• Tweet

John Leyden

Club de fans ucraniano se vanagloria en todo tipo de "travesuras"

Un "botnet" originalmente ejecutado sobre servidores comprometidos en las Bahamas, ha sido culpado por el reciente resurgimiento de fraudes con software diseñado para generar miedo en el usuario, "scareware".

Investigadores de la firma de seguridad "Click Forensics" han relacionado al "botnet" de las Bahamas con un ataque reciente que resultó en anuncios en ventanas emergentes vinculando software falso de Antivirus apareciendo vía el portal del "New York Times". El engaño buscaba engañar al usuario para comprar un software llamado "Personal Antivirus" al advertirles falsamente que sus equipos habían sido infectados con un virus no existente.

Personal Antivirus, lejos de ofrecer una utilidad de vacunación, como se anuncia, infecta los sistemas comprometidos con un Caballo de Troya. "Click Forensics" dijo que este Caballo de Troya esta siendo distribuido por una banda de cyber-delincuentes en Ucrania llamada "club de fans ucraniano" (the Ukranian fan club), que también están fuertemente involucrados en el "fraude de clicks"

"Creemos que el botnet Bahama es controlado por esta misma banda, o por sus vecinos cruzando la calle", reporta "Click Forensics". "Estamos muy seguros que el botnet Bahama esta relacionado con el club de fans Ucraniano y el NYTimes.com "scareware" porque ambos llaman a un dominio falso "Windows protection" localizado en la mima dirección IP.

Servidores comprometidos por el botnet Bahama generan clicks auto generados como parte del fraude de clicks que ofrece ingresos adicionales para los delincuentes. Este trafico de fraude de clicks esta cuidadosamente diseñado para evadir la detección por motores de búsqueda y redes de anuncios (ad networks) al imitar búsquedas verdaderas. "El botnet esta disfrazando eficazmente el fraude que produce como "tráfico bueno" al alterar el intervalo y la amplitud de los ataques a lo largo legiones de máquinas infectadas," explicó Paul Pellman, jefe ejecutivo de "Click Forensics".

"Click Forensics" detectó por primera vez al botnet Bahama cuando descubrieron que estaba redireccionando tráfico a través de 200,000 dominios "estacionados" localizados en las Bahamas. Desde entonces la red "zombie" ha sido reprogramada para redireccionar tráfico a través de otros sitios intermediarios localizados en los Países Bajos, EUA y en Reino Unido. El fraude de clicks llevado a cabo por el botnet es explicado con más detalle en el video (Ver video).

Más acerca del "club de fans" Ucraniano y su participación en la campaña de anuncios fraudulentos en el NTY puede encontrarse en un publicado en blog por el investigador independiente de seguridad Dancho Danchev aquí