IronPort® Systems, proveedor líder de protección frente al spam, los virus y el spyware, y ahora parte de Cisco, ha identificado en una investigación reciente las relaciones que existen entre los creadores de malware y los negocios farmacéuticos ilegales que utilizan las redes bot para enviar spam con el fin de promocionar sus sitios web. Al convertir el spam en compras farmacéuticas de gran valor, estas empresas de distribución permiten dar un valor monetario a las redes bot de spam, lo que proporciona una enorme motivación para realizar los ataques de redes bot basada en los beneficios que se pueden obtener. En la actualización de su Informe anual de tendencias de seguridad en Internet, IronPort analiza el impacto de estas redes bot y descubre los verdaderos potenciadores del spam farmacéutico y la continua innovación del malware.

"Nuestra investigación previa reveló una cadena de distribución muy sofisticada detrás de los productos ilegales de farmacia, por compras realizadas en sitios web farmacéuticos de Canadá promocionados a través de spam que usaba redes bot. Pero la relación entre las redes bot centradas en la tecnología y las organizaciones mundiales de distribución estaba oculta hasta ahora", afirma Sébastien Commérot, Director de Marketing para Europa del Sur de IronPort Systems. "Nuestra investigación ha revelado un arma humeante que muestra que Storm y otras redes bot de spam generan pedidos a comisión, que se sirven a través de las cadenas de distribución y proporcionan un beneficio de 150 millones de dólares al año".

La investigación de IronPort reveló que más del 80 por ciento del spam enviado por la red bot Storm anuncia marcas farmacéuticas de Internet. Este spam es enviado por millones de ordenadores personales de los consumidores que han sido infectados con Storm vía una multitud de sofisticados trucos de ingeniería social y vulnerabilidades en páginas web. Una investigación más profunda reveló que las plantillas de spam, las URLs a las que dirige el spam, los diseños web, el procesamiento de tarjetas de crédito, la provisión de productos y la atención al cliente estaban siendo proporcionadas por una organización criminal rusa que opera en conjunción con Storm.

Esta organización criminal recluta socios para enviar spam a través de redes bot y así anunciar sus sitios web farmacéuticos ilegales. Dichos socios reciben un 40 por ciento de comisión por los pedidos de compra. La organización hace el envío del producto, procesa las tarjetas de crédito y ofrece servicios de atención al cliente. Sin embargo, el test farmacológico patrocinado por IronPort reveló que dos tercios de los pedidos contenían el ingrediente activo pero no en la dosis correcta, mientras que los otros eran placebos. Como resultado, los consumidores tienen un riesgo significativo de ingerir una sustancia no controlada procedente de distribuidores extranjeros.

Los detalles sobre la red bot Storm y la conexión con la cadena de distribución se puede encontrar en el informe especial Tendencias de malware en Internet en 2008: Storm y el futuro de la ingeniería social. Este informe también identifica cierto número de formas en las que el malware está siendo utilizado para infectar PCs de alojamiento para saltarse el software de seguridad. Estos métodos incluyen:


-Spam de correo web. Bots sofisticados operan en conjunción con procesos automáticos y manuales "ruptura de Captcha" para crear un gran número de cuentas de correo web gratuitas ("Captcha" significa Prueba de Turing pública y automática para diferenciar a máquinas y humanos). Un test Captcha común requiere que alguien escriba una serie de número y letras distorsionados para asegurarse de que la respuesta no está generada por ordenador). Después de crear las cuentas, los bots envían spam usando estas cuentas y los receptores del spam observan los mensajes que han sido originados desde servidores de correo legítimos de ISPs, no desde la red bot. Estos ataques de "robo de reputación", constituyeron más del 5 por ciento del spam durante el primer trimestre de 2008, incrementándose desde menos del 1 por ciento el trimestre anterior.

-Utilización maliciosa de Google
. El malware de nueva generación está usando la opción de búsqueda de Google "Voy a tener suerte" para dirigir el tráfico a sitios infectados. Se estima que el 1,3 por ciento de todas las búsquedas de Google dieron sitios de malware como resultados válidos. Dado el tremendo volumen de búsquedas realizadas cada minuto, esto se traslada en una oportunidad potencialmente enorme para los creadores y distribuidores de malware.

-Inyecciones iFrame. Esta es una redirección que sucede cuando un usuario visita un sitio web que tiene código malicioso insertado (o "embebido"), como JavaScript. Estos sitios web pueden parecer ser sitios web bien conocidos, "legítimos" o sitios bot creados específicamente que aparecen en los principales puestos en los resultados de los buscadores. El JavaScript dice a los navegadores que cojan un archivo de otro servidor web que es el que alberga realmente el troyano malicioso, a menudo a través de un iFrame "embebido". El troyano se instala entonces de manera oculta, sin el conocimiento del usuario. Una vez que está instalado puede hacer un gran número de cosas como robar contraseñas o datos del sistema.


Las redes bot examinadas en el informe resultan únicas al unir campañas de spam a sucesos actuales o sitios web de interés, usando una mezcla de correo electrónico y navegación web para propagarse. Además, estos ataques muy coordinados y descentralizados permiten una variedad de ataques de Internet, desde el spam de correo y blog al phishing, los ataques de mensajería instantánea y ataques de denegación de servicio distribuidos (DDoS).

El malware Storm fue el primero en esta sofisticada tendencia de ingeniería social, habiendo afectado en total en diferentes momentos a 40 millones de ordenadores en todo el mundo entre enero de 2007 y febrero de 2008, según los investigadores de IronPort. En su pico en julio de 2007, Storm era responsable de más del 20 por ciento de todos los mensajes de spam y había infectado y estaba activo en 1,4 millones de ordenadores simultáneamente. Continuó infectando o reinfectando alrededor de 900.000 ordenadores por mes. En septiembre de 2007, el número de ordenadores activos de forma simultánea que generaban mensajes de Storm se redujo a 280.000 al día y número total de mensajes de spam de los que era responsable representaba el 4 por ciento de todo el spam. Storm supone hoy en día solo una pequeña parte de los más de 161 mil millones de mensajes de spam que se envían cada día, aunque todavía hay variantes de Storm activas.

Además de valorar el daño causado por semejantes ataques basados en la ingeniería social, el informe detalla las tendencias que presagian el futuro del spam y los virus y las medidas que las empresas deberían tomar para asegurar que sus redes están protegidas. El spam ya no consiste más en una molestia creada por individuos que buscan la gloria. Hoy se ha transformado en esfuerzos organizados y bien pagados para crear malware técnicamente inteligente que son comparables en escala a las operaciones de negocios de los fabricantes de software legítimos. Para incrementar la eficiencia y la rentabilidad, los creadores de malware están incluso comenzando a ofrecer sus productos como soluciones completas, incluyendo soporte técnico, herramientas de análisis y administración y actualizaciones de software. Entre los recientes descubrimientos de malware de redes bot están Bobax, Kraken/Kracken y Srizbi.

Para impedir la propagación de redes bot como Storm y sus sucesores, el informe de IronPort recomienda que todas las empresas empleen filtrado de spam, evalúen su reputación web, supervisen la actividad de los puertos y las comunicaciones y mantengan todos los productos antivirus y antimalware actualizados.
Fuente