Una nueva estratagema de los spammers: una botnet como centro de administración

Los investigadores de Incapsula descubrieron una campaña de spam a gran escala dirigida a la promoción de servicios de farmacias sin licencia Canadian Pharmacy. Para generar el spam los delincuentes usan una red de sitios infectados, administrándola a través de una botnet de 80 000 equipos comprometidos. Al mismo tiempo, todas las comunicaciones, las instrucciones y la carga útil se cifran para evadir los filtros antispam que funcionan con listas negras de URLs y direcciones de remitentes.

La policía y los reguladores de industria farmacéutica desde hace tiempo vienen contrarrestando con cierto éxito la comercialización en linea de las medicinas falsificadas potencialmente peligrosas para la salud y el libre comercio de los medicamentos controlados. En la actualidad, el volumen de ventas en este mercado clandestino según los datos de Incapsula se estima en el rango de 431 mil millones de dolares. El dudoso negocio farmacéutico de Canadian Pharmacy se ha distinguido a lo largo del tiempo por su agresividad. Sus dueños siguen utilizando los servicios de los spammers que propagan anuncios de forma masiva en el marco de los programas especiales de colaboración.

Hace aproximadamente un mes las soluciones de seguridad de Incapsula registraron un fuerte aumento del flujo de solicitudes codificadas con base64. La investigación mostró que todas provenían de una botnet no documentada que enviaba las instrucciones a sitios con el WSO Web Shell instalado, una puerta trasera PHP que suele usarse para administrar los archivos en remoto y ejecutar el código. Después del descifrado los investigadores identificaron tres tipos de instrucciones: para modificar los archivos de configuración .htaccess, para instalar el programa PHP malicioso y para obtener la carga útil.

El objetivo de la instrucción para inyectar en .htaccess, también cifrada, era instalar una redirección desde una página no encontrada (error 404) a la farmacia online de la red perteneciente a Canadian Pharmacy. Como descubrieron los expertos, la mayoría de los puntos de venta ilegal estaban vinculado al dominio de nivel superior .ru, aunque la palabra Canadian con frecuencia formaba parte de los nombres de los sitios (por ejemplo, Canadian-Health&Care Mall).

El script PHP personalizado -que se introduce en el sitio mediante un comando codificado de la botnet- recibe la carga útil de una fuente remota, la descifra, y la usa para generar los mensajes de spam. El análisis reveló que la carga útil tiene cuatro parámetros: $to_email, $subject, $body y $header (la dirección del destinatario, el asunto del mensaje, el texto principal y el encabezado). El envío de los mensajes spam se realiza mediante la función mail(), es decir mediante el servidor SMTP indicado en la configuración del sitio (en el archivo de configuración PHP).

La identificación del malware PHP dio a los investigadores la posibilidad de analizar la carga útil que recibía. Durante la monitorización se desvelaron cientos de miles de variantes y cada una incluía publicidad, por lo general de tabletas de Cialis de 20 mg o de Viagra de 100 mg. Las irregularidades en los textos sugerían que se los había creado usando métodos de automatización. Sin embargo, lo que más sorprendió a los expertos fue el gran esfuerzo que se había realizado para ocultar la carga útil.

Para proteger los datos importantes los delincuentes utilizan el algoritmo base64 ocho veces y tres más para cada parámetro separado por una barra vertical (‘|’). Debido a tan complicada estructura, los expertos de Incapsula dieron a la nueva campaña de spam el nombre de B64ryoshka (por analogía con “matrioshka”). Todas las cargas de B64ryoshka interceptadas contenían un enlace a una dirección URL inexistente u a otro dominio comprometido.

De esta manera, todo el esquema fraudulento se basa en sitios que funcionan en conjunción: uno envía el spam y otro redirige a los visitantes a la farmacia online que están promoviendo. Los autores de campaña B64ryoshka tienen una red completa de tales “pares”.

Las grandes dimensiones de la campaña también se ven confirmadas por el número de sistemas de comercio descubiertos gracias a la campaña de spam: 51. Según Incapsula, se encuentran en China, Malasia, Vietnam, Indonesia, Francia, Romanía, Rusia, Taiwán y Ucrania. El análisis de las direcciones IP de estos sitios permitió descubrir otros 1005 dominios que probablemente activados por los spammers. El 70,2 por ciento de ellos usa servicios de web hosting en Rusia; los demás, en Francia.

Los investigadores se han visto impresionados por el tamaño de la botnet que administra la red de sitios ejecutores. El monitoring quincenal de las conexiones realizadas por los servidores de administración destacó 86278 278 únicas direcciones IP dispersadas por todo el mundo. La mayoría de ellas se concentró en Rusia (11,5%), Indonesia (8,7%) y Vietnam (7,9%). Cabe destacar que, a juzgar por las pistas dejadas, en la mayoría de los casos los comandos provenían de dispositivos que usan navegadores web, como computadoras domésticas. Los expertos suponen que estos dispositivos resultaron comprometidos por ataques a nivel de aplicaciones, por ejemplo, mediante complementos maliciosos para el navegador. El análisis con Shodan mostró sólo un par de direcciones IP vinculadas con esta botnet, ya que la mayor parte de los dispositivos que la componen no son del Internet de las cosas.

Los investigadores creen que la campaña B64ryoshka podría tener raices rusas, por el predominio de los dominios .ru y la ubicación de los dispositivos que forman parte de la botnet.

Cuando el informe de Incapsula ya estaba casi listo para publicarse, se tuvo noticias de otro intento de desactivar Kelihos y el arresto del supuesto operador de esta botnet. Los expertos habían llegado a pensar que “su” botnet era Kelihos, pero el que los últimos cuatro días la actividad de B64ryoshka en el envío de spam haya crecido en un 11%, los convenció de lo contrario. Al parecer, la neutralización de Kelihos fue de provecho para sus competidores.

Incapsula ya envío los datos obtenidos durante sus investigaciones a los correspondientes órganos de seguridad estales y de regulación del mercado de medicamentos.

Incapsula

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *