Las redes de ordenadores zombis, o botnets, ofrecen diversas oportunidades para los piratas y ciberdelincuentes. Están diseñadas para infectar millones de ordenadores y poder controlarlos a distancia. Este año se descubría una de ellas, conocida como Pony Botnet, porque utiliza el icono del caballito del juego Farmville. Desde entonces los expertos en seguridad han estado analizando su código fuente para desentrañar cómo funciona. El objetivo de Pony Botnet es claro: el robo masivo de contraseñas. El malware empleado para infectar los equipos informáticos afecta a todas las versiones de Windows, desde Window 98 hasta Window 8, incluyendo las de 64 y de 32 bits.
Una vez infectado, el ordenador pasa a formar parte de la red zombi, sin que el usuario se entere. Esta botnet facilita mucho el trabajo de los ciberdelicuentes, porque permite elegir el tipo de contraseña deseada y revisar los resultados de forma rápida mediante gráficos. Trabaja con un potente código malicioso con funciones de espía (spyware) y capturador de teclado (keylogger), para registar datos sensibles de todo tipo de aplicaciones, y después enviarlos al centro de mando y control de la red. Puede capturar credenciales de sitios web, correo electrónico, servicios FTP (File Transfer Protocol), conexiones RDP (Remote Desktop Protocol), SSH (Secure SHell) y certificados de seguridad, según INTECO-CERT. Todo lo que pueda tener algún valor de explotación.
Además, Pony Botnet incluye sistemas para descifrar las contraseñas almacenadas por noventa y seis programas, entre los que figuran navegadores, clientes de correo electrónico, programas de FTP, entre otros muchos. Por número de contraseñas robadas, en el mes de marzo de este año, los navegadores más afectados son Firefox, Internet Explorer, Chrome y Opera. Por otro lado, Outlook es el cliente de correo electrónico más atacado, seguido de Windows Life Mail, según INTECO-CERT.
Los expertos en seguridad están siguiendo la evolución de esta botnet. Los investigadores de SpiderLabs de Trustwave acaban de informar que esta red zombi es mucho más grande de lo que parecía, porque ha conseguido robar cerca de dos millones de contraseñas. Entre ellas, 1,58 millones corresponden a credenciales de acceso a sitios web, entre los que figuran redes sociales como Facebook, Twiter o LinkedIn, pero también servicios de Google y Yahoo. El resto se reparte entre cuentas de correo electrónico (320.000), credenciales para FPT (41.000), credenciales de acceso remoto (3.000) y credenciales de Secure SHell (3.000). Asimismo, los investigadores de SpiderLabs sostienen que la localización de las víctimas no se limita a Holanda, como se baraja al principio, sino que su ámbito es mundial. Y es que los creadores de Pony Botner emplean una técnica de camuflaje, denominada proxy inverso, para ocultar la verdadera situación del servidor de control y evitar que lo cierren.
Agencias
