Andromeda, también
conocida como Gamarue, es una familia de malware multipropósito distribuida por
la familia de botnets del mismo nombre.
Descubierto a finales
de 2011, Andromeda es una familia de malware construida para ser personalizable
a través de un kit de construcción. Este kit se vendía en páginas underground,
para que otros delincuentes construyesen el malware que sirviese a sus
propósitos. Incluía módulos tan variopintos como el captador de formularios
(para robar información de formularios web rellenados por el usuario), uno de
keylogging (captura de pulsaciones de teclado), otro que convertía al infectado
en un proxy SOCKS (típico para usar como nodo intermedio en otros ataques)...
Siendo un malware tan
longevo y con tantas variantes, es rara la forma de distribución (o
funcionalidad) que no haya cumplido. Spam con adjuntos infectados, sitios de
descargas ilegales, sitios comprometidos, redes sociales... Ha tenido sus
picos, momentos en los que parecía desaparecer del panorama de las botnets...
Para resurgir de nuevo apoyado por una serie de exploits y campañas de spam
masivo.
Pero esto podría
haber llegado a su fin. En este caso, gracias a una operación conjunta del FBI,
Interpol, J-CAT y otras entidades públicas o privadas con intereses en la lucha
contra el malware como ESET o Microsoft. Precisamente Microsoft, gracias a una
orden judicial, ha podido hacerse con el control de 1500 dominios
pertenecientes a estas botnets. Durante 48 horas, se pudo detectar
aproximadamente 2 millones de IP's infectadas en 223 países. Adicionalmente, la
investigación llevada a cabo ha permitido detener a un sospechoso en
Bielorrusia.
Generalmente, una vez
te haces con el control de los dominios, usados para comunicar órdenes a los
ordenadores componentes de la botnet, es bastante complicado que la botnet se
recupere. Pero a veces, dejan otras vías secundarias con las que poder retomar
el control de la botnet, como ya pasó con la difunta botnet Mariposa en 2009.
No cantemos victoria, pero desde luego, es un duro golpe al malware estos días.
Y lo más importante es que tiende puentes entre organizaciones de diversa
naturaleza, sentando precedentes para futuras colaboraciones de lucha contra la
delincuencia informática.
Más información:
- Global Police Dismantle Andromeda Botnet https://www.infosecurity-magazine.com/news/global-police-dismantle-andromeda/
- Andromeda botnet dismantled in international cyber
operation https://www.europol.europa.eu/newsroom/news/andromeda-botnet-dismantled-in-international-cyber-operation
- Keeping Up With the Andromeda Botnet http://blog.trendmicro.com/trendlabs-security-intelligence/keeping-up-with-the-andromeda-botnet/
- The Andromeda/Gamarue botnet is on the rise again https://www.gdatasoftware.com/blog/2015/03/24274-the-andromeda-gamarue-botnet-is-on-the-rise-again
- Andromeda under the microscope https://blog.avast.com/andromeda-under-the-microscope
Fuente:Hispasec