Botnet Probe convierte 70G bytes de datos personales, financieros

Investigadores de la Universidad de California obtuvieron el control de una conocida y poderosa red de computadoras pirateadas durante 10 días, obteniendo información sobre cómo roban datos personales y financieros.

El botnet, conocido como Torpig o Sinowal, es una de las redes más sofisticadas que usa software malicioso difícil de detectar para infectar computadoras y posteriormente recolectar datos como contraseñas de correo electrónico y credenciales bancarias en línea.

Los investigadores fueron capaces de monitorear más de 180,000 computadoras pirateadas explotando una debilidad dentro de la red de comando y control utilizada por los hackers para controlar las computadoras. Sin embargo, solo funcionó durante 10 días, hasta que los piratas informáticos actualizaron las instrucciones de comando y control, según el documento de 13 páginas de los investigadores.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Aún así, eso fue una ventana suficiente para ver el poder de recolección de datos de Torpig / Sinowal. En ese corto tiempo, se recogieron aproximadamente 70G bytes de datos de computadoras pirateadas.

Los investigadores almacenaron los datos y están trabajando con agencias de aplicación de la ley como la Oficina Federal de Investigaciones de EE. UU., ISP e incluso el Departamento de Defensa de EE. UU. víctimas. Los ISP también han cerrado algunos sitios web que se utilizaban para suministrar nuevos comandos a las máquinas pirateadas, escribieron.

Torpig / Sinowal pueden robar nombres de usuario y contraseñas de clientes de correo electrónico como Outlook, Thunderbird y Eudora mientras recolectan también direcciones de correo electrónico en esos programas para el uso de spammers. También puede recopilar contraseñas de navegadores web.

Torpig / Sinowal puede infectar una PC si una computadora visita un sitio web malicioso que está diseñado para probar si la computadora tiene software sin parches, una técnica conocida como ataque de descarga drive-by. Si la computadora es vulnerable, una pieza de bajo nivel de software malicioso llamado rootkit se introduce profundamente en el sistema.

Los investigadores descubrieron que Torpig / Sinowal termina en un sistema después de que Mebroot lo infecta por primera vez, un rootkit que apareció alrededor de diciembre de 2007.

Mebroot infecta el Master Boot Record (MBR) de una computadora, el primer código que busca una computadora cuando arranca el sistema operativo después de que se ejecuta el BIOS. Mebroot es poderoso ya que cualquier información que abandona la computadora puede ser interceptada.

Mebroot también puede descargar otro código en la computadora.

Torpig / Sinowal está personalizado para capturar datos cuando una persona visita ciertos sitios web de banca en línea y otros. Está codificado para responder a más de 300 sitios web, y los más selectos son PayPal, Poste Italiane, Capital One, E-Trade y Chase Bank, dijo el periódico.

Si una persona va a un sitio web bancario, se entrega un formulario falsificado que parece ser parte del sitio legítimo, pero solicita una serie de datos que un banco normalmente no solicitaría, como un PIN (número de identificación personal) o un número de tarjeta de crédito.

Sitios web que utilizan La encriptación SSL (Secure Sockets Layer) no es segura si se usa en una PC con Torpig / Sinowal, ya que el software malicioso obtendrá información antes de ser encriptada, escribieron los investigadores.

Los hackers típicamente venden contraseñas e información bancaria en foros subterráneos para otros delincuentes, que intentan convertir los datos en dinero en efectivo. Si bien es difícil estimar con precisión el valor de la información recopilada durante los 10 días, podría valer entre US $ 83,000 y $ 8.3 millones, dijo el documento de investigación.

Hay formas de interrumpir botnets como Torpig / Sinowal. El código de la botnet incluye un algoritmo que genera los nombres de dominio que el malware invoca para obtener nuevas instrucciones.

Los ingenieros de seguridad a menudo han podido descifrar esos algoritmos para predecir a qué dominios recurrirá el malware y prerregistrar esos dominios para interrumpir el botnet Sin embargo, es un proceso costoso. El gusano Conficker, por ejemplo, puede generar hasta 50,000 nombres de dominio por día.

Los registradores, las empresas que venden registros de nombres de dominio, deberían tener un papel más importante en la cooperación con la comunidad de seguridad, escribieron los investigadores. Pero los registradores tienen sus propios problemas.

"Con pocas excepciones, a menudo carecen de los recursos, los incentivos o la cultura para tratar los problemas de seguridad asociados con sus roles", dijo el periódico.