBay.
