• Tweet

Según expertos de “Marshal's TRACE team”, correos electrónicos mencionando a “George Bush”, Microsoft y Al Qaeda en el asunto del correo, forman parte de una coordinada campaña de spam con el fin de lograr que un grupo de intrusos controlen la botnet “Rustock”.

La reciente campaña, se ha diseñado para ser a gran escala y conseguir infectar equipos con software malicioso y convertirlas en parte de la botnet “Rustock”… y están tendiendo éxito, comentó Marshal. En el último mes, “Rustock” ha crecido lo suficiente para ocupar el segundo lugar en botnets y el envió de spam, tan sólo un lugar antes de la botnet “Srizbi”. Desde mediados de Junio, “Rustock” aumentó su cuota de spam de un 10 a un 21.5 por ciento, según estadísticas de la semana pasada obtenidas “Marshal's TRACE”

La semana pasada el spam, diseñado para infectar equipos con software malicioso en lugar de promover un producto, tuvo un incremento histórico de casi 19 por ciento. En Junio del 2008, el malware programado para el envió de spam, se incrementó en un 10 por ciento comparado con el 3 por ciento que ha sido su incremento constante desde fF del 2008.

Esta última campaña de “Rustock”, tiene un tendencia totalmente dirigida a alojar malware en sitios Web legítimos. Un gran número de pequeñas empresas y sitios Web de empresas privadas han sido el blanco de ataque de esta campaña, entre ellas un club de badminton en china y un sitio de hypnotherapist en Estados Unidos. El secuestro de sitios legítimos y el alojamiento de malware en sitios Web, hace que sea más difícil rastrear spammers; la estrategia de uso de sitios Web también hace que existan menos pruebas que vinculen a los spammers con el mismo malware.

Hay una serie de mensajes que se envían como parte de la campaña, cada una con diferente título. Algunos ejemplos son:

"Bush Down to 8 Friends on Myspace"

"Yahoo sold to Microsoft, record price"

"Al Qaeda Reports Declining Revenues in Fiscal '08"

"Martian Soil Fantastic for Growing Weed Says Nasa"

"Obama Is Anorexic Over-Exerciser"

El cuerpo del mensaje contiene información más sensacionalista, por lo general tratan temas que no tienen relación con la línea del asunto – y una URL de enlace. Los vínculos suelen terminar con “viewmovie.html”, “stream.html” o “r.html”, cada vez que un usuario de clic en el vínculo, se abre un sitio Web que muestra un video tratándose de cargar y un aviso de un archivo con nombre “codecinst.exe” que trata de instalarse. Si se descarga el archivo y se instala en el equipo, lo que se instala es un gusano que se conecta a la botnet “Rustock”. Además de esta amenaza, el sitio Web contiene componentes JavaScript diseñado para explotar las vulnerabilidades en Internet Explorer y descargar automáticamente el software malicioso.

“Rustock” no es una palabra con la que muchas personas estén familiarizadas, sin embargo, es un nombre bien conocido en la industria de la seguridad informática. Hoy en día es uno de los spambots mejor establecido. Ha venido modificando su forma de atacar por más de dos años y se estima que tiene más de 150000 equipos infectados y distribuye cerca de 30 millones de mensajes al día.