• Tweet

Estafa ejecutada a través de agentes de tráfico secuestra al navegador.

Los criminales cibernéticos hacen uso de botnets para hacer dinero a través del envío de spam o lanzando ataques de denegación de servicio, lo cual se ha convertido en un modelo de negocio lucrativo.

Pero los controladores de las redes de computadoras comprometidas tienen otras formas de convertir un ilícito en beneficio , incluyendo el uso de agentes de tráfico deshonestos para defraudar a marcas de renombre. Un escrito de Trend Micro sobre la estafa y fraudes en los clics, arroja datos sobre esta poco conocida pero muy lucrativa estafa cibernética.

Trend Micro ha ido tras el rastro de una particular banda de ladrones de clic fraudulentos por más de 18 meses. La banda es originaria de Estonia, aunque tiene secuaces en el Reino Unido, cuenta con una empresa ficticia, a través de la cual un agente de tráfico web “hacer clics” juega un papel importante en el fraude complejo.

David Sancho, un investigador de seguridad de los Laboratorios de Trend Micro, explica que la estafa utiliza bots de un tiempo de vida corto para redirigir el tráfico web de las máquinas comprometidas. Los surfistas que desean visitar Yahoo, por ejemplo, podrían ser redirigidos a través de un servicio de terceros antes de que lleguen a su destino, ganando un agente sin escrúpulos algunos centavos en el proceso.

Cada una de estas acciones podrían equivaler a uno o dos peniques, pero con 15,000 bots en la red y el tráfico de múltiples incidentes de secuestro, los ingresos de millones de dólares al año podrían ser posibles.

La estafa se basa en el corto tiempo de vida de las bots, este es uno de los factores que permite realizar la mayoría de los fraudes “no tan visibles como los spambots”, explica Sancho.

El fraude gira en torno al uso del navegador de malware troyano que redirige a las víctimas fuera de los sitios que desea visitar. Las búsquedas siguen funcionando con normalidad pero una vez que las víctimas dan clic en un resultado de búsqueda o en un enlace patrocinado, son redirigidos a un sitio externo donde el secuestrador puede monetizar clics fraudulentos a través de un agente de tráfico. Estos intermediarios venden los robos o los secuestros de tráfico de nuevo a las empresas web legítimas.

"Por ejemplo, hemos visto que el resultado de una búsqueda de clics en Yahoo! se le revendieron de nuevo a través de un agente de tráfico intermediario. En otro ejemplo, el robo de clics de Google se revendieron a LookSmart," explica el investigador Feike Hacquebord de Trend Micro.

Un agente de tráfico, Onwa Ltd de San Petersburgo, Rusia, opera claramente en este esquema, ya que desarrolla "software back-end" para ocultar motores de búsqueda y así adquieran la apariencia de un clic fraudulento" los cuales no tienen ningún propósito legítimo. Onwa, que ha estado operando por lo menos desde 2005 y opera empresas ficticias en el Reino Unido y en las Islas Seychelles, también mantiene una infraestructura propia para falsificar sitios web de Google, según informes de Trend Micro.

Los agentes de tráfico legítimo también han sido atados con estafas, utilizando sitios falsos de búsqueda que actúan como intermediarios para el tráfico real generado a través del fraude “haga clic” de las máquinas comprometidas. Las calificaciones de Alexa de estos sitios son a veces manipuladas utilizando bots para hacer que parezcan más confiables.

El secuestro del navegador es el tipo de comportamiento que pide a los usuarios finales limpiar sus máquinas, por lo que el bot típico tiene una esperanza de vida de sólo seis días. Los ladrones para compensar este corto tiempo de vida, constantemente infectan nuevos sistemas. Más de dos millones de computadoras han sido infectadas con el secuestrador del navegador lo que va del año, y se calcula que esta tendencia se elevará a cuatro millones a finales de 2010.

Estos secuestradores de navegadores poseen un componente añadido de DNS. Todos los días, se lanzan nuevos ejemplares de malware que cambian la configuración de los DNS del sistema en un único par de servidores foráneos. Los delincuentes cibernéticos utilizan las redes que consisten en varios servidores que están alojados en distintos centros de datos alrededor del mundo para quitar este aspecto de fraude.

Incluso después de que un componente de un navegador secuestrado se elimina de la máquina infectada, el modificador de DNS todavía puede permanecer activo para que el tráfico siga permitiendo un posible secuestro, aumentando la vida útil de los bots. El botnet reemplaza el “haga doble clic” en los anuncios una vez que el componente Clicksor del DNS falso se activa, esto es una forma de oculta de “haga clic” en el fraude que es difícil de detectar.

Sancho de Trend Micro indicó haber reportado un archivo sobre una estafa a las autoridades, pero se negó a discutir sobre cualquier investigación.