Las redes o máquinas “zombi” son parte de las tecnologías más utilizadas por los ciberdelincuentes para hacer de las suyas. Según la gente de Kaspersky, estas tecnologías han evolucionado en los últimos años y han surgido, por ejemplo, las redes zombi descentralizadas, las móviles y las administradas por medio de las redes sociales, como la de Mac. En este sentido, 2011 fue un año sin grandes novedades en cuanto a redes zombi, pero todo cambió a principios de 2012.
En el primer trimestre de 2012 se descubrió una red zombi creada con una nueva tecnología: la bot “sin archivo”. Este código malicioso pertenece a una extraña categoría de programas maliciosos que sólo existen en la memoria RAM del ordenador.
El problema se manifestaba en forma de anomalías en los ordenadores infectados que comienzan a enviar peticiones de red tras visitar algunos sitios web populares en Internet y en algunos casos aparecieron archivos codificados en los discos duros. Sin embargo, no aparecía ningún nuevo archivo ejecutable en los discos duros. Un análisis de Kaspersky permitió identificar la cadena completa en la que estaban involucrados los ordenadores infectados que a su vez conformaban la red zombi.
Aunque los procesos maliciosos permanecían en la memoria RAM hasta que el sistema operativo se reiniciaba, la infección se propagó por medio de sitios web conocidos. Los ciberdelincuentes podían infectar ordenadores a diario, lo que les permitía mantener la población de bots. Es importante destacar que no quedaba virtualmente ningún rastro de la infección o de los datos recogidos en el disco duro del ordenador una vez que se reiniciaba el sistema operativo.
Cuando se usa una bot “sin archivo”, resulta muy difícil identificar los ordenadores que componen la red zombi, ya que no aparece ningún archivo ejecutable en el disco duro y los ciberdelincuentes realizan todas sus acciones camuflándolas como procesos legítimos de Java. Aunque los parches son efectivos contra esta y otras amenazas similares, algunos usuarios no suelen parchear sus equipos de forma regular. Esto significa que en el futuro podríamos volver a encontrarnos con programas similares maliciosos, aunque ya no a escala masiva ya que es algo bastante sofisticado.
Los móviles -obviamente- no se salvan de estas malas actividades. De hecho Android es la más atacada. Esta plataforma durante el primer trimestre de 2012, se detectaron más de 5.000 (5.444) programas maliciosos. La cantidad total de programas maliciosos dirigidos a Android se ha multiplicado por nueve durante el último semestre.
Los autores chinos y rusos de programas maliciosos son los que muestran mayor interés por la plataforma Android. Los autores chinos se las han ingeniado para crear una red zombi de 10.000 a 30.000 dispositivos activos, y la cantidad total de smartphones infectados llega a los cientos de miles.
Otra red zombi que llamó la atención de los expertos en el primer trimestre de 2012 fue la implementada en ordenadores Mac OS X.
Las primeras versiones de Flashfake aparecieron en otoño. Los desarrolladores del programa malicioso tomaron algunas medidas para dificultar su detección (se aseguraron de que el troyano no se instalara en ordenadores que contaran con soluciones antivirus, diseñaron bots para que desactivaran las actualizaciones del sistema de seguridad incorporado en el sistema Mac OS X, Xprotect, etc.). Después, vimos que los cibercriminales experimentaron con nuevas formas de controlar sus redes zombi. Por ejemplo, algunas versiones de Flashfake usaban cuentas de Twitter creadas por los ciberdelincuentes como servidores de comando.
El creciente interés de los cibercriminales por la plataforma Apple queda confirmado con las estadísticas de Kaspersky Lab sobre detecciones de nuevas versiones de programas maliciosos dirigidas contra Mac OS X.
