La controversia de ‘Kraken’ y la inteligencia de Nuwar

Ha causado una gran controversia los recientes informes de una gran botnet denominada ‘Kraken’. Según investigadores de Damballa, una compañía de seguridad dedicada a luchar contra las redes de computadoras zombis, Kraken sería culpable de infiltrar troyanos no detectados en los equipos de los usuarios. El informe se basa en una vigilancia de varios meses a las comunicaciones de esta red.

Damballa es reacia a proporcionar información acerca de sí misma, porque afirma que eso debilitaría su capacidad para garantizar la seguridad de sus clientes. La compañía monitorea el tráfico de Internet, a fin de tratar de distinguir las comunicaciones automáticas que identifican a las botnets.

Su reciente investigación, afirma que han sido infiltrados más de 400 mil sistemas, y que uno de cada diez de los mismos, serían empresas que ocupan un lugar dentro de las 500 de mayor crecimiento.

Innumerables reportes de noticias afirman que el malware detrás de la botnet, solo es detectado por una pequeña cantidad de productos de seguridad. Otros indican que la detección ha mejorado mucho desde que la red fue detectada por Damballa y empezó a ser monitoreada (finales de 2007).

Historias similares de grandes redes de máquinas zombis, que rivalizan con los ataques del gusano Storm (Nuwar para ESET), también han sido reportadas recientemente, incluyendo ‘Mega-Dik (Mega-D)’ y ‘May Day’, según Damballa, una de las mayores fuentes del spam actual.

Tal como ocurrió con estos dos incidentes, el anuncio de ‘Kraken’, ha traído varios reportes de otros investigadores, incluso de quienes afirman que el malware en cuestión es de hecho muy bien conocido, y posiblemente integrante de la familia de los ‘Bobax’, un gusano que se propaga como adjunto en un mensaje de correo electrónico.

La confusión ha vuelto a resucitar el debate sobre los nombres del malware, y también la complejidad de medir el tamaño de una botnet. En este caso, los investigadores de Damballa aparentemente secuestraron la comunicación utilizada por los servidores de la red para lograr su informe, que insumió casi 4 meses de trabajo.

Las exageraciones de la prensa, y los informes de algunos vendedores de software de seguridad, no ayudan a dejar claro cuan grave puede ser el tema.

Por ejemplo, el tamaño de la red que propaga el Storm o Nuwar, se ha estimado desde decenas de miles de sistemas hasta varios millones, con grandes fluctuaciones a través del tiempo, y según la fuente de los datos. Entre tanto, otras botnets como las que propagan amenazas como el Rbot, han llegado a tener para los informantes, igual o mayor penetración.

Muchos analistas han observado una marcada incoherencia entre la atención que ha recibido de los medios el Nuwar y sus verdaderas repercusiones, impulsado principalmente por su alta fluidez, y oportunas técnicas de ingeniería social.

Ahora, y como si se tratara a una respuesta a la historia de la red Kraken, el Nuwar ha cambiado otra vez de rumbo, enviando una ola de mensajes dirigidos a nuevas víctimas, utilizando una táctica común en otros malwares, la de hacerse pasar por un software de decodificación de video (más conocido como ‘códec’).

Abandonando el tema del amor de sus mensajes anteriores, el Nuwar está utilizando ahora un tema ya empleado por amenazas como el Zlob, la descarga de falsos códecs que llevan a la ejecución de programas maliciosos.

Su más reciente aparición, muestra un enlace que lleva a una página web con un aviso de un códec necesario para leer un formato de video. Si el usuario hace clic en el enlace, es redirigido a un ejecutable llamado StormCodec.exe (detectado como Nuwar.GG por ESET NOD32 Antivirus).

Si el usuario hace clic en el enlace, es redirigido a un ejecutable llamado StormCodec.exe (detectado como Nuwar.GG por ESET NOD32 Antivirus)

Es curioso que el archivo tome el nombre que la industria de la seguridad le puso a esta amenaza (Storm Worm no es el nombre que sus creadores le dieron al crearlo). Pero el nuevo engaño, mantiene cosas del anterior esquema, como el título “I love you” en la falsa página.

El rápido ritmo de los cambios en la ingeniería social del Nuwar, es una prueba que sus controladores están muy atentos a la ejecución de sus campañas. Cuando ven que un tema no es eficiente, pueden cambiar rápidamente de estrategia.

Historias como las de la red Kraken pueden contener muchos puntos que no quedan del todo claros cuando llegan a la prensa no especializada, o son reproducidas por sitios que solo buscan títulos sensacionalistas para vender más publicidad. Pero Nuwar demuestra una vez más, que las formas más sencillas para engañar a las víctimas e infectar sus equipos, son siempre las más efectivas.

Relacionados:

Mega-D, una botnet que genera un tercio de todo el spam
http://www.vsantivirus.com/15-02-08.htm

Identificados los autores del insidioso Nuwar
http://www.vsantivirus.com/02-02-08.htm

Nuwar con amor
http://www.eset.com.uy/eset/?subaction=showfull&id=1200583897&n=2

Spam con gusano que cambia cada 30 minutos
http://www.vsantivirus.com/21-08-07.htm

Nueva tormenta de spam con enlaces a troyanos
http://www.vsantivirus.com/29-06-07.htm

Nuevo Nuwar que ataca blogs
http://www.eset.com.uy/eset/?subaction=showfull&id=1199354775&n=2

Nuwar, de nuevo en navidad
http://www.eset.com.uy/eset/?subaction=showfull&id=1198712291&n=2

via the inquirer

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: