Los desarrolladores de virus han empezado a esconder instrucciones de comandos y controles en sitios tan populares como los de Google Groups o Twitter. Así lo han detectado investigadores en seguridad.
En concreto, la firma Symantec ha sido la que ha descubierto este nuevo troyano que ha sido programado para visitar un grupo de noticias privado de Google Groups, denominado escape2sun, en el que pueden descargarse instrucciones encriptadas e incluso actualizaciones de software. Estas instrucciones “de comandos y controles” son utilizadas por los criminales para mantenerse en contacto con PC pirateados y actualizar así su software malicioso.
Ya el mes pasado, investigadores de Arbor Networks detectaron una versión previa de este programa. Lo cierto es que no es la primera vez que se detectan este tipo de prácticas, en las que los criminales esconden sus mensajes RSS y que son establecidas para publicar mensajes en Twitter. Así lo ha explicado Gerry Egan, director de Symantec Security Response. “Estamos comprobando que hay una tendencia que está impulsando el uso de más interacciones en los medios sociales para esconder comandos y controles”.
De hecho, el sistema utilizando en Google Groups parece ser un prototipo, aunque en opinión de Egan, los “chicos malos” continuarán utilizando cada vez más páginas Web sociales para conseguir sus fines. Y lo harán a medida que el software de seguridad sea cada vez más efectivo a la hora de erradicar mecanismos de control y comandos tradicionales. “Los autores de malware están al tanto de nuestras técnicas, así que están intentando hacer algo diferente”, ha declarado Egan.
Actualmente, la mayoría de los criminales se comunican con las máquinas que han infectado a través de servidores IRC o situando comandos en páginas Web difíciles de localizar. Pero a medida que los administradores de sistemas están mejorando a la hora de detectar y bloquear este tipo de comunicaciones, los cibercriminales están “intentando esconder estos mensajes de comandos y control en el tráfico legítimo de la Red. De ese modo, la presencia del tráfico dentro y fuera no dispara las alarmas”. Hoy en día, un administrador de sistemas puede bloquear el acceso a IRC muy fácilmente, pero no lo es tanto bloquear Twitter o Google.
El troyano de Google Groups pudiera tener su origen en Taiwán y probablemente sea utilizado para recopilar información para futuros ataques. Según los datos de Google Groups, el troyano no se ha extendido mucho desde su creación en noviembre de 2008. “Un troyano de este tipo podría haber sido desarrollado para un tipo de espionaje concreto, en el que el anonimato y la discreción son prioritarios”, han declarado desde Symantec en un blog.
PC World (14/09/2009)
