Anti-Georgia Spammers construyendo una nueva botnet

Hackers apuntando a Georgia en en medio de su conflicto con Rusia han comenzado a enviar un nuevo lote de mensajes maliciosos de spam, aparentemente con el objetivo de construir una nueva red botnet de computadoras controladas a distancia.

Los mensajes mal redactados comenzaron a salir la madrugada del viernes, y ahora representan cerca del cinco por ciento del tráfico de spam medido por la Universidad de Alabama en Spam Data Mine de Birmingham, según Gary Warner, director de investigación informática y análisis forense de la universidad. Eso es aproximadamente un tercio del volumen del spam relacionado con CNN y MSNBC que ha estado inundando las bandejas de entrada esta semana, pero aún es significativo, dijo.

Con titulares como "¡El escándalo gay Mikheil Saakashvili! ¡Novedad de esta semana!" las historias intentan engañar a las víctimas para que hagan clic en una historia falsa de la BBC sobre el presidente de Georgia. Sin embargo, cuando la víctima hace clic en el enlace, lo llevan a un servidor web malicioso que intenta infectar su computadora.

Desgraciadamente, el código de ataque utilizado por este servidor web no está bloqueado por la mayoría de los productos antivirus, dijo Warner. En las pruebas, su equipo descubrió que solo cuatro de los 36 productos antivirus incluidos en el servicio de prueba de malware Virus Total detectaban el código. Hasta ahora, el equipo de Warner ha rastreado los mensajes hasta 44 computadoras que envían spam, ninguna de las cuales ha sido asociado previamente con correo no deseado. Curiosamente, seis de estas computadoras se encuentran en Rusia, que rara vez es una fuente directa de correo no deseado, y una de ellas se encuentra dentro del Ministerio de Educación de Rusia.

Aunque los spammers parecen estar configurando una botnet, el uso final de esta red no está clara. Warner especuló que podría usarse para lanzar nuevos ciberataques contra las computadoras del gobierno georgiano.

Symantec identificó el software malicioso como una variante del programa Trojan.Blusod, dijo Kevin Haley, director de gestión de productos de Symantec Security Response. En el pasado, los spammers han utilizado este programa para instalar software antivirus falso en las computadoras de las víctimas, que luego identifica falsamente los problemas y ofrece su limpieza por una tarifa, dijo.

Warner cuestionó el análisis de Symantec y señaló que Symantec no detectando el programa troyano, según Virus Total. "Este es un nuevo malware", dijo.

La cuestión de si Georgia y Rusia están participando en una guerra cibernética patrocinada por el estado ha sido un tema de debate, tras el estallido de las hostilidades entre los dos países el 7 de agosto..

El lunes, Georgia movió su sitio web del Ministerio de Asuntos Exteriores a Blogspot de Google, alegando que un ataque cibernético ruso había desconectado su servidor.

Los expertos en seguridad dicen que aunque los recientes ciberataques georgianos son más intensos que aquellos lanzada hace un año contra Estonia, no hay evidencia de que ninguno de los eventos fuera en realidad una guerra cibernética patrocinada por el estado.

Algunos compararon esos eventos a una "pelea cibernética", con hackers rusos nacionalistas lanzando ataques informáticos espontáneos contra vecinos Estonia.

"Creo que es casi exactamente lo que vimos en Estonia", dijo Warner sobre los recientes acontecimientos en Georgia. "Realmente dudo que esto sea una acción del gobierno ruso".