• Tweet

La botnet fue paralizada el año pasado por una acción legal de Microsoft, pero ahora ha logrado reunir una gran cantidad de cuentas de correo electrónico dispuestas para el spam.

La botnet Waledac, que fue paralizada por una acción legal de Microsoft y por la infiltración encubierta de investigadores de seguridad hace apenas un año, parece estar lista para un gran regreso.

Waledac fue cerrada después de que Microsoft –cuyo servicio de Hotmail había sido objeto de abuso por parte de la botnet– logró una orden de restricción temporal por un tribunal de E.U., en el que se mencionaba que se cerrarían los nombres de dominio que la botnet utilizaba para comunicarse. Los investigadores de seguridad también se las arreglaron para desbaratar el sistema de comunicaciones peer-to-peer de la botnet Waledac y el control de más de 60.000 ordenadores infectados.

Pero de acuerdo a los investigadores de seguridad de última línea, Waledac ha recogido 489.528 credenciales de cuentas de correo electrónico POP3, lo que probablemente las utilizará para campañas de spam masivas.

"Los abusos técnicos de servidores de correo son legimados mediante la autenticación de la víctima a través del protocolo SMTP-AUTH para enviar mensajes de spam", según el blog Last Line. "Este método hace que la lista negra basada en el filtrado de IP"s sea considerablemente más difícil".

Además, Waledac también ha recogido 123.920 credenciales de acceso para los servidores FTP.

"Esta cifra es significativa teniendo en cuenta que los controladores de Waledac utilizan un programa automático para acceder a estos servidores, y los archivos de parches específicos para redirigir a los usuarios a los sitios que sirven de software malicioso o promueven productos farmacéuticos baratos", dijo Last Line. "En enero, se observaron 222 sitios web que se habían comprometido con un total de 9.447 páginas".

Otros datos del análisis de comando y control elaborado por Last Line a un servidor Waledac, mostró que más de 12.000 equipos infectados se habían conectado. Esa cifra es muy inferior a las estimaciones de Waledac al mes de febrero de 2010, pero podría aumentar.

"La botnet Waledac sigue siendo sólo una sombra de lo que fue, por ahora, pero es probable que cambie dado el número de cuentas comprometidas que la tripulación Waledac posee", dijo el blog Last Line.

Waledac mostró signos de un resurgimiento a finales del año pasado, cuando investigadores de Websense describieron una campaña de spam, en la que se pretendía enviar tarjetas electrónicas de felicitación. Los mensajes contenían enlaces, en los que en caso de dar clic a un dominio, éste redirige falsamente a las víctimas, informándoles que necesitan actualizar Flash Player para ver la tarjeta. La supuesta actualización de Flash es un archivo malicioso.

La fundación Shadowserver, que rastrea botnets, escribió a finales de diciembre que la última versión de Waledac también con fast-flux, es una técnica que permite que el dominio se encuentre alojado en una selección rotativa de direcciones IP, para alojar dominios maliciosos.