Desde el año pasado, Trend Micro, ha estado monitorizando las actividades de los cibercriminales responsables de una serie de botnets, o redes zombi, dirigidas a víctimas principalmente de Chile y México.

Mientras las botnets Tequila y Mariachi fueron desmanteladas en junio de 2010, las actividades delictivas derivadas del mismo autor resurgieron la semana pasada. Trend Micro descubrió un comando activo y un servidor de control, además de otras herramientas criminales incluyendo una versión personalizada de “CrimePack Exploit Pack”, una práctica que este delincuente ha llevado a cabo en el pasado en sus anteriores redes de bots.

La primera red bot identificada por Trend Micro fue Tequila botnet, Le siguieron Mariachi botnet, Alebrije y Mehika, botnets de Twitter. Estas redes de bots son conocidas como la familia Botnet PHP.

¿Qué sabemos?

* Un nombre, dos direcciones de correo electrónico y un número de teléfono registrado en la región metropolitana de Guadalajara, México, asociados con el cibercriminal.
* Que los ataques comenzaron en mayo de 2010, cuando algunos usuarios en México recibieron un email que contenía “noticias” falsas sobre “fotografías de desnudos” de la madre de una niña de 4 años de edad desaparecida. Éste fue el cebo para llamar la atención de los usuarios y que cayeran en la trampa de descargar e instalar una aplicación maliciosa vía una URL maliciosa.
* Trend Micro, a través del análisis realizado, ha encontrado ciertas palabras o términos repetidos en el contenido del script utilizado para instalar el cliente bot lo que ha dado a los investigadores de amenazas una importante pista a seguir.
* Que fue a través del registro a una página URL alojada donde el autor reveló sus servicios, que incluían el nombre, la dirección de email y el número de un teléfono móvil.

Además de prevenir ataques, Trend Micro se reúne y comparte conocimientos con las asociaciones y grupos anti-cibercrimen de la industria, así como con las autoridades y fuerzas de seguridad de cada país. Así, Trend Micro ya ha informado de estos hallazgos a las fuerzas y cuerpos de seguridad oficiales, y ha confirmado su cooperación en la medida en que sea necesario. Más detalles de este caso han sido publicados en el Blog de Malware de Trend Micro. .

Asimismo, Trend Micro tiene portavoces disponibles en caso de que estén interesados en conocer más detalles de este caso.

Puede consultar el informe en profundidad (septiembre 2010) en el que se recogen los aspectos técnicos de estas botnets y de los kit de herramientas utilizados en particular, aquí: http://us.trendmicro.com/imperia/md/content/us/trendwatch/researchandanalysis/discerning_relationships__september_2010_.pdf