Bamital, botnet desmantelada por Symantec y Microsoft

Expertos en seguridad de Microsoft y Symantec desmantelaron la botnet creada por el malware Bamital. Symantec ha estado rastreando esta botnet desde finales de 2009 y recientemente se asoció con Microsoft para identificar y lograr que dejen de funcionar todos los componentes vitales para la operación de la botnet. Symantec ha publicado un extenso reporte de Bamital [PDF] y ha creado una herramienta de remoción.

Bamital es una familia de malware cuyo objetivo principal es secuestrar resultados de motores de búsqueda, redireccionando clics sobre estos resultados a un servidor de comando y control (C&C) controlado por un atacante. El servidor C&C redirecciona estos resultados de búsqueda a sitios web que eligen los atacantes. Bamital también tiene la capacidad de hacer clic sobre publicidades sin interacción del usuario. El resultado de esto es una mala experiencia de usuario al utilizar motores de búsqueda, junto con un mayor riesgo de sufrir infecciones de malware adicionales.

El origen de Bamital puede remitirse a finales de 2009. El malware ha evolucionado a través de múltiples variaciones durante el último par de años. Bamital se ha propagado principalmente mediante descargas desde sitios web legítimos y archivos modificados maliciosamente en redes peer-to-peer (P2P). A partir del análisis de un solo servidor Bamital C&C durante un período de seis semanas en 2011, pudimos identificar más de 1.8 millones de direcciones IP exclusivas que se comunicaban con el servidor, y un promedio de tres millones de clics secuestrados por día. Información reciente de la botnet muestra que el número de solicitudes que llegan al servidor C&C supera ampliamente un millón por día.

"Fraude por clic" (clickfraud), el nombre utilizado para denominar el tipo de fraude cometido por Bamital, es el proceso de un humano o script automatizado que imita la conducta del usuario en línea y hace clic sobre publicidades online para obtener una ganancia monetaria. Bamital redireccionó usuarios finales a anuncios y contenido que no tenían intención de visitar. Asimismo, generó tráfico no humano en anuncios y sitios web con la intención de recibir pagos de las redes de publicidad. Bamital también fue responsable de redireccionar usuarios hacia sitios web que trafican malware bajo la apariencia de software legítimo. El siguiente video ilustra el modo en que Bamital explota el modelo de publicidad online:
Bamital es solo una de muchas botnets o redes bot que utilizan el fraude por clic para ganar dinero y fomentar otras actividades relacionadas con el delito cibernético. Muchos de los atacantes detrás de estos esquemas sienten que el riesgo es bajo porque muchos usuarios desconocen que sus computadoras se están utilizando para este fin. Este desmantelamiento les envía un mensaje a esos atacantes: que las operaciones de fraude por clic están siendo monitoreadas y pueden desconectarlos. Fuente: Reuters y Symantec