Troyano oculta su cerebro en grupos de Google

Virus los escritores siguen siendo más astutos. En un esfuerzo por evadir la detección, han comenzado a ocultar sus instrucciones de comando y control en sitios legítimos de la Web 2.0, como Google Groups y Twitter. Recientemente, el proveedor de seguridad Symantec detectó un programa troyano programado para visitar un Google privado. Grupo de grupos de noticias, llamado escape2sun, donde puede descargar instrucciones encriptadas o incluso actualizaciones de software.

Estas instrucciones de "comando y control" son utilizadas por delincuentes para mantenerse en contacto con las PC pirateadas y actualizar su software malicioso. Los investigadores también han visto a los delincuentes ocultar sus mensajes en canales RSS configurados para transmitir mensajes de Twitter, dijo Gerry Egan, director de Symantec Security Response. "Estamos viendo una tendencia hacia el uso de interacciones tipo mainstream para ocultar el comando y el control", dijo.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Aparece el sistema de Grupos de Google para ser un prototipo, pero Egan espera que los malos usen cada vez más los sitios de redes sociales para este fin, a medida que el software de seguridad se vuelve más efectivo para erradicar los mecanismos tradicionales de comando y control. "Los autores de malware dicen ahora que están en [nuestras] técnicas, intentemos algo diferente", dijo Egan.

Hoy la mayoría de los delincuentes se comunican con las máquinas que han pirateado a través de servidores IRC (Internet Relay Chat) o colocando comandos en sitios web oscuros y difíciles de encontrar. A medida que los administradores de sistemas mejoran detectando y bloqueando estas comunicaciones, los delincuentes "intentan ocultar estos comandos y controlar los mensajes dentro del tráfico legítimo, por lo que la presencia del tráfico en sí misma no levanta una bandera roja", dijo Egan. dicho.

Un administrador de sistema puede bloquear el acceso al IRC con bastante facilidad, pero bloquear Twitter o Google es otra cosa.

El Troyano de Grupos de Google parece ser de origen taiwanés y probablemente se usó para recopilar información silenciosamente para futuros ataques. Según los datos de Google Groups, el troyano no se ha diseminado ampliamente desde su creación en noviembre de 2008. "Tal troyano podría haber sido desarrollado para espionaje corporativo específico, donde el anonimato y la discreción son prioridades", dijo Symantec en un blog publicado el viernes..