Es posible que Microsoft solo haya supuesto que la botnet ZeroAccess está muerta cuando anunció a fines de 2013 que los creadores de la botnet habían abandonado el robot de fraude de clics. Microsoft declaró que la botnet era disfuncional después de obtener una orden judicial para detener ZeroAccess.
Los nuevos hallazgos de la investigación de Dell SecureWorks, sin embargo, piden refutar la declaración más de un año después. Los investigadores descubrieron recientemente que la botnet peer-to-peer ha comenzado a difundir estafas de fraude de clics en la Web en los últimos meses a partir de marzo.
Afortunadamente, no parece haber nada nuevo en la forma en que la botnet perpetra sus actividades maliciosas.
Para aquellos que aún no están familiarizados con esta botnet, ZeroAccess comprende hosts residuales que se han adquirido de compromisos anteriores y propaga plantillas de fraude de clics a los sistemas comprometidos. La red de bots ZeroAccess revivida, según los expertos en seguridad, ahora se divide en dos redes de bots independientes que operan a través de puertos dispares.
La red peer-to-peer usa estos sistemas comprometidos como nodos que, en ciertos intervalos, reciben nuevas plantillas que contienen enlaces para servidores de plantillas que son controlados por el atacante. Luego, el malware redirige a un sistema de tráfico que lleva la botnet a donde estaba destinada a llegar.
El fraude de clics no es nada nuevo para nosotros. De hecho, casi cada hora que un usuario de Internet es blanco de esta actividad maliciosa. Los ciberdelincuentes utilizan esta técnica para finalmente extraer dinero de usuarios desprevenidos o defraudar los ingresos publicitarios aumentando los clics que en realidad no provienen de usuarios legítimos, sino de bots.
Los investigadores también detectaron unas 55.000 direcciones IP que se vinculan a la botnet, y la mayoría de estas direcciones proceden de Japón, India, Rusia, Italia, Estados Unidos, Brasil, Taiwán, Rumania y otros países, lo que indica que el alcance de la botnet sigue siendo lo suficientemente grande como para preocuparse por la seguridad. Y aunque la botnet ZeroAccess no está diseñada para cometer fraudes en instituciones bancarias, todavía es ampliamente conocida por causar graves daños a las máquinas informáticas y la industria publicitaria.
Los usuarios que hacen clic en los resultados de búsqueda que han sido comprometidos por esta botnet son redirigidos a páginas web que roban información personal, como las credenciales de Bitcoin.
El solo hecho de que la botnet ZeroAccess volviera a la vida solo confirma la determinación de sus botmasters de promover sus actividades maliciosas. Además, es una clara indicación de que las redes peer-to-peer son cada vez más peligrosas.
El error de Microsoft en 2013 fue que solo interrumpió el fraude de clics, la distribución de malware y otras actividades maliciosas de los ciberdelincuentes, sin destruir el protocolo de comunicación de igual a igual de la botnet ZeroAccess. Y así, los atacantes pudieron reconfigurar los comandos para la botnet.
