Cibercriminales detrás de la resistente botnet Pushdo bormbardean sitios web legítimos con tráfico falso para camuflar peticiones a los servidores de comando y control (C&C) de la red zombie.

Un grupo variado de aproximadamente 300 sitios web genuinos (la mayoría pequeños) se encuentran recibiendo peticiones de equipos zombie infectados con la última variante de Pushdo, de acuerdo a Brett Stone-Gross, un investigador de seguridad en la Unidad Contra Amenazas SecureWorks de Dell (CTU por sus siglas en inglés).

"En algunos casos, estas falsas peticiones web están afectando pequeños sitios", explicó Stone-Gross.

Variantes anteriores del malware, que apareció hace aproximadamente dos años, enviaban peticiones falsas ocultas en tráfico SSL hacia grandes sitios web (CIA, PayPal, etc.), por razones que nunca fueron adecuadamente explicadas. El último comportamiento es aún más nocivo debido a que puede fácilmente ser el culpable de agotar los límites de ancho de banda de pequeños sitios web.

"El propósito de estas peticiones HTTP falsas es hacer que el tráfico de los C&C de Pushdo, que también utiliza HTTP, se mezcle con tráfico legítimo", explica una publicación del blog de Dell SecureWorks sobre las últimas habilidades de la botnet Pushdo.

La botnet Pushdo apareció al rededor de 2007 y ha sido asociada con la botnet de envío de spam Cutwail desde entonces. Stone-Gross considera que Pushdo y Cutwail son el trabajo de la misma banda del este de Europa. Pushdo crea una puerta trasera en las máquinas infectadas a través de la cual, los controladores de la botnet, pueden introducir Cutwail. El mismo acercamiento ha sido usado para distribuir variantes del mal afamado troyano bancario ZeuS y otras amenazas.

A pesar de cuatro desmantelamientos a lo largo de cinco años, Pushdo continúa floreciendo.

"El grupo detrás de la botnet está bien financiado y cada desmantelamiento es sólo temporal", dijo Stone-Gross. Los botmasters detrás de Pushdo han comenzado recientemente a enviar spam al este de Europa y Rusia: pero no los mismos correos de phishing o malware con los que son bombardeados los usuarios del oeste.

La última variante de Pushdo utiliza una combinación de spam y descargas controladas para propagarse. La población de equipos infectados ha variado de 112 mil a 200 mil bots en meses recientes, de acuerdo a estadísticas de monitoreo de Dell SecureWorks.

NOTA

Las falsas peticiones HTTP GET/POST generadas por la última variante de Pushdo pueden ser reconocidas como peticiones anómalas que sigan el formato "http : //<domain>-xclzve_[30 caracteres aleatorios]". Los dueños de sitios web afectados por Pushdo pueden filtrar las peticiones utilizando una regla del servidor web para desechar tráfico que coincida con este patrón.