Cibercriminals inclouen mecanisme “del judici final” en malware

Compartir

SeguretatUn cop polsat el botó adequat, el Windows de la màquina infectada dóna error i és incapaç de recuperar-se’n. Els experts ignoren els motius que pot hi pot haver al darrera d’aquesta decisió.

Guillem Alsina (guillem@imatica.org) – El món del cibercrim evoluciona per camins que fins fa pocs anys eren gairebé de ciència-ficció. Si abans els virus en concret i el malware en general servien com a plataforma per llançar els seus creadors a la fama d’Internet, ara el malware és emprat per les màfies tradicionals per a un negoci més, el de l’extorsió electrònica. Xarxes gegantines d’ordinadors d’entre unes desenes de milers de màquines fins a milions d’elles, es troben infectades i a les ordres d’organitzacions que no dubten en utilitzar-les per atacar els servidors d’un banc per a extorquir-lo, o per robar informació dels comptes bancaris dels mateixos usuaris.

Amb aquestes noves estratègies, la tàctica del malware modern consisteix en passar el més desapercebut possible, sense donar-se a conèixer ni mostrar espectaculars efectes col·laterals de la infecció com es feia abans (amb piloteta que rebotava per la pantalla inclosa, un patogen que els més veterans sens dubte recordaran). Per això estranya el descobriment per part d’experts en la lluita contra el malware, d’una botnet (xarxa d’ordinadors “zombie”) el programari de control de la qual disposa d’un switch que permet “espatllar” el sistema operatiu instal·lat (Windows), deixant-lo inutilitzat i obligant l’usuari a reparar-lo o reinstal·lar-lo (s’opta molt més per la segona opció que no pas per la primera).

Algunes botnets empren un programari de control molt sofisticat, que inclou el mateix que qualsevol altra aplicació, com per exemple un fitxer d’ajuda i fins i tot suport telefònic per part dels seus creadors. En el cas que ens ocupa, el programari anomenat Zeus, és un exemple d’aquestes últimes, dissenyat per al seu ús per part de criminals sense grans coneixements d’informàtica. En el programa de control d’aquesta botnet hi ha un switch (un botó, per a entendre’ns) anomenat KOS (kill operating system). Prémer-lo equival a corrompre diverses claus del registre de la màquina remota, portant al sistema a una BSOD (Blue Screen of Dead, sobrenom amb el que es coneix a la pantalla de fallada de sistema en el Windows pel seu color blau) i impedint-li rearrancar de nou.

El motiu s’ignora, malgrat que es pot deure a diverses raons: en primer lloc, per a destruir pistes. Tot i que els investigadors disposaran d’una àmplia mostra de màquines infectades, se’ls dificultarà conèixer l’abast real de la infecció pel fet que molts usuaris portaran a reparar el seu ordinador i, a aquest, simplement se li reinstal·larà el sistema operatiu, eliminant qualsevol prova que pogués quedar de la infecció.

Un altre motiu per a l’existència d’aquest switch podria ser el proporcionar temps als administradors de la botnet; després de robar en el compte corrent de l’usuari, impedir que aquest es connecti a Internet i que, per tant, pugui descobrir el robatori abans de què els lladres puguin evadir els diners i fer-los desaparèixer completament.

Amb la xarxa Zeus ja s’ha utilitzat aquesta opció destructiva. Fou a l’abril, durant la investigació d’un expert antivirus. La majoria de les víctimes haurà cregut que el problema que sobtadament se’ls presentava era quelcom imputable al Windows, així que hauran corregut a reinstal·lar el sistema. Quelcom semblant passarà amb la majoria dels tècnics encarregats d’analitzar aquests problemes.

La pregunta és: aquesta opció pot ser emprada per col·lapsar una quantitat d’ordinadors significativa i que afecti a una empresa, govern o, fins i tot, a bona part de la Xarxa de xarxes? en la meva humil opinió, sens dubte, només queda esperar el quan i el perquè. O utilitzar-la per fer xantatge a algun govern o ISP amenaçant de col·lapsar totes les seves màquines o les dels seus clients…

Copyleft 2009 www.imatica.org
Aquesta obra es troba subjecta a la següent llicència:
La difusió, reproducció i traducció d’aquest text es permet lliurement en qualsevol mitjà o suport amb les úniques obligacions de mantenir la present llicència i incloure un enllaç o referència a la pàgina en què es troba l’original dins del servidor www.imatica.org . En mitjans audiovisuals es requereix la cita al mitjà www.imatica.org

YCOM
Últimes entrades de YCOM (Veure'ls tots)