Red de bots ZeroAccess

Malware informático troyano basado en la plataforma Windows

ZeroAccess es un troyano que afecta a los sistemas operativos Microsoft Windows . Se utiliza para descargar otro malware en una máquina infectada desde una botnet y permanecer oculto mediante técnicas de rootkit . ^[1]

Historia y propagación

La botnet ZeroAccess fue descubierta al menos alrededor de mayo de 2011. ^[2] Se estima que el rootkit ZeroAccess responsable de la propagación de la botnet estaba presente en al menos 9 millones de sistemas. ^[3] Las estimaciones del tamaño de la botnet varían según las fuentes; el proveedor de antivirus Sophos estimó el tamaño de la botnet en alrededor de 1 millón de máquinas activas e infectadas en el tercer trimestre de 2012, y la empresa de seguridad Kindsight estimó 2,2 millones de sistemas infectados y activos. ^{[4] [5]}

El bot en sí se propaga a través del rootkit ZeroAccess mediante una variedad de vectores de ataque. Un vector de ataque es una forma de ingeniería social , donde se persuade a un usuario para que ejecute un código malicioso ya sea disfrazándolo como un archivo legítimo o incluyéndolo oculto como una carga útil adicional en un ejecutable que se anuncia a sí mismo como, por ejemplo, eludiendo la protección de derechos de autor (un keygen ). Un segundo vector de ataque utiliza una red publicitaria para que el usuario haga clic en un anuncio que lo redirige a un sitio que aloja el software malicioso en sí. Finalmente, un tercer vector de infección utilizado es un esquema de afiliados donde se paga a terceros por instalar el rootkit en un sistema. ^{[6] [7]}

En diciembre de 2013, una coalición liderada por Microsoft se puso en marcha para destruir la red de comando y control de la botnet. Sin embargo, el ataque fue ineficaz porque no se logró capturar todo el C&C y su componente de comando y control peer-to-peer no se vio afectado, lo que significa que la botnet aún podía actualizarse a voluntad. ^[8]

Operación

Una vez que un sistema ha sido infectado con el rootkit ZeroAccess, iniciará una de las dos principales operaciones de botnet: minería de bitcoins o fraude de clics . Las máquinas involucradas en la minería de bitcoins generan bitcoins para su controlador, cuyo valor estimado fue de 2,7 millones de dólares estadounidenses por año en septiembre de 2012. ^[9] Las máquinas utilizadas para el fraude de clics simulan clics en anuncios de sitios web pagados por clic . La ganancia estimada para esta actividad puede ser de hasta 100.000 dólares estadounidenses por día, ^{[10] [11]} lo que le cuesta a los anunciantes 900.000 dólares por día en clics fraudulentos. ^[12] Normalmente, ZeroAccess infecta el Master Boot Record (MBR) de la máquina infectada. Alternativamente, puede infectar un controlador aleatorio en C:\Windows\System32\Drivers, lo que le otorga un control total sobre el sistema operativo . ^{[ cita requerida ]} También deshabilita el Centro de seguridad de Windows, el Firewall y Windows Defender del sistema operativo. ZeroAccess también se conecta a la pila TCP/IP para ayudar con el fraude de clics.

El software también busca el malware Tidserv y lo elimina si lo encuentra. ^[1]

Véase también

• Red de bots
• Software malicioso
• Comando y control (malware)
• Zombie (informática)
• Delito en Internet
• Seguridad en Internet
• Fraude de clics
• Clickbot.A

Referencias

1. "Riesgo detectado". www.broadcom.com .
2. "Estadísticas mensuales de malware, mayo de 2011". securelist.com .
3. Wyke, James (19 de septiembre de 2012). «Más de 9 millones de PC infectados: se descubre la botnet ZeroAccess». Sophos . Consultado el 27 de diciembre de 2012 .
4. Jackson Higgins, Kelly (30 de octubre de 2012). "ZeroAccess Botnet Surges". Dark Reading . Archivado desde el original el 3 de diciembre de 2012 . Consultado el 27 de diciembre de 2012 .
5. Kumar, Mohit (19 de septiembre de 2012). "9 millones de PC infectados con la botnet ZeroAccess". The Hacker News . Consultado el 27 de diciembre de 2012 .
6. Wyke, James (4 de abril de 2012). "The ZeroAccess rootkit". Sophos . p. 2 . Consultado el 27 de diciembre de 2012 .
7. Mimoso, Michael (30 de octubre de 2012). "ZeroAccess Botnet Cashing in on Click Fraud and Bitcoin Mining". ThreatPost . Archivado desde el original el 3 de diciembre de 2012. Consultado el 27 de diciembre de 2012 .
8. Gallagher, Sean (6 de diciembre de 2013). "Microsoft desmantela una botnet que generaba 2,7 millones de dólares al mes para los operadores". Ars Technica . Consultado el 9 de diciembre de 2013 .
9. Wyke, James. "La botnet ZeroAccess: minería y fraude para obtener enormes beneficios económicos" (PDF) . Sophos . pp. (página 45) . Consultado el 27 de diciembre de 2012 .
10. Leyden, John (24 de septiembre de 2012). "Los delincuentes pueden extraer '100.000 dólares al día' de un ejército de un millón de zombis de ZeroAccess". The Register . Consultado el 27 de diciembre de 2012 .
11. Ragan, Steve (31 de octubre de 2012). «Millones de redes domésticas infectadas por la botnet ZeroAccess». SecurityWeek . Consultado el 27 de diciembre de 2012 .
12. Dunn, John E. (2 de noviembre de 2012). «El bot ZeroAccess ha infectado a 2 millones de consumidores, calcula una empresa». Techworld . Consultado el 27 de diciembre de 2012 .

Enlaces externos

• Análisis de la botnet ZeroAccess, creada por Sophos .
• Botnet ZeroAccess, Laboratorios de seguridad Kindsight.
• Nuevo protocolo C&C para ZeroAccess ^{[ enlace muerto permanente ]} , Kindsight Security Labs.