Bye, Bye Tequila Botnet
La semana pasada, hablamos de la red zombie (botnet) Tequila que estaba dirigida a usuarios Mexicanos. Desde nuestro último post, hubo un gran suceso - la red zombie parece haber sido desmontado por sus propios dueños.
El jueves (3 de junio de 2010), los controladores de la red zombie enviaron nuevas instrucciones a todos los zombies (bot) activos. Uno de los efectos de esto fue la detención de todos los ataques de phishing de los bot's quizás debido a que nuestro propio post expuso todos los servidores proxy y redirigieron a los hosts usados en aquellos ataques.
También pudimos encontrar otra botnet desarrollada por la misma persona tras la botnet Tequila. Esta botnet en particular, a la que llamamos la botnet Mariachi, no es tan rica en características como la Tequila. Puede ser usada para montar ataques de phishing o instalar software en los equipos afectados pero esas parece haber sido sus capacidades principales.
Este lunes (7 de junio), sin embargo, ambas botnet Mariachi y Tequila salieron de linea después que sus servidores de comando-y-control (C&C) fueron desmontados. El servidor C&C de la botnet Mariachi parece haber sido derribado por su proveedor de hosting, Bluehost.
Poco después, también salio fuera de linea el servidor C&C de la botnet Tequila.
No hemos visto ninguna actividad nueva ni de la botnet Mariachi ni de la Tequila desde entonces aunque continuamos monitoreando los ahora zombies (bots) huérfanos por cualquier actividad nueva.
Una vez más queremos agradecer a Juan Castro de Trend Micro LAR por toda la información que nos pasó sobre estas botnet.
Traducción: Raúl Batista - Segu-Info
Autor: Ranieri Romera
Fuente: TrendLabs Malware Blog
El jueves (3 de junio de 2010), los controladores de la red zombie enviaron nuevas instrucciones a todos los zombies (bot) activos. Uno de los efectos de esto fue la detención de todos los ataques de phishing de los bot's quizás debido a que nuestro propio post expuso todos los servidores proxy y redirigieron a los hosts usados en aquellos ataques.
También pudimos encontrar otra botnet desarrollada por la misma persona tras la botnet Tequila. Esta botnet en particular, a la que llamamos la botnet Mariachi, no es tan rica en características como la Tequila. Puede ser usada para montar ataques de phishing o instalar software en los equipos afectados pero esas parece haber sido sus capacidades principales.
Este lunes (7 de junio), sin embargo, ambas botnet Mariachi y Tequila salieron de linea después que sus servidores de comando-y-control (C&C) fueron desmontados. El servidor C&C de la botnet Mariachi parece haber sido derribado por su proveedor de hosting, Bluehost.
Figura 1: servidor C&C Mariachi
Poco después, también salio fuera de linea el servidor C&C de la botnet Tequila.
Figura 2: servidor C&C Tequila
No hemos visto ninguna actividad nueva ni de la botnet Mariachi ni de la Tequila desde entonces aunque continuamos monitoreando los ahora zombies (bots) huérfanos por cualquier actividad nueva.
Una vez más queremos agradecer a Juan Castro de Trend Micro LAR por toda la información que nos pasó sobre estas botnet.
Traducción: Raúl Batista - Segu-Info
Autor: Ranieri Romera
Fuente: TrendLabs Malware Blog
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!