Dorkbot: La botnet desmantelada por una operación conjunta

computerworld.- La colaboración de ESET ha sido decisiva en la desmantelación de Dorkbot, un botnet culpable de la infección de más de un millón de equipos. La incautación de varios dominios ha bloqueado la capacidad de los operadores para controlar los ordenadores de sus víctimas.

ESET ha participado junto con el FBI, Interpol y Europol en la operación que ha permitido desmantelar la botnet Dorkbot, incluyendo sus servidores de mando y control en Asia, Europa y Norteamérica. En la misma se ha procedido a la incautación de varios dominios, lo que supuso la interrupción de la capacidad de los operadores de la botnet para controlar los ordenadores de sus víctimas. Se calcula que la botnet afectaba a más de un millón de equipos.

Lee también: Las 9 peores botnets conocidas hasta hoy

En la operación, ESET ha compartido información estadística y análisis técnicos sobre el malware y ha informado de los dominios y de las direcciones IP de los servidores de control de la botnet. “Hemos ayudado a detener estos ataques con el objetivo de conseguir un Internet más seguro y proteger a los usuarios”, afirma Jean-Ian Boutin, investigador de malware en ESET. “Cada semana detectamos miles de amenazas provenientes de prácticamente todo el mundo y cada día recibimos nuevas muestras, por lo que Dorkbot parecía un objetivo viable para realizar un esfuerzo para intentar desmantelarla”.

Activa desde hace años, Dorkbot es una botnet desarrollada sobre el malware Win32/Dorkbot, el cual se propaga a través de diversos canales, como redes sociales, spam, dispositivos extraíbles o kits de exploit. Una vez instalado en el ordenador, el malware intenta bloquear los accesos a los servidores de actualización del software de seguridad y se conecta a servidores IRC para recibir órdenes de los delincuentes. Además, roba información de contraseñas en Facebook y Twitter, e instala código malicioso de varias familias de malware, entre otras Win32/Kasidet, con la que se llevan a cabo ataques de denegación de servicio, o Win32/Lethic, un bot que provocaba el envío masivo de spam, para conseguir el control del sistema.

Sistemas Linux son responsables del 50% de los ataques DDoS

cwv.- Aunque el 90% de los ataques DDoS se prolongan durante menos de 24 horas, el número de los que superó las 150 horas ha aumentado significativamente. Las botnets basadas en Linux acapararon más del 45% de los ataques.

Kaspersky Lab ha publicado su informe trimestral sobre DDoS, que revela que los ataques del tercer trimestre alcanzaron a víctimas de 79 países, siendo China, Estados Unidos y Corea los más atacados. Más del 90% de los ataques duraron menos de 24 horas, aunque el volumen de los que se prolongan por encima de las 150 horas ha crecido significativamente. De hecho, el ataque continuo más largo registrado por Kaspersky duró 320 horas, casi dos semanas.

El estudio señala asimismo que el mayor número de ataques DDoS sufridos por la misma víctima fue 22, los cuales fueron lanzados contra un servidor localizado en los Países Bajos. Las botnets basadas en Linux fueron responsables del 45,6% de todos los ataques detectados por Kaspersky. Las principales razones residen en su escasa protección y en la extensa capacidad de banda ancha.

El informe también destaca que los ataques DDoS siguen estando muy localizados. El 91,6% de los recursos de las víctimas están localizados en 10 países. Además, la mayoría de los ataques DDoS se originan en los mismos países. Aunque otros cibercriminales centrados en acciones como el robo de tarjetas de crédito pueden operar lejos de su país de residencia, no es el caso de los ataques DDoS.

“Basándonos en nuestras observaciones, no podemos señalar una dirección exacta a la que se mueve el negocio de los ataques DDoS. De hecho, la amenaza parece estar creciendo hacia todos sitios. Hemos registrado ataques complejos dirigidos a bancos, demandando un rescate, pero también hemos observado nuevos métodos de bajo coste diseñados para tirar abajo las operaciones de una compañía durante un período de tiempo significativo. Los ataques están creciendo en volumen, con la mayoría de ellos centrados en atacar e interrumpir, pero el número de ataques prolongados, capaces de producir la bancarrota de una empresa desprotegida también van en aumento. Estos hallazgos obligan a las compañías a tomar medidas para prevenir la amenaza real y el creciente riesgo que suponen los ataques DDoS”, explica Evgeny Vigovsky, responsable de Kaspersky DDoS Protection, de Kasperky Lab.

Hackear cámaras CCTV para lanzar ataques DDoS

enhacke.- Imperva ha descubierto que cibercriminales están secuestrando las cámaras CCTV para cargar poderosos ataques de DDOS explotando credenciales por defecto y equipos sin las configuraciones respectivas.

El auge del internet de las cosas es un hecho pero con ello también muchas vulnerabilidades las cuales son explotadas por los atacantes y organizaciones de fraude o para espionaje. Desafortunadamente, la mayoría de dispositivos IoT presentan una deficiencia en su modelo de gestión de la seguridad además de no estar configurados correctamente variantes que permiten que terceros los utilicen para ciberataques.

Las CCTV cámaras son el blanco ya que pueden cargar ataques DDOS de alto impacto.Las botnets de gran escala son su principal amenaza para reclutarlas.

Los expertos en seguridad Imperva detectaron en 2014 el primer ataque realizado por una botnet usando CCTVs privados. La principal amenaza para las cámaras son las configuraciones por defecto incluyendo claves de fábrica.

Un año atrás Imperva publico un informe donde las cámaras CCTV son el medio mas usado actualmente en los ataques de DDOS por botnets llego a presentar 20,000 peticiones por segundo.Los expertos en seguridad han explicado que se ha encontrado cerca de 900 CCTV corriendo embebidas en la versiones de linux y la herramienta BusyBox.

No sorprende que CCTV cámaras son las más comunes IoT dispositivos ya que son al rededor de 245 millones de cámaras operando alrededor del mundo.

Un caso específico fue el ataque conducido por cerca de 900 CCTV camaras en todo el mundo las cámaras provienen de de India, China, Irán, Indonesia, US y Tailandia.

Grupo APT Turla abusando de Enlaces de Internet Satelitales

Expertos en seguridad de Kaspersky Lab publicaron un informe sobre Turla APT revelando vínculos de uso de satélite para controlar su botnet.

De acuerdo con un nuevo análisis publicado por los expertos de Kaspersky Lab informaron que el popular grupo APT Turla explota la carente de seguridad infraestructura satelital para ocultar operaciones de comando y control.

Turla APT estuvo activo en la última década, los expertos en seguridad consideran que es un grupo de hackers rusos que participan en campañas de espionaje de larga duración patrocinada por el estado.


El APT Turla tiene más de 500 víctimas en 45 países diferentes de todo el mundo, agencias gubernamentales, militares y entidades diplomáticas son blancos privilegiados del grupo.

Alcance del Ciberespionaje del Grupo Turla APT

La explotación de las conexiones a Internet por satélite ofrece algunas ventajas importantes, como que es difícil identificar a los actores de amenazas y la ubicación de sus servidores C&C.

Otra de las ventajas para el uso de enlaces secuestrados es el bajo costo, casi $ 1,000 al año, los malos actores los utilizan para controlar las máquinas infectadas.
"Por un lado, es valioso porque la verdadera ubicación y el hardware del servidor C&C no puede ser fácilmente determinado o apoderado físicamente. Los receptores de Internet basados ​​en satélites pueden ubicarse en cualquier lugar dentro del área cubierta por un satélite, y esto es por lo general bastante grande. El método utilizado por el grupo Turla para secuestrar los enlaces descendentes es altamente anónimo y no requiere de una suscripción a Internet por satélite válida.

Kaspersky explicó que utiliza Turla APT para secuestrar los enlaces DVB-S por satélite (radiodifusión por satélite de vídeo digital), de manera similar a la presentada en el Black Hat del 2010. Esta técnica requiere un equipo mínimo que incluye una antena parabólica, un bloque downconverter bajo nivel de ruido , un sintonizador DVB-S en una tarjeta PCIe dedicado hecho por TBS Technologies, y un PC con Linux.

Ilustración de como Turla APT abusa de las conexiones satelitales

"La tarjeta de TBS está particularmente bien adaptado a esta tarea, ya que ha dedicado los drivers del kernel de Linux y es compatible con una función conocida como exploración de fuerza bruta que permite hacer pruebas de señales interesantes en amplias gamas de frecuencias", escribieron los investigadores. "Por supuesto, otras tarjetas PCI o PCIe podrían funcionan tan bien, mientras que, en general, las tarjetas basadas en USB son relativamente pobres y deben ser evitadas."

Por otro lado, la desventaja viene del hecho de que Internet por satélite es lento y puede ser inestable. Indican los informes.

Los expertos de Kaspersky especulan que el grupo APT Turla, al igual que otros APT, hacen usode los enlaces de Internet por satélite para sus servidores C&C principalmente para evitar cateos de sus botnet por las autoridades y los ISP.

Miembro de Darkode admite haber vendido acceso a Botnet de spam

Eric L. Crocker, de 39 años, de Binghamton, Nueva York, se declaró culpable el lunes de un cargo de violación de la ley CAN-SPAM. El hombre era un miembro del foro de ciberdelincuencia recientemente desmantelado Darkode.

Imagen: Engadget

Según las autoridades, Crocker, también conocido como "Phastman", estuvo involucrado en un esquema en el que las computadoras de los usuarios de Facebook eran infectadas con el gusano Slenfbot y una pieza de malware llamada "Facebook Spreader."

Facebook Spreader fue diseñado para acceder a las cuentas de Facebook de las víctimas y enviar a sus amigos mensajes que contienen un enlace. El enlace apuntaba a el gusano Slenfbot (Dolbot), que a su vez descargaba el Facebook Spreader a la máquina recién infectada. El ciclo fue repetido para enlistar el mayor número de computadoras posibles en una botnet.

El sospechoso rentaba la botnet a través del foro Darkode a otras personas que lo utilizaron para el envío de "cantidades masivas de spam." Los documentos judiciales muestran Crocker y sus cómplices recibieron entre $200 y $300 dolares por cada 10.000 infecciones activas. Las actividades ilegales tuvieron lugar entre agosto de 2011 y octubre de 2012.
Crocker enfrenta hasta tres años de prisión y una multa de $ 250.000. La sentencia está prevista para el 23 de noviembre.

Crocker es una de las 12 personas acusadas en relación con Darkode, el foro de hacking desmantelado por las autoridades internacionales el mes pasado. Los otros acusados ​​son sospechosos de fraude informático, piratería informática, robo de identidad, lavado de dinero, desarrollo de malware, carding (tarjetas de pago), extorsión y chantaje.

Según Europol, Darkode tenía entre 250 y 300 miembros antes de que fuera derribado. El Departamento de Justicia de Estados Unidos dijo que el foro fue derribado después de haber sido infiltrado por agentes del FBI.

Menos de dos semanas después que las autoridades hicieron el anuncio, alguien que dice ser el administrador principal de Darkode anunció planes para relanzar el foro con nuevas medidas de seguridad diseñadas para proteger el sitio web y sus usuarios. Un mensaje publicado en el nuevo sitio reveló que la mayoría del personal y miembros de alto rango estaba "intacto".

Toda PC tiene Valor para un Atacante y Todo el Mundo es Objetivo

Los atacantes suelen ser perezosos y muchos ataques son automatizados. Si eres un blanco fácil, inevitablemente serás comprometido.

Getty Images

Probablemente has escuchado a alguien decir algo acerca de como no se preocupan demasiado por la seguridad, ya que no tienen ningún dato de valor o interés. Tal vez incluso opine lo mismo de su trabajo. Por desgracia, no es así como funciona la lógica del atacante.

El error esta en la (falta de) lógica de la creencia de que los ataques siguen un orden del día determinado. El proceso es en realidad bastante sencillo. Los atacantes realizan algún tipo de reconocimiento preliminar para evaluar sus objetivos. Así que, claramente, una vez que vean lo aburrido y ordinario de tus datos, ni siquiera se molestaran. Puede ser cierto que un atacante podría encontrar poco o ningún valor en los datos, y que las ganancias financieras no serán tan grandes. Sin embargo, en la mayoría de los casos esto no es la meta.
Considera la posibilidad de un ladrón que decide dirigirse a la casa de una persona muy rica y desarrolla un plan para eludir las medidas de seguridad del lugar. Ahora imagina un ladrón que va por la calle tratando todas las puertas para encontrar una que está abierta.

Hay ataques sofisticados que se dirigen a organizaciones o individuos específicos, pero la gran mayoría de ellos son ataques de conveniencia.

La mayoría de los criminales cibernéticos no son tan conocedores de la tecnología. Hay todo un mercado negro donde los aspirantes a ladrones pueden comprar exploits pre-fabricados ​​y herramientas de ataque. Lanzar un ataque es tan simple como el abrir Microsoft Word ... siempre y cuando los sistemas de destino tengan las vulnerabilidades apropiadas abiertas y se ajusten a los criterios previstos por el exploit. La mayoría de los ataques son automatizados y simplemente buscan en Internet objetivos que se ajusten a la descripción.

Independientemente de los datos que contiene, un sistema comprometido es valioso por si solo. Una vez que un atacante se encuentra dentro de una red es mucho más fácil de explorar y encontrar otros sistemas para atacar, en ocasiones sistemas que pueden no ser accesibles desde Internet. Tu actitud generosa sobre seguridad podría permitir a un atacante infiltrarse en la red y que puedan comprometer otros sistemas que son mucho más valiosos. Un ataque exitoso cuesta dinero y podría tener un impacto en tus ingresos, o posiblemente incluso costarte tu trabajo.

Un sistema comprometido se puede aprovechar para distribuir spam o malware como parte de una botnet. El atacante también puede usarla como un punto de entrada para otros ataques por lo que cualquier actividad sospechosa se vinculara a tu sistema en lugar del sistema del verdadero atacante.


No cometas el error de pensar que no es necesario estar seguro sólo porque tu trabajo no es tan importante, o los datos de tu equipo no parecen valiosos. Cada usuario y cada equipo o dispositivo móvil es una víctima potencial. Cualquier compromiso de éxito puede producir valor para los atacantes y posiblemente les permita hacerse un hueco en la red que les pueda funcionar para moverse lateralmente y encontrar otros sistemas para comprometer.

Cómo el FBI pudo haber infiltrado Darkode

El gobierno de Estados Unidos está celebrando el derribo de un infame foro de delito cibernético. Pero según una fuente con conocimiento directo de la investigación, esta importante victoria no habría sido posible sin la ayuda de un hacker informante mercenario que presuntamente obtuvo acceso de alto nivel hacia el sitio, y que ahora está tras las rejas.

El foro, llamado Darkode, sirvió como un mercado en línea para disfrutar de herramientas ilegales de hacking y datos robados, incluyendo malware, botnets, e información de tarjetas de crédito, números de identificación personal, así como los instrumentos utilizados para cometer fraude electrónico y lavado de dinero.

Darkode fue derribado la noche del martes, cuando una coalición de las fuerzas gubernamentales de 20 países, entre ellos la Oficina Federal de Investigaciones, se apoderó de Darkode y detuvo a una docena de sus miembros. El Departamento de Justicia de Estados Unidos llamó a la operación "el mayor esfuerzo de aplicación de la ley internacional coordinada dirigida a un foro cibernético criminal en línea."
Rory Guidry, de 28 años, fue una de las 12 personas detenidas en la redada encabezada por Estados Unidos a los miembros del sitio. De acuerdo con su declaración federal fuertemente redactada, Guidry ha sido acusado de fraude informático y está acusado de vender botnets - grandes colecciones de computadoras tomadas por el malware que dan al operador botnet control completo sobre ellos, en Darkode.



Sin embargo, según un hacker cercano a la investigación, que pidió el anonimato debido a su trabajo en curso con el FBI, tanto él como Guidry estaban trabajando para derribar Darkode por cualquier medio posible-incluyendo, en el caso de Guidry, trabajando con el FBI como informante pagado. Y fue la contribución de Guidry, declara esta fuente, que ayudó a dirigir a la caída de Darkode. La fuente proporcionó múltiples mensajes de correo electrónico que documenta su trabajo con las autoridades de Estados Unidos.

El Departamento de Justicia admite en su comunicado de prensa que el FBI tenía uno o varios infiltrados en Darkode. El uso de informantes es una práctica común en las investigaciones sobre delitos cibernéticos del FBI. The Guardian informó en el 2011 que se estima que uno de cada cuatro hackers de alguna manera sirve como un informante del gobierno. Los hackers que trabajan con el FBI también han cometido delitos cibernéticos bajo el ojo de la oficina, como fue el caso de Héctor "Sabu" Monsegur, que dirigió Hammond y otros en una serie de ataques contra los gobiernos internacionales, mientras trabajaba como testigo cooperador para el FBI.

El hacker y Guidry, ambos de los cuales, nuestra fuente dice, sirvió como informantes para el gobierno de Estados Unidos en las investigaciones anteriores, se acercaron primero al FBI sobre el acceso administrativo a Darkode en el 2013. Era una perspectiva desalentadora. Para ser miembro de Darkode, el miembro prospectivo necesitaba una invitación de un usuario actual y tenia que pasar por un proceso de aplicación. El sistema estaba destinado a mantener alejados a los informantes del gobierno y mantener la comunidad segura.

Había cuatro niveles de acceso que un usuario podría lograr en Darkode. Nivel 0 era para los nuevos usuarios. Los niveles 1 y 2 eran un reflejo de su reputación en el sitio web, que los usuarios construyen a través de demostraciones de sus habilidades de hacking. Nivel 3 era para los administradores, y este otorgaba el derecho a estos usuarios de libre acceso a las botnets y exploits.

Guidry robó la botnet del grupo de hacking infame Lizard Squad, que utilizó para tirar las redes de XBox Live y Playstation Network el día de Navidad, el hacker afirmó, y lo publicó en Darkode. Según el reportero de ciberdelincuencia Brian Krebs, Guidry ha hecho su misión derrotar a Lizard Squad, algunos miembros de los cuales también eran usuarios de Darkode. La publicación de Guidry del código botnet robado jugó un papel clave en la obtención de la confianza de la comunidad, de acuerdo con nuestra fuente.

La declaración jurada de Guidry no hace ninguna mención de él en calidad de informante, pero no entró en detalles del caso botnet contra él y lo hace sonar como si otro informante fuera responsable de su caída.

Actualmente no está claro si Guidry fue detenido por actividades relacionadas con su trabajo de informante.

"Creo que lo que ha ocurrido es una desconexión dentro del Departamento de Justicia", dijo nuestra fuente. "Ellos no han mantenido un seguimiento de quién está hablando con quién."

El FBI no ha respondido a varias solicitudes de comentarios.

Aqui se encuentra el documento publicado sobre el trabajo como informante del FBI.

Guidry affadavit

Anonymous Secuestra Miles de Routers Inseguros para Impulsar sus Herramientas DDoS

La falta de algunas medidas de seguridad elementales puede arriesgar la seguridad de su router y esto se ha debido por querer convertir en una herramienta de gran escala de denegación de servicio (DDoS) donde utilizan estos routers controlados por hackers. Una empresa de seguridad web, Incapsula, ha descubierto una nueva botnet basada en ruteadores llamada Mr. Black mientras investigaba algunos ataques DDoS contra sus clientes desde el mes de diciembre.

Los hackers explotan las medidas de seguridad negligentes de routers para lanzar estos ataques en todo el mundo. De acuerdo con este informe publicado por la firma de seguridad, los routers hechos por Ubiquiti Networks tenían DDoS de malware instalado en ellos.

Los routers no fueron hackeados por alguna vulnerabilidad en el hardware. En lugar de ello, ocurrió debido a la implementación del router de manera insegura que expone sus interfaces de gestión con las credenciales predeterminadas sobre SSH y HTTP. Se encontró que los routers que fueron inspeccionados tenian 4 versiones de Mr. Black, un programa de DDoS y en total se han detectado treinta y siete variaciones de Mr. Black. Otros programas incluyen DDoS DoFloo, Mayday y Skynet (una herramienta de teledetección).

En algunas versiones anteriores del informe, Incapsula dijo que cree que el grupo hacktivista Anonymous fue uno de los pocos grupos de los que se utilizan los routers comprometidos. Aún no está claro que la razón por Anonymous se destacó en el informe, pero lo cierto es que muy pocas personas que se hacen llamar "Anons" estaban usando los routers. El artículo original en el Daily Dot fue editado para eliminar el hecho de que la botnet dirige a irc (punto) anonops (punto) com.

Un total de 40,269 direcciones IP diferentes fueron detectados desde 1,600 ISPs repartidos en 109 países. Los principales países afectados fueron Tailandia (64%), Brasil (21%), Estados Unidos (4%) y la India (3%). Para controlar estos routers, 60 servidores fueron hackeados y la mayoría de ellos estaban en China y los EE.UU.

Para salvarse de los ataques DDoS, los usuarios deben asegurarse de que las interfaces de gestión de sus routers no están expuestas a través de HTTP o SSH a internet. También pueden utilizar algunas herramientas disponibles para escanear IP de su ruteador los puertos abiertos y cambiar sus credenciales de inicio de sesión predeterminadas.

Fuente: The Hacker Herald

Botnets de Twitch Permiten Ganar Dinero a través de 'Streams' de Videojuegos

Los atacantes han estado comprometiendo equipos de los usuarios para agregarlos a botnets, que se alquilan para inflar artificialmente el número de espectadores de canales Twitch.

Fuente: Symantec

Twitch se ha convertido en uno de los servicios de video en línea más populares hoy en día. La plataforma, que permite a las personas a transmitir en vivo sus sesiones de juego a una audiencia a través de Internet, experimentó un éxito particular en 2014. Ese año, había 100 millones de visitantes únicos, 1,5 millones de personas transmitiendo contenido, y más de 16 millones de minutos de videos vistos cada mes en Twitch.

La popularidad de Twitch permite que algunos jugadores ganen dinero mientras transmiten sus vídeos, siempre que tengan una audiencia lo suficientemente grande. Mientras que muchos jugadores han logrado ganar legítimamente sus espectadores, otros han intentado inflar artificialmente sus cifras de audiencia alquilando una botnet. Algunas de estas botnets fueron creadas infectando las computadoras de las víctimas con el malware y obligandolos a mantener transmisiones Twitch abiertas en segundo plano.

¿Cómo hacen dinero los usuarios a través de Twitch?

Los usuarios pueden obtener ingresos a través de sus transmisiones en Twitch de diferentes maneras:

• Los espectadores pueden suscribirse a los canales de los usuarios sobre una base mensual para acceder a nuevos beneficios.
• El dueño del canal puede recibir donaciones de los espectadores.
• El dueño del canal puede mostrar anuncios, ya sea antes, durante o después de sus transmisiones.

Antes de que los usuarios pueden participar en estos programas de ingresos, primero tienen que obtener una gran audiencia que ve su contenido regularmente - una audiencia concurrente promedio de más de 500 espectadores.

El mercado de las botnets Twitch

Un mercado en línea ha surgido para tomar ventaja de este programa, permitiendo a la gente a tomar un atajo y generar una gran audiencia de robots para sus canales Twitch. Esta estafa no está ligada exclusivamente a Twitch. Las botnets se utilizan en otras plataformas de vídeo con programas de generación de ingresos similares, tales como YouTube.

En una investigación llevada a cabo por Symantec, se encontraron varios servicios botnet para Twitch que estaban a la venta tanto en foros clandestinos y en la web abierta. Estos servicios permiten a las personas alquilar los robots en un período de tiempo para aumentar sus estadísticas de audiencia del canal Twitch. Los beneficios se comercializan como 'fácil de operar para los clientes'. También se encontró que muchos servicios ofrecen una única aplicación que podría generar un gran número de falsos espectadores del canal Twitch.

Por un servicio de botnet, el vendedor afirma que cada "víctima" en la red de bots puede ver hasta cinco transmisiones de canales Twitch. La computadora es aparentemente obligada a abrir las transmisiones de canal Twitch, aunque dichas transmisiones están ocultas y silenciadas de manera que el propietario del equipo es inconsciente de que algo anda mal.

Proveedor 1 y sus características

Otro de los servicios encontrado permite al dueño del canal alquilar diferentes paquetes de botnets, dependiendo de su presupuesto. Además de ofrecer a los espectadores, el servicio también ofrece "chat", que son robots publicando mensajes en la sección de chat en las transmisiones de Twitch. Los precios van desde US $ 29.99 para 100 espectadores y 40 usuarios del chat a 159 dólares para 1.000 espectadores y 400 usuarios del chat.

Proveedor 2, el servicio se ve mas formal y explicito.

 Otro servicio ofrece suscripciones mensuales para los servicios de bot Twitch, desde $ 24.95. Además de ofrecer a los espectadores y usuarios del chat, este servicio cuenta con un servicio de atención al cliente para ayudar a los usuarios que alquilaron estos bots para ver su canal. Esto demuestra una vez más cómo los servicios de alquiler de botnets están manteniendo una apariencia más "profesional" para atraer a los clientes.

Proveedor 3, este se ve como cualquier otro servicio profesional en internet

El Malware de Botnet

Mientras que algunos botnets pueden incluir equipos en los que el usuario ha aceptado participar en la estafa, otros incluyen equipos que se han visto forzadas a convertirse en bots de Twitch. Se ha observado una amenaza de botnet Twitch en Internet, que se detectó como Trojan.Inflabot. El malware parece disfrazarse como Chrome falso o actualización de software de Adobe y ha infectado computadoras principalmente en Rusia, los EE.UU., Reino Unido y Ucrania.

Top 10 de equipos infectados con este Malware

Una vez que Trojan.Inflabot compromete una computadora, se conecta a la página de la comunidad el malware del autor en la red social rusa vk.com . Esta página incluye una URL para el servidor que proporciona los detalles de malware, como cual transmision de Twitch ha de visitar, junto con la dirección URL de referencia. Esto permite que el software malicioso force el equipo comprometido a ver el canal Twitch de un determinado usuario.

Trojan.Inflabot parece provenir de ciberdelincuentes en Rusia que están utilizando la amenaza de operar el servicio de renta por botnet de Twitch. El malware no es tan sofisticado como otras amenazas de botnets Twitch, que acechan en foros underground, ya que crea una sola vista por equipo comprometido.

Conclusiones

Mientras que algunos usuarios transmiten sus sesiones de juego por simple pasatiempo, otros lo han tomado como un trabajo de tiempo completo por lo que resulta comprensible que se este lucrando de esta manera con el servicio. Lo único pertinente a nosotros es no convertirnos en un Bot, ¿como? Manteniendo actualizados tus programas y cuestionando antes de hacer click en cosas que sean sospechosas.

Gobierno de Obama busca más poder para hacer frente a botnets

El gobierno de Obama quiere más poder para cerrar botnets, en respuesta a la creciente amenaza de la ciberdelincuencia y, técnicas modernas cada vez más complejas.

El gobierno federal está negociando una enmienda de ley penal que daría al Departamento de Justicia el poder de obtener medidas cautelares y desarticular las redes maliciosas. La ley actual permite a las autoridades a emitir mandamientos judiciales sólo en ciertas circunstancias, por delitos como el fraude y el monitoreo ilegal.

"La escala y la sofisticación de la amenaza de los botnets está aumentando todos los días", dijo Leslie Caldwell, fiscal general adjunto de la División Criminal del Departamento de Justicia en un blog.

"Hackers individuales y grupos delictivos organizados están utilizando técnicas sofisticadas para infectar cientos de miles - a veces millones - de computadoras y causar enormes pérdidas financieras, a la vez que cada vez son más difíciles de detectar. Si queremos seguridad para mantener el ritmo de las innovaciones tecnológicas por los criminales, tenemos que asegurarnos de que tenemos una gran variedad de herramientas eficaces para combatir la evolución de las amenazas cibernéticas como estas".

Las botnets han sido motivo de especial preocupación para el gobierno de Estados Unidos en los últimos meses, a raíz de las redes principales como GameOver Zeus, que se dice que han robado más de $ 100 millones. El FBI ofreció una recompensa de $ 3 millones el mes pasado por información que conduzca al arresto del creador de la botnet.

La enmienda propuesta permitiría al Departamento de Justicia para obtener medidas cautelares en los casos en que hayan sido hackeadas 100 o más víctimas, ayudando al gobierno a apagado redes maliciosas de manera más efectiva.

Fuente: WLS

Las 9 peores botnets conocidas hasta hoy

Las botnets son responsables de una gran parte del hacking, spam y malware que leemos en las noticias, la conciencia sobre la herramienta favorita del hacker sigue siendo relativamente limitada. La capacidad de controlar una gran botnet da a los hackers y cibercriminales la capacidad de enviar miles de millones de correos electrónicos no deseados, o orquestar ataques DDOS masivos a voluntad. En pocas palabras, una botnet es un conjunto de computadoras infectadas que han sido comprometidas con un virus para ponerlos bajo el control de un solo hacker u organización.

Cortesia: ESET

Clasificar las botnets por cualquier métrica es difícil - incluso si basa en el número de computadoras controladas o el volumen de spam generado por día, es difícil conseguir cifras fiables, y la naturaleza de la botnet significa que su tamaño puede variar día a día. Sin embargo, los siguientes son algunos de los botnets más grandes que se conocen.

Grum

Grum se originó en 2008, y en los cuatro años hasta 2012 se convirtió en responsable de hasta el 26% del tráfico de correo electrónico spam mundial. Su firma era spam farmacéutico, y en su pico en 2010 fue capaz de emitir 39'900,000,000 mensajes al día - por lo que es la botnet más grande del mundo hasta el momento. En 2012 aún era responsable del 18% del spam mundial.

ZeroAccess

ZeroAccess es una de las botnets más recientes que se ha detectado y desarticulado. Se estima que estaba en control de más de 1,9 millones de computadoras de todo el mundo, que divide su enfoque en el fraude de clics (un proceso por el que un virus genera clics falsos en la publicidad, produciendo ingresos bajo esquemas de pago por clic) y la minería Bitcoin. Debido principalmente a este último, la botnet se informó que se consume energía suficiente para abastecer 111.000 hogares cada día de todos sus equipos infectados.

Lea tambien: ¿Que es una botnet?

Windigo

Cuando los investigadores de ESET nombraron un botnet en honor al monstruo caníbal mitológico Algonquin, sabemos que no pueden ser buenas noticias. La botnet Windigo fue descubierta el año pasado, despues de haber pasado sin ser detectada tres años en funcionamiento. En este tiempo había infectado a 10.000 servidores Linux - no a los equipos - que le permiten enviar 35 millones de correos electrónicos de spam al día, afectando a más de 500.000 ordenadores. Curiosamente, Windigo envía tres formas diferentes de malware dependiendo del sistema operativo del dispositivo que lo recibe: el malware para PCs con Windows, muestra anuncios de sitios web para los usuarios de Mac OS X, y contenido pornográfico a los usuarios de iPhone. La amenaza planteada por Windigo está en curso, aunque ahora que ha sido detectada, los administradores de sistemas pueden eliminarlo de los equipos afectados limpiándolos y volviendo a instalar el sistema operativo con credenciales frescas. Más del 60% de todos los servidores web utilizan servidores Linux, por lo que el riesgo potencial enorme.

Storm

Las estimaciones del tamaño de Storm variaron entre 250.000 a 50 millones de ordenadores. Detectado por primera vez en 2007, debe su nombre a uno de sus primeros mensajes de spam, "230 muertos en devastadora tormenta en Europa". Destaca por ser una de las primeras botnets peer-to-peer (es decir, los equipos controlados no se administran desde un servidor central), era conocido por permitir el fraude en el precio de las acciones y el robo de identidad, pero su tamaño, combinado con el hecho de que era contratada en partes a menudo al mejor postor, significaba que estaba involucrada en todo tipo de actividad nefasta. Storm fue desarticulada parcialmente en 2008, pero hasta el 2012 los autores eran todavía desconocidos.

Cutwails

Ni la más sofisticada ni la más difícil de desarticular, sin embargo Cutwail gana su lugar en la lista por su magnitud. La botnet controlaba hasta 2 millones de computadoras en el 2009, enviaba hasta 74 mil millones de mensajes de spam por día - equivalente a casi un millón por minuto. Equivaliendo al 46,5% del volumen de spam de todo el mundo en ese momento. En 2010, investigadores de la Universidad de California, Santa Bárbara y la Universidad del Ruhr en Bochum, Alemania, sacaron de linea dos tercios de los servidores de control de Cutwails.

Conficker

El nombre será conocido por cualquiera que esté familiarizado con los virus informáticos - Conficker fue posiblemente el malware más efectivo de la década de 2000, formando botnets a su paso. En el tope de propagación en 2009, se estima que había infectado a 15 millones de computadoras, pero el número total de máquinas bajo su control botnet (a través de variantes de Conficker ) alcanzó entre 3 y 4 millones - lo que la hace una de, si no es que la más grande hasta la fecha.

Srizbi

La botnet Srizbi sólo estuvo activa durante alrededor de un año, pero en ese intervalo de tiempo sus computadoras fueron responsables de 60% de todo el spam en todo el mundo - 60 mil millones de correos electrónicos cada día, en la temporada 2007/08. Cuando su servidor de alojamiento McColo fue sacado de línea, el volumen de spam en todo el mundo en realidad se redujo en un 75%.

Kraken

La botnet Kraken es fuente de una cierta controversia cuando se trata de estimar su tamaño y alcance - en gran parte debido al número de alias que tiene - pero todos coinciden en que fue uno de los más grandes. Se dice que ha infectado a 10% de todas las compañías de Fortune 500, y controlaba casi 500.000 bots. Cada uno fue estimado ser capaz de enviar hasta 600.000 correos electrónicos por día - por valor de 300 millones de mensajes de correo electrónico en todo el mundo.

Metulji y Mariposa

Estos dos botnets se muestran juntos debido a su dependencia compartida en lo que se conoció como el "marco de la mariposa ', un kit de creación botnet hecha por uno de hackers de Europa. Tanto Metulji y Mariposa infectaron más de diez millones de máquinas cada una, haciéndolos fácilmente los peores botnets en términos de alcance. La mariposa sin embargo, tenía un grave error; llevaba un registro de quien habia pagado por sus servicios, y cuando los agentes del FBI y la Interpol arrestaron a los operadores de Metulji en Eslovenia en 2011, obtuvo detalles de los operadores de Mariposa también. Se estima que Metulji fue utilizada para robar detalles de contraseñas, números de tarjetas de crédito y números de seguridad social valorados en millones de dólares.

¿Qué es una botnet?

Bots y botnets

Los bots representan uno de los delitos cibernéticos más sofisticados y populares de hoy en día. Permiten a los hackers tomar el control de muchos equipos a la vez y convertirlos en equipos "zombis", que funcionan como parte de un poderoso "botnet" que propaga virus, genera spam y comente otros tipos de delitos y fraudes.

Cortesía: Wikipedia

¿Qué es un bot?

Un "bot" es un tipo de programa malicioso que permite a un atacante tomar el control de un equipo infectado. Por lo general, los bots, también conocidos como "robots web" son parte de una red de máquinas infectadas, conocidas como “botnet”, que comúnmente está compuesta por máquinas víctimas de todo el mundo.

Debido a que un equipo infectado por bots cumple las órdenes de su amo, muchas personas se refieren a estos equipos víctima como “zombis”.Los delincuentes cibernéticos que controlan estos bots son cada vez más numerosos.

Algunos botnets pueden englobar cientos o un par de miles de equipos, pero otros cuentan con decenas e incluso centenares de miles de zombis a su servicio. Muchos de estos equipos se infectan sin que sus dueños se enteren. ¿Existe algún indicio? Un bot puede hacer que su equipo funcione más lento, muestre mensajes misteriosos e, incluso, falle.

Cómo funcionan los bots

Los bots se introducen sigilosamente en el equipo de una persona de muchas maneras.Los bots suelen propagarse por Internet en busca de equipos vulnerables y desprotegidos a los que puedan infectar. Cuando encuentran un equipo sin protección, lo infectan rápidamente e informan a su creador.Su objetivo es permanecer ocultos hasta que se les indique que realicen una tarea.


Una vez que un bot toma el control de un equipo, se puede utilizar para realizar varias tareas automatizadas, como las siguientes:

• Enviar spam, virus o spyware
• Robar informacion privada y entregarla al dueño de la botnet, por ejemplo: números de tarjeta de credito, credenciales bancarias, otra informacion personal o confidencial
• Lanzan ataques de denegación de servicio (DoS) contra un objetivo específico. Los criminales cibernéticos extorsionan a los propietarios de los sitios web por dinero, a cambio de devolverles el control de los sitios afectados. Sin embargo, los sistemas de los usuarios diarios son el objetivo más frecuente de estos ataques, que sólo buscan molestar.
• Fraude mediante clicks: Los estafadores utilizan bots para aumentar la facturación de la publicidad web al hacer clic en la publicidad de Internet de manera automática.

Protección contra bots

Para obtener protección contra los bots maliciosos, se aconseja:

1. Instale un software de seguridad de primera clase (McAfee, Norton, MalwareBytes).
2. Configure el software para que se actualice de manera automática.
3. Aumente las configuraciones de seguridad de su navegador.
4. Limite los derechos de usuario cuando está en línea.
5. Nunca haga clic en los archivos adjuntos, a menos que pueda verificar su origen.
6. Asegúrese de que su sistema tenga las revisiones más recientes de Microsoft Windows Update.
7. Configure los parámetros de seguridad de su equipo para que se actualicen automáticamente, a fin de asegurarse de tener siempre los parches más recientes del sistema.

Dridex Troyano se propaga a través de macros en archivos XML

No hace mucho tiempo, los delincuentes detrás del troyano bancario Dridex estaban utilizando documentos de Microsoft Excel contaminado con una macro malicioso como anzuelo para atraer a las víctimas de phishing a cargar el software malicioso en sus máquinas.

A pesar de que las macros están desactivados por defecto dentro de la mayoría de las organizaciones, los hackers siguen siendo persistentes en ella, esta vez usando archivos XML como un anzuelo.

Investigadores de Trustwave informan que en los últimos días, varios cientos de mensajes han sido acorralados que están tratando de explotar la confianza de los usuarios en los documentos de Office con alguna ingeniería social inteligente arrojados a la mezcla en un intento de convencer a los usuarios para habilitar las macros y así descargar el malware bancario en sus equipos.

Los archivos XML se pasan aparentando un "aviso de pago", o notificaciones de pago, con la esperanza de que algunos usuarios crean que es un archivo de texto inocente y ejecutar el código malicioso.

"Los archivos XML son el antiguo formato binario para documentos de Office y una vez que se hace doble clic en ellos para abrir el archivo asociado con Microsoft Word y abre", dijo Karl Sigler, gerente de inteligencia de amenazas de Trustwave. La macro malicioso se comprime y codifica en Base64 con el fin de colarse a través de la tecnología de detección, dijo Sigler, quien agregó que los atacantes también han incluido un pop-up con las instrucciones para el usuario sobre cómo habilitar las macros con un lenguaje que hace hincapié en las macros deben estar habilitadas para el factura verá correctamente o para garantizar la seguridad adecuada. "Qué es exactamente lo contrario de lo que esto hace", dijo Sigler. "No parece ser tan sofisticado". O bien están tratando de sacar provecho de la confianza del usuario en archivos XML, o el hecho de que un usuario no puede ser tan familiarizados con lo que es esa extensión."

Si el usuario llega a ejecutar el malware, Dridex se comporta como la mayoría de los troyanos bancarios. Se queda silenciosamente a la espera de que el usuario visite un sitio de banca en línea y luego inyecta código en el sitio del banco con el fin de capturar las credenciales del usuario para su cuenta en línea.

Sigler dijo que esta es la primera vez que se han localizado documentos XML que se utilizan como anzuelo. En cuanto a las macros, estas han sido desactivados por defecto desde Office 2007.

"A veces en las grandes organizaciones, los administradores locales tienen la posibilidad de habilitar macros", dijo Sigler. "Algunas organizaciones los utilizan un poco, pero no es común. La mayoría de la gente deja la configuración predeterminada. Es difícil decir por qué estos chicos se mudaron a XML. Podría ser que están buscando un nuevo vector de ataque y que no estaban obteniendo buenos porcentajes de clics con los documentos de Excel. Tal vez no estaban consiguiendo que la gente habilitara las macros de la manera que esperaban y que están buscando una manera de mejorar su tasa de éxito ".

Dridex es un descendiente de Cridex y pertenece a la familia GameOver Zeus. GameOver Zeus ha sido utilizado durante años con un gran beneficio, especialmente a través de fraude electrónico. Utiliza una arquitectura peer-to-peer para difundir y enviar mercancías robadas, optando por renunciar a un sistema centralizado de control y comando. Técnicas de P2P y algoritmo de generación de dominio hacen que los botnet sean mas difícil de desarticular y extienden la vida útil de estos sistemas de malware. La campaña anterior de Dridex dirigido a los clientes de banca del Reino Unido con los mensajes de spam falsos de empresas populares, ya sea locales o activas en el Reino Unido. El spam  utilizando macros inicio en octubre y continuo hasta mediados de diciembre; los mensajes contenían adjuntos maliciosos que hacían pasarse por facturas de una serie de fuentes, incluyendo las compañías navieras, minoristas, empresas de software, instituciones financieras y otros.

Con información de The Hacker Herald

Ofrece EU $3 millones USD de recompensa por información sobre hacker ruso

El FBI dice que es la mayor cantidad ofrecida en un caso de delito cibernético

Estados Unidos anunció una recompensa de 3.000.000 dólares el martes por información que conduzca al arresto y/o condena de un hacker ruso, la recompensa más grande que ha ofrecido en un caso de delito cibernético.
Evgeniy Mikhailovich Bogachev, uno de los criminales cibernéticos más buscados por el FBI, habría participado en una "gran empresa de delincuencia cibernética", según el Departamento de Estado, que implicó el uso de un software malicioso conocido como "Zeus" para obtener información sensible de las víctimas, como la cuenta bancaria números, contraseñas y números PIN.

Imagen: Evgeniy Mikhailovich

El FBI dijo que la investigación de la red de computadoras "GameOver Zeus" comenzó en septiembre de 2011 y es responsable de aproximadamente 1 millón de infecciones informáticas, lo que resulta en más de $100 millones robados de cuentas bancarias en línea. Bogachev, conocido como "lucky12345" y "slavik", fue acusado por un gran jurado federal en agosto de 2012 de los cargos como fraude bancario, conspiración para violar la Ley de Fraude y robo de identidad agravado y abuso. En mayo de 2014, otro gran jurado federal lo acusó bajo su verdadero nombre por cargos que incluyen fraude electrónico, lavado de dinero y fraude informático.

Bogachev en Rusia.

Aca el enlace del FBI

El regreso de la Botnet "ZeroAccess"

Aunque ya dada , la botnet ZeroAccess (P2P) ha resurgido, y desde hace tan sólo unas semanas, ha vuelto a propagar las estafas click-fraud (clicks invalidos).

Los investigadores de SecureWorks de Dell reveló el miércoles que pudieron  detectar cuando la botnet reinició entre el 21 de marzo al 2 de julio del 2014 y que a mediados de este mes - seis meses después de que fue vista por última vez - la botnet al parecer ha vuelto a operar y otra vez está repartiendo plantillas para ejecutar click-frauds.

Click-fraud, una de las técnicas más fáciles que los cibercriminales utilizan para obtener beneficios económicos del malware, es esencialmente la malversación de los ingresos por publicidad de los clics que no proceden de clientes legítimos.

A pesar del resurgimiento de la botnet, los investigadores insisten en que no ha crecido o incluso tratado de incorporar nuevas maquinas infectadas. En lugar de eso, se ha dividido en dos botnets más pequeñas que utilizan diferentes puertos UDP, operando con equipos de infecciones pasadas.

Los investigadores encontraron ZeroAccess en dos botnets más pequeñas en sistemas Windows comprometidos de 32 bits (azul) y 64 bits (gris) .

"Los sistemas comprometidos actúan como nodos de la red P2P, y reciben periódicamente nuevas plantillas que incluyen las direcciones URL de los servidores de la plantilla del ataque en progreso,"  escribió la firma Counter Threat Unit (CTU).

Una vez que se visitan las direcciones URL, como una reacción en cadena, los bots son redirigidos a su destino final.

La unidad afirma que contó 55.000 o mas, direcciones IP diferentes - sobre todo en Japón, la India y Rusia - reportarse con la botnet a partir del 17 de enero al 25 de enero algunos pueden considerar 55K poca cosa en comparación con los dias de apogeo de la botnet, cuando Microsoft limpio medio millón de máquinas del virus a partir de 02-marzo 2013, pero Dell está haciendo hincapié en que para todos los efectos ZeroAccess todavía debe considerarse sustancial.Añadiendo que puede que no sea capaz de hacer lo que otros botnets llamativos pueden, como llevar a cabo el fraude bancario o mantener archivos rescate de los usuarios, ZeroAccess todavía puede causar estragos en los anunciantes y máquinas que infecta por igual.

Se pensaba que la botnet estaba muerto en diciembre 2013 después de que Microsoft, junto con el Centro de Europol Europea Ciberdelincuencia (EC3), el FBI, y la empresa A10, interrumpiendo dos millones de máquinas infectadas por ZeroAccess. Click-fraud es sólo uno de los pasatiempos favoritos de la botnet. ZeroAccess, a / k / a Sirefef, también se ha visto el secuestro de los resultados de búsqueda y redirigir la información de las víctimas a  los sitios web maliciosos que roban y por un breve período la plataforma incluso se le vio facilitando la minería Bitcoin.

Microsoft redujo mucho las tendencias click-fraud de la botnet en mayo 2013 después de que sumó su firma a su herramienta de eliminación de software malintencionado (MSRT) y limpiado todas las máquinas infectadas donde pudiera encontrar ZeroAccess.

Fuente: ThreatPost

Cómo los hackers están usando #JeSuisCharlie para propagar malware

A raíz de los trágicos tiroteos en las oficinas de Charlie Hebdo en París la semana pasada, #JeSuisCharlie pronto se convirtió en un mensaje de solidaridad en tendencias de redes sociales. Pero los periodistas no son los únicos que siguen estos eventos virales con interés. Organizaciones de malware son rápidos para adherirse a la tragedia y utilizarla para propagar malware, y se van volviendo mas efectivos con cada nuevo desastre, según un estudio de la empresa de seguridad de Blue Coat.

En el caso de #JeSuisCharlie, organizaciones de malware saltaron sobre la tendencia dentro de las 24 horas, según el Jefe Estratega de Seguridad de Blue Coat Hugh Thompson. "Estas organizaciones de malware pueden girar muy rápidamente. La infraestructura que han construido fuera es muy dinámica. Estas personas son sin duda los depredadores ".

En una entrada de blog, Ashwin Varnshi de Blue Coat describe una pieza particular de malware llamada DarkComet RAT que se ha aprovechado de la reacción de Internet respecto a los tiroteos en Charlie Hebdo. En un ejemplo, el malware se oculta en una foto aparentemente inocua de un bebé recién nacido cuya pulsera lee "Je suis Charlie."

Tras la descarga de la foto comprometida, aparece un mensaje en francés, explicando que la foto fue creada en una versión anterior de MovieMaker. En realidad, el usuario que descargó el archivo ha sido comprometido por un conjunto de herramientas de acceso remoto que le da al atacante el control de la máquina para enviar spam, distribuir más malware, o llevar a cabo un ataque dirigido en contra del mismo usuario.

Thompson compara este tipo de organizaciones de malware con los vendedores ambulantes en las ciudades que se aprovechan de las oportunidades que presenta el clima de vender paraguas cuando llueve un día y una botella de agua cuando hace calor la próxima. En lugar de los paraguas, los distribuidores de malware tienen redes de servidores comprometidos en espera de ser desplegado cuando surja la oportunidad. "Ellos tienen esta infraestructura que está lista para entrar en acción", dice.

Estos ataques son eficaces porque los acontecimientos estremecedores "toman a las personas por sorpresa" y alteran sus niveles habituales de seguridad, dice Thompson. Los atacantes no están necesariamente tratando de enviar un mensaje político, sino capitalizar las emociones del evento trae a consecuencia. Mientras que el malware DarkComet fue creado originalmente por hackers francés DarkCoderSC, los ataques de malware a menudo cruzan las fronteras nacionales. Con el terremoto de Haití, los atacantes se aprovecharon de la impaciencia del público para ayudar con enlaces falsos para donar a la Cruz Roja, por ejemplo. Con Ébola, organizaciones de malware alimentados por miedo del público con enlaces infectados a páginas de noticias sensacionales. "En este caso, hay una gran cantidad de golpes que el mundo experimentó alrededor de [disparos en Charlie Hebdo], y luego hay demasiada solidaridad que surgió como resultado", dice Thompson.

Fuente: Forbes

"XOR.DDoS": Nuevo troyano se encuentra infectando sistemas Linux mediante la instalación de Rootkit

Un nuevo troyano, XOR.DDoS, se encuentra comprometiendo sistemas Linux para formar una red de bots para ataques de denegación de servicio (DDoS), ha sido reportada por el grupo MalwareMustDie, dijo el blog de una firma de seguridad cibernética.

Avast, una compañía de software antivirus, ha explicado en su blog sobre la nueva amenaza que altera su instalación en función del entorno Linux de la víctima y luego instala un rootkit para evitar la detección.

La infección comienza con un ataque 'fuerza bruta' por SSH para obtener las credenciales del usuario root. Si tiene éxito, los atacantes instalan el troyano a través de un script de shell que incluye procedimientos como main, check, compiler, uncompress, setup, etc.

El troyano comprueba su compatibilidad con las cabeceras del kernel del sistema comprometido y si coincide, instala un rootkit.

"El rootkit oculta todos los archivos que son indicadores de vulneración, por lo que las víctimas no podrían ver esos indicadores. También oculta los procesos y otros indicadores de compromiso ", dijo Peter Kalnai, analista de malware en Avast para SCMagazine.com.

MalwareMustDie vio por primera vez el troyano en octubre de 2014. Los sistemas con los inicios de sesión por defecto, son los más vulnerables. Además, servidores web 32-bit y 64-bit Linux , equipos de escritorio, equipos con arquitectura ARM también son susceptibles.

A menudo los sistemas Windows tienen infecciones similares, pero los troyanos para sistemas Linux son menos escuchados.

"Es muy difícil establecer un componente rootkit dentro de un límite de Linux, ya que necesita estar de acuerdo con las versiones de los sistemas operativos de las víctimas", dijo Kalnai.

Aunque no se han reportado muchas infecciones hasta el momento, tanto las empresas como los individuos deben ser conscientes de la amenaza.

¿Que es un RootKit?

Un RootKit es un conjunto de herramientas para permitir un acceso de privilegio continuo a una computadora pero mantener su presencia activamente oculta al control de los administradores al corromper el funcionamiento normal del sistema operativo o de otras aplicaciones.

Fuente: Avast