Symantec y Microsoft anunciaron el esfuerzo realizado en conjunto para eliminar los servidores de comando y control utilizados por el malware denominado Trojan.Bamital. Este malware se utilizó para llevar a cabo actividades extensas de una red de botnets que usaba el método de fraude por clic (clickfraud) y con el cual los criminales obtuvieron anualmente aproximadamente $1.1 millones de dólares en ganancias.
De acuerdo con información de Reuters, Symantec y Microsoft apagaron los servidores que controlaban cientos de miles de PC sin el conocimiento de los usuarios. Esta táctica imposibilitó temporalmente que las PC infectadas accedieran a la Web, aunque las empresas ofrecieron herramientas gratuitas directamente a los usuarios de los equipos infectados.
Técnicos de ambas compañías, junto con oficiales federales de Estados Unidos, arraigaron algunos centros de datos en Weehawken, New Jersey, y Manassas, Virginia, al amparo de una orden de la Corte de Distrito de Alexandria, Virginia. Los técnicos entonces tomaron control de un servidor en las instalaciones de New Jersey y persuadieron a los operadores del centro de datos de Virginia para derribar un servidor de su empresa madre, situada en Holanda.
Richard Boscovich, asistente general del consejal en la Unidad de Crímenes Digitales de Microsoft, le dijo a Reuters que confiaba en que la operación para derribar la botnet Bamital fue exitosa. “Creemos que lo hicimos bien, pero el tiempo lo dirá”, expresó.
Microsoft y Symantec estiman que entre 300 mil y un millón de PC fueron infectadas y esclavizadas a la botnet. De acuerdo con información proporcionada por Symantec, Bamital desviaba a los usuarios hacia anuncios y otros contenidos web que ellos no tenían intención de visitar. Además generaba tráfico no-humano hacia anuncios y sitios web con la intención de conseguir obtener una paga de parte de las redes publicitarias. Bamital también fue responsable de dirigir usuarios infectados a sitios web que decían vender malware disfrazado de software legítimo.
Los creadores de Bamital también podían tomar control de equipos infectados, instalando otros virus o programas maliciosos, para realizar robo de identidad o reclutar PC para generar ataques DDoS a sitios web y otros tipos de crímenes relacionados con las computadoras.
Las computadoras infectadas que se conectaron al servidor de comando y control de Bamital, tenían direcciones IP de más de 200 países, la mayoría de Estados Unidos e incluyendo varios de América Latina como Brasil, México, Argentina y Perú.
Ahora que los servidores fueron apagados, los usuarios de las PC infectadas serán dirigidos a una página en donde se les explicará que sus equipos fueron infectados con software malicioso. Ahí, Microsoft y Symantec les ofrecen herramientas gratuitas para limpiar sus equipos y restaurarles el acceso a la Web.
Reuters explica que Symantec se acercó a Microsoft hace un año, aproximadamente, para solicitar su apoyo en la operación Bamital. Como parte de este operativo, se identificaron cerca de 18 individuos que controlaban la red, los cuales se encuentran en sitios tan dispersos como Rusia, Rumania, Gran Bretaña, Estados Unidos y Australia. Estos controladores registraron sitios web y rentaron servidores utilizando nombres ficticios.
Boscovich cree que la botnet se originó en Rusia o Ucrania debido a que los sitios afiliados instalan una cookie en las computadoras infectadas, y esa cookie tiene una leyenda en ruso, “yatutuzebil”, cuyo significado es algo como “yo estuve aquí”.
El rol de Symantec en esta desactivación fue proporcionar el análisis técnico del malware y su estructura de comando y control.
