• Tweet

Una nueva botnet se ha detectado, la cual potencialmente podrían haber afectado a más de un millón de usuarios de Internet en los últimos 12 meses.

El botnet Kroxxu tiene actualmente el control de alrededor de 100.000 dominios web, y se ha extendido para robar contraseñas, mientras que el malware que cubre sus pistas es muy eficaz, de acuerdo con avast! Virus Lab.

La naturaleza encubierta de la botnet significó para los investigadores no poder determinar cómo los autores intelectuales tenían cuantificada económicamente la operación.

"Hay una serie de formas que podían ser soportados por ellos mismos", dijo Jiri Sejtko, jefe de investigación de virus en el avast! Virus Lab.

"Los cuatro métodos más probables son a través de la venta espacio hackeado en los servidores infectados, el uso de este malware para apoyar las actividades de otros, malware rentables de forma más directa, la venta de credenciales robadas, o el uso de keyloggers para distribuir otros spams".

Kroxxu difiere de botnets tradicionales, ya que su expansión se ha logrado únicamente a través de sitios web infectados.

Particularmente ha ganado contraseñas para tomar el control de sitios web, antes de hacer modificaciones en el contenido del sitio con el fin de cargar y modificar los archivos en los servidores infectados, explicó avast!

Los operadores han extendido la botnet a otros servidores alrededor del mundo.

Kroxxu ha utilizado redirectores con el fin de dificultar el seguimiento de las actividades de la botnet. La compañía de seguridad estima que más de 10.000 redirectores habían sido empleadon por Kroxxu en el último año.

La red maliciosa también utiliza componentes modificables, ya que cada capa de la botnet realiza una tarea específica, dándole mayor flexibilidad.

"Las infecciones cruzadas indirectas de Kroxxu se basan en el hecho de que todas las partes son iguales e intercambiables", explicó Sejtko.

"Si una parte se utiliza como un redirector inicial, también puede utilizarse como parte final de distribución en la misma o incluso a una hora diferente. Esto le da una enorme gama de diseño en la duplicidad".

Kroxxu podría extenderse a ganar mucha más tracción, dijo avast!. El bloqueo de motores URL puede tener dificultades para diferenciar entre dominios estándar de distribución de malware dirigido por los autores de malware y dominios hackeado zombis como los controlados por Kroxxu, explicó la firma de seguridad.

Ha habido una serie de detecciones exitosas de botnet este año, lo cual ha llevado a un descenso en el spam en el último trimestre.