Un componente tipo dropper enviado a los investigadores de Akamai los condujo al descubrimiento de una red de bots de spam que consta de al menos 83 mil sistemas comprometidos.

La botnet es multicapas, descentralizada y con amplia distribución. El primer atributo hace que sea nombrada Torte (también conocida como Cake).

"La red de bots es bastante grande y basa sus infecciones en el uso de binarios ELF y PHP. Mientras las infecciones binarias sólo atacan a Linux, otras infecciones basadas en PHP fueron encontradas ejecutándose sobre los principales sistemas operativos para servidores: Linux, Windows, OS X Unix, SunOS y variantes de BSD", compartieron los investigadores.

El artefacto que provocó la atención de los investigadores fue un script PHP, que según descubrieron, fue usado para determinar la arquitectura y sistema operativo del procesador. Una vez que la información se conoce, el dropper podría descargar y ejecutar el binario ELF (spooler).

El binario ELF contiene varias direcciones URL, cada una de ellas para una tarea diferente: una reparte plantillas de spam/payloads que contienen enlaces a páginas de aterrizaje, otra ofrece la URL a los servidores infectados con otra pieza de malware que hace de ellos servidores para envío de correo (mailers), un tercero ofrece páginas de error 404.

El investigador escribió un script que contactaba eficazmente a hosts infectados (mailers) en orden para detectar cuántos son. Como resultado se detectaron más de 78 mil infecciones únicas de mailer, de los cuales 56,281 estaban activos.

"Los mailers representan únicamente un puñado de las características, pues el objetivo principal es tomar las entradas de los spooler, haciendo algunas operaciones de socket y búsquedas de registros MX, para generar y enviar los payload de los correos a direcciones específicas. También ofrecen algunas estadísticas básicas de informes y seguimiento, permitiendo a los spoolers comprobar las tareas y obtener actualizaciones".

Los investigadores también identificaron más de 1,700 infecciones de páginas de aterrizaje (lander) activas, cuyo objetivo es redirigir a las víctimas de spam a una lander final; una página "adecuadamente sembrada con contenidos de afiliados y enlaces a redes de adultos", alojada en los servidores que se han comprometido a través de fuerza bruta de credenciales FTP.

Los investigadores creen que el objetivo de la botnet es para combinaciones de ataques de fuerza bruta a direcciones de correo electrónico que puedan enviar spam a todos quienes sea posible.

Debido a sus múltiples capas, la botnet es muy resistente a los derribos y las operaciones de limpieza. Cada componente, spoolers, los anuncios publicitarios, campañas y módulos de aterrizaje, pueden cambiarse fácilmente si se comprometen de alguna manera.

Pero, curiosamente, la botnet es vulnerable a los intentos de secuestro debido a sus débiles procesos de autenticación y verificación a lo largo de anuncios publicitarios y los servidores C&C.

Los investigadores han creado dos scripts de shell que pueden ayudar a las organizaciones a comprobar si sus servidores web han sido acordonados en esta botnet y los han incluido en el documento que detalla el funcionamiento de la red de bots.