La aparición de las computadoras bot en el país se incrementa de forma considerable. Alrededor del 90% de las amenazas clasificadas en este tipo, se relacionan con dos familias de malware identificadas como Win32/Dorkbot y VBS/Agent.NDH.
Con el 53% y el 39% de apariciones en los registros respectivamente, Win32/Dorkbot y VBS/Agent.NDH son los dos principales ataques que se presentan en la región durante los últimos nueve meses.
De acuerdo con Eset, las amenazas se propagan a través de archivos adjuntos en correos falsos, en los cuales se suplanta la identidad de organizaciones reconocidas a escala nacional: Aeroméxico, Banamex, Banorte, BBVA Bancomer, HSBC, Liverpool, El Universal, Mercado Libre, Microsoft, Procuraduría Federal del Consumidor (Profeco), Santander, Servicio de Administración Tributaria (SAT), Telcel y Telmex.
MODO DE PROPAGACIÓN
Win32/Dorkbot, la botnet con mayor detección en el territorio mexicano, es un código malicioso clasificado como un gusano que cuenta con características que le permiten convertir el equipo infectado en parte de una red de equipos zombis, enuncia la marca.
Entre las acciones que ejerce el malware se encuentran el robo de credenciales de sitios y correo electrónico; ataques de denegación de servicio (DoS), descarga y ejecución de otros códigos maliciosos, inyección de código en páginas web y direccionamiento de tráfico para ejecutar phishing.
La amenaza se dispersa a través de redes sociales, mensajería instantánea o bien, enlaces infectados que, además de comprometer al sistema, se instalan en los dispositivos de almacenamiento extraíbles. Para protegerse de Dorkbot–que emplea el protocolo IRC- es menester tener un firewall que bloquee las conexiones, apuntan los expertos.
En el caso de Agent.NDH -el cual es un gusano desarrollado en Visual Basic Script que impacta sobre los sistemas operativos de Windows-. Se difunde mediante dispositivos USB, sitios web infectados o a través de un downloader o dropper.
La principal función del malware es incitar a los usuarios a ingresar de forma automática, algunas páginas web a fin de aumentar el número de visitas y mejorar el posicionamiento en los resultados de los motores de búsqueda (Black Hat SEO y Malvertising).
A su vez, posibilita el envío de instrucciones a los equipos infectados para llevar a cabo acciones de manera remota: El servidor C&C emite las indicaciones a través de HTTP, lo que dificulta su bloqueo debido a las necesidades de uso de protocolo.
¿CÓMO ME PROTEJO?
Adicional al empleo de una arquitectura de seguridad actualizada, se requiere conocer las circunstancias que facilitan el ingreso de amenazas, y desde luego, orientar al usuario sobre los riesgos que corren ante la ingeniería social.
