La botnet Flashback para equipos Mac OS X llenó todas las portadas de los medidos de comunicación centrados en seguridad informática y/o centrados en las tecnologías Apple. Como no podía ser menos, nosotros estuvimos cubriendo en detalle todas las noticias que iban surgiendo a su alrededor, desde su aparición inicial, hasta el descubrimiento de su creador, pasando por todas las mutaciones que fue sufriendo o los puntos más álgidos en los que se hablaba de más de 600.000 equipos infectados y de que podía considerarse ya una pandemia para la compañía.
Durante un tiempo se ha supuesto que la botnet estaba erradicada, pero desde Intego han decidido comprobarlo, y la realidad es que la botnet aún está muy viva. Para comprobarlo se ha decidido comparar uno de los dominios del sinkhole descubierto de la botnet que se activaría el 2 de Enero de este año 2014. Para los que no estén muy acostumbrados a esta tecnología, hay que aclarar que los bots llevan un algoritmo dinámico que hace que cada día busquen el panel de control de la botnet en un dominio distinto. Estos dominios se calculan en el bot con un algoritmo que depende de la fecha del sistema del equipo, lo que hace que solo si conoces el algoritmo sabrás donde irán los bots a buscar los comandos.
Figura 1: Evolución de equipos infectados por FlashBack Botnet según estimaba Symantec |
Los ingenieros de seguridad haciendo reversing al código dieron con el algoritmo de búsqueda de paneles de control tiempo ha, y en Intego han comprado el dominio que se activaba el 2 de Enero de 2014 para ver cuántos equipos estaban aún infectados y buscaban conectarse. La respuesta es que al log del servidor Apache llegaron más de 22.000 equipos únicos infectados durante 5 días de monitorización.
Figura 2: Log del servidor de Apache en el dominio buscado por los bots de FlashBack |
Esto hace que muchos equipos estén aún infectados aunque la botnet esté descabezada, pero están aún a la espera de que aparezca un nuevo comando que ejecutar en esas máquinas infectadas. Además, se han detectado 5 versiones distintas de los bots desplegados por esta botnet que tanto daño hizo a los usuarios de Mac OS X por las mafias del Fraude Online.
No hay comentarios:
Publicar un comentario