A Kaspersky Lab informa que detectou mais uma variante do Koobface, o worm extremamente prolífico que infesta sites de redes sociais. A empresa monitorou um aumento dos servidores C&C Koobface, que tem como alvo sites como o Facebook e o Twitter e usa website legítimos, porém infectados, como proxies para seu principal servidor de comando e controle central (C&C).
Para introduzir este assunto, a Kaspersky traz à tona a derrubada do centro de comando e controle (C&C) do Troyak-as da botnet (abreviatura de robot network, ou rede-robô) Zeus. Em um ataque Koobface, os centros de Comando e Controle são servidores mantidos pelos donos de uma botnet e são usados para habilitar um computador infectado a “retornar ao mestre” para obter atualizações e comandos – como o download de maior quantidade de software malicioso ou de novo software – ou para roubar diversos arquivos de computador ou informações pessoais, tais como contas bancárias.
Nas últimas duas semanas, a equipe de pesquisas da Kaspersky observou que os servidores vivos C&C Koobface foram derrubados ou limpados, em média, três vezes por dia. Esse número continuou invariavelmente a baixar, passando de 107 em 25 de fevereiro para 71 em 8 de março. Depois, em apenas 48 horas, o número aumentou de 71 para 142, ou seja, o dobro exato do número total de servidores C&C, que todos os computadores infectados com o Koobface usam para obter comandos e atualizações remotas (ver gráfico). Após esse crescimento repentino, o número de servidores retrocedeu significativamente a, aproximadamente, cinco por dia. Segundo a tendência observada até o fechamento, espera-se que o número de servidores aumente rapidamente.
Aumenta o Número de Centros de Comando e Controle com Host nos EUA
Pode-se observar outro fato interessante que está ocorrendo no momento com a infraestrutura de comando e controle do Koobface quando se examina a evolução da localização geográfica dos endereços de IP usados para comunicação com os computadores infectados. O uso de servidores C&C cujo host fica nos Estados Unidos está aumentando, tendo passado de 48% para 52%. Atualmente, mais de metade dos servidores C&C Koobface estão hospedados nos EUA, excedendo assim os de qualquer outro país.
1. Estados Unidos 52,23%
2. Alemanha 8,48%
3. Canadá 4.46%
4. Grã-Bretanha 3,57%
5. Holanda 3,13%
6. Dinamarca 2,68%
7. Turquia 2,68%
8. Bélgica 2,68%
9. Áustria 2,23%
10. Suíça 1,79%
Stefan Tanase, Pesquisador Sênior, Antivírus
Kaspersky Lab
“Esses últimos acontecimentos nos dão uma ideia de como a gangue Koobface cuida de sua infraestrutura. Podemos concluir que os criminosos cibernéticos monitoram constantemente o estado de sua infraestrutura. Eles não querem que o número de seus servidores C&C caia muito, já que isso significaria que perderiam o controle da botnet. Quando o número de servidores C&C em operação cai a um nível crítico, parece que eles estão preparados para colocar em ação dezenas de novos servidores. A quantidade total de servidores C&C Koobface está sempre oscilando, passando de mais de 100 para menos de 100, e depois novamente para mais de 100, em questão de semanas. Parece que 100 servidores C&C online é o número que deixa a gangue Koobface tranquila. Além disso, eles preferem que seus servidores C&C estejam distribuídos em todo o mundo, em países diferentes e com ISPs diferentes, para dificultar o processo de derrubada. Ainda assim, a maioria dos servidores C&C Koobface permanece nos Estados Unidos, onde está localizada a maior parte dos computadores infectados com o Koobface: 40% dos endereços IP que se conectam aos servidores C&C Koobface têm base nos EUA.”
Dmitry Bestuzhev, Pesquisador Regional Sênior, América Latina
Kaspersky Lab
“Os criminosos cibernéticos sabem que, hoje em dia, as redes sociais são o meio mais eficiente de atingir uma quantidade muito maior de pessoas. Devido ao fato de existir uma grande e explícita confiança entre os usuários, os ataques que causam o maior dano econômico passam exatamente por meio destas redes. Não obstante a grande maioria dos centros de comando e controle detectados pela Kaspersky Lab encontrar-se localizada geograficamente nos EUA, também temos informações de que existe um na Argentina e outro nas Ilhas Cayman. O usuário não deve descuidar-se pensando que está imune a esses ataques. Todos os usuários registrados no site Facebook, independentemente do país onde residem, são possíveis vítimas dos ataques desses criminosos”.
